收集 osquery 記錄檔
本文將說明如何設定 osquery 和 Google Security Operations 轉送程式,以便收集 osquery 記錄檔。本文件也列出支援的記錄類型和 osquery 支援的版本。
詳情請參閱「將資料擷取至 Google Security Operations」。
總覽
下圖顯示 osquery 代理程式和 Fleet 伺服器的部署架構,說明如何設定這些項目,將記錄傳送至 Google 安全作業。每個客戶部署作業可能與此表示法不同,也可能更複雜。
架構圖顯示下列元件:
Linux 系統:要監控的 Linux 系統,其中已安裝 osquery 代理程式
Microsoft Windows 系統:要監控的 Microsoft Windows 系統,其中已安裝 osquery 代理程式
Mac 系統:要監控的 Mac 系統,其中已安裝 osquery 代理程式
osquery 代理程式:從 Microsoft Windows、Linux 或 Mac 系統收集資訊,並將資訊轉送至 Fleet 伺服器
Fleet 伺服器:監控並接收 osquery 代理程式傳送的資訊、分析記錄檔,並將記錄檔轉送至 Google 安全作業轉送器
Bindplane 代理程式:Bindplane 代理程式會從 osquery 擷取記錄,並將記錄傳送至 Google SecOps。
Google Security Operations 轉送器:輕量軟體元件,部署在客戶網路中,用於將記錄轉送至 Google Security Operations
Google 安全性作業:保留並分析 Fleet 伺服器的記錄
擷取標籤會標示剖析器,將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於使用 OSQUERY_EDR 攝入標籤的剖析器。
事前準備
安裝 Fleet 伺服器。如要安裝車隊伺服器,請按照下列步驟操作:
使用 Google Security Operations 剖析器支援的 osquery 版本,也就是 5.2.3 和 5.3.0。
確認部署架構中的所有系統都已設定為世界標準時間時區。
確認車隊中的資料表名稱是否符合官方車隊文件。
設定 osquery 代理程式、伺服器和 Google 安全作業轉送程式
如要設定車隊伺服器和 Google 安全作業轉送器,請按照下列步驟操作:
如要設定 Fleet 伺服器,請按照下列步驟操作:
將主機新增至 Fleet 伺服器,並安裝 osquery 代理程式。您可以使用 osquery 安裝程式,將主機新增至 Fleet 伺服器。Fleet 伺服器可透過 fleetctl 套件指令產生 osquery 安裝程式。
- 安裝 fleetctl 指令列工具,執行 fleetctl 套件指令。
- 使用 fleetctl 套件指令安裝 osquery 代理程式。
在主機上安裝產生的 osquery 安裝程式時,主機會自動註冊至指定的 Fleet 執行個體。
從 osquery 代理程式擷取記錄。如要在 Fleet 中建立查詢來擷取記錄,請參閱「建立查詢」一文;如要排定查詢,請參閱「排定查詢」一文。
在 Linux 中央裝置上設定 Google Security Operations 轉送器,將記錄推送至 Google Security Operations 系統。詳情請參閱「在 Linux 上安裝及設定轉送器」。以下是 Google SecOps 轉送站設定範例:
- file: common: enabled: true data_type: OSQUERY_EDR data_hint: batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path> filter:
使用 Bindplane 代理程式將記錄轉送至 Google SecOps
- 安裝並設定 Linux 虛擬機器。
- 在 Linux 上安裝及設定 Bindplane 代理程式,將記錄轉送至 Google SecOps。如要進一步瞭解如何安裝及設定 Bindplane 代理程式,請參閱 Bindplane 代理程式安裝和設定操作說明。
如果在建立動態饋給時遇到問題,請與 Google SecOps 支援團隊聯絡。
支援的 osquery 記錄格式
osquery 剖析器支援 JSON 格式的記錄。
支援的 osquery 範例記錄
JSON:
{ "name": "account_policy_data", "hostIdentifier": "dummyhostidentifier", "calendarTime": "Tue May 17 11:27:28 2022 UTC", "unixTime": 1652786848, "epoch": 0, "counter": 0, "numerics": false, "decorations": { "host_uuid": "dummy_host_uuid", "hostname": "dummyhostname" }, "columns": { "creation_time": "1637733429.23442", "failed_login_count": "0", "failed_login_timestamp": "0.0", "password_last_set_time": "1645164584.43137", "uid": "501" }, "action": "added" }
欄位對應參考資料
本節說明 Google Security Operations 剖析器如何將 osquery 記錄欄位對應至 Google Security Operations 統一資料模型 (UDM) 欄位,以便處理結構定義和作業系統。詳情請參閱 5.2.3 版和 5.3.0 版的 osquery 結構定義。
account_policy_data
下表列出結構定義 account_policy_data 和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
下表列出結構定義 ad_config 和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 名稱 | about.labels.key/value (已淘汰) additional.fields |
| 網域 | target.administrative_domain |
| 選項 | about.labels.key (已淘汰) additional.fields.key |
| 值 | about.labels.value (已淘汰) additional.fields.value.string_value |
alf
下表列出結構定義 alf 和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| allow_signed_enabled | about.labels.key/value (已淘汰) additional.fields |
| firewall_unload | about.labels.key/value (已淘汰) additional.fields |
| global_state | about.labels.key/value (已淘汰) additional.fields |
| logging_enabled | about.labels.key/value (已淘汰) additional.fields |
| logging_option | about.labels.key/value (已淘汰) additional.fields |
| stealth_enabled | about.labels.key/value (已淘汰) additional.fields |
| version | target.platform_version |
alf_exceptions
下表列出結構定義 alf_exceptions 和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 路徑 | target.file.full_path |
| state | about.labels.key/value (已淘汰) additional.fields |
alf_explicit_auths
下表列出結構定義 alf_explicit_auths 和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 反向擴散程序 | target.process.pid |
app_schemes
下表列出結構定義 app_schemes 和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 配置 | about.labels.key/value (已淘汰) additional.fields |
| handler | about.labels.key/value (已淘汰) additional.fields |
| 已啟用 | about.labels.key/value (已淘汰) additional.fields |
| 外部 | about.labels.key/value (已淘汰) additional.fields |
| 受保護 | about.labels.key/value (已淘汰) additional.fields |
apparmor_events
下表列出結構定義 apparmor_events 和 OS Linux 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| 訊息 | metadata.description |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| 運作時間 | about.labels.key/value (已淘汰) additional.fields |
| EID | security_result.rule_id |
| apparmor | security_result.action |
| 作業 | about.labels.key/value (已淘汰) additional.fields |
| parent | target.process.parent_process.pid |
| 資料 | about.labels.key/value (已淘汰) additional.fields |
| 名稱 | about.labels.key/value (已淘汰) additional.fields |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value (已淘汰) additional.fields |
| capname | about.labels.key/value (已淘汰) additional.fields |
| fsuid | target.user.attribute.labels.key/value |
| ouid | target.user.attribute.labels.key/value |
| 功能 | about.labels.key/value (已淘汰) additional.fields |
| requested_mask | target.process.access_mask |
| 資訊 | about.labels.key/value (已淘汰) additional.fields |
| 錯誤 | security_result.summary |
| 命名空間 | about.labels.key/value (已淘汰) additional.fields |
| 標籤 | about.labels.key/value (已淘汰) additional.fields |
apparmor_profiles
下表列出結構定義 apparmor_profiles 和 OS Linux 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 路徑 | target.file.full_path |
| 名稱 | target.resource.name |
| 連接 | about.labels.key/value (已淘汰) additional.fields |
| 模式 | about.labels.key/value (已淘汰) additional.fields |
| sha1 | target.file.sha1 |
應用程式
下表列出結構定義應用程式和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 名稱 | target.application |
| 路徑 | target.file.full_path |
| bundle_executable | about.labels.key/value (已淘汰) additional.fields |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value (已淘汰) additional.fields |
| 環境 | about.labels.key/value (已淘汰) additional.fields |
| 元素 | about.labels.key/value (已淘汰) additional.fields |
| 編譯器 | about.labels.key/value (已淘汰) additional.fields |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value (已淘汰) additional.fields |
| info_string | about.labels.key/value (已淘汰) additional.fields |
| minimum_system_version | about.labels.key/value (已淘汰) additional.fields |
| category | about.labels.key/value (已淘汰) additional.fields |
| applescript_enabled | about.labels.key/value (已淘汰) additional.fields |
| 版權 | about.labels.key/value (已淘汰) additional.fields |
| last_opened_time | target.file.last_seen_time |
asl
下表列出結構定義 asl 和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| time_nano_sec | about.labels.key/value (已淘汰) additional.fields |
| 主機 | target.hostname |
| sender | about.labels.key/value (已淘汰) additional.fields |
| 設施 | about.labels.key/value (已淘汰) additional.fields |
| pid | target.process.pid |
| gid | target.user.group_identifiers |
| uid | target.user.userid |
| level | about.labels.key/value (已淘汰) additional.fields |
| 訊息 | metadata.description |
| ref_pid | about.labels.key/value (已淘汰) additional.fields |
| ref_proc | about.labels.key/value (已淘汰) additional.fields |
| 額外 | about.labels.key/value (已淘汰) additional.fields |
Authenticode
下表列出結構定義的驗證碼和作業系統 Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 路徑 | target.file.full_path |
| original_program_name | about.labels.key/value (已淘汰) additional.fields |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| result | security_result.summary |
authorization_mechanisms
下表列出結構定義 authorization_mechanisms 和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 標籤 | about.labels.key/value (已淘汰) additional.fields |
| plugin | about.labels.key/value (已淘汰) additional.fields |
| 機制 | about.labels.key/value (已淘汰) additional.fields |
| 特殊權限 | about.labels.key/value (已淘汰) additional.fields |
| 項目 | about.labels.key/value (已淘汰) additional.fields |
授權
下表列出結構定義授權和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 標籤 | about.labels.key/value (已淘汰) additional.fields |
| 已修改 | about.labels.key/value (已淘汰) additional.fields |
| allow_root | about.labels.key/value (已淘汰) additional.fields |
| 逾時 | about.labels.key/value (已淘汰) additional.fields |
| version | about.labels.key/value (已淘汰) additional.fields |
| tries | about.labels.key/value (已淘汰) additional.fields |
| authenticate_user | about.labels.key/value (已淘汰) additional.fields |
| 共用 | about.labels.key/value (已淘汰) additional.fields |
| 留言 | about.labels.key/value (已淘汰) additional.fields |
| 已建立 | about.labels.key/value (已淘汰) additional.fields |
| 類別 | about.labels.key/value (已淘汰) additional.fields |
| session_owner | about.labels.key/value (已淘汰) additional.fields |
autoexec
下表列出結構定義 autoexec 和 OS Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 路徑 | target.file.full_path |
| 名稱 | target.application |
| 來源 | target.resource.name |
bitlocker_info
下表列出結構定義 bitlocker_info 和作業系統 Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value (已淘汰) additional.fields |
| conversion_status | target.resource.attirbute.labels.key/value |
| protection_status | target.resource.attirbute.labels.key/value |
| encryption_method | target.resource.attirbute.labels.key/value |
| version | metadata.product_version |
| percentage_encrypted | target.resource.attirbute.labels.key/value |
| lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
下表列出結構定義 bpf_process_events 和作業系統 Linux 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| tid | about.labels.key/value (已淘汰) additional.fields |
| pid | target.process.pid |
| parent | target.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (已淘汰) additional.fields |
| exit_code | about.labels.key/value (已淘汰) additional.fields |
| probe_error | about.labels.key/value (已淘汰) additional.fields |
| syscall | about.labels.key/value (已淘汰) additional.fields |
| 路徑 | target.process.file.full_path |
| cwd | about.labels.key/value (已淘汰) additional.fields |
| cmdline | target.process.command_line |
| 持續時間 | about.labels.key/value (已淘汰) additional.fields |
| json_cmdline | about.labels.key/value (已淘汰) additional.fields |
| ntime | about.labels.key/value (已淘汰) additional.fields |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| EID | metadata.product_log_id |
bpf_socket_events
下表列出結構定義 bpf_socket_events 和作業系統 Linux 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| tid | about.labels.key/value (已淘汰) additional.fields |
| pid | principal.process.pid |
| parent | principal.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (已淘汰) additional.fields |
| exit_code | about.labels.key/value (已淘汰) additional.fields |
| probe_error | about.labels.key/value (已淘汰) additional.fields |
| syscall | about.labels.key/value (已淘汰) additional.fields |
| 路徑 | target.file.full_path |
| fd | about.labels.key/value (已淘汰) additional.fields |
| 系列 | about.labels.key/value (已淘汰) additional.fields |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| 通訊協定 | about.labels.key/value (已淘汰) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| 持續時間 | about.labels.key/value (已淘汰) additional.fields |
| ntime | about.labels.key/value (已淘汰) additional.fields |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| EID | metadata.product_log_id |
憑證
下表列出結構定義憑證和 macOS、Windows 作業系統的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| common_name | about.labels.key/value (已淘汰) additional.fields |
| 主旨 | network.tls.client.certificate.subject |
| issuer | network.tls.client.certificate.issuer |
| ca | about.labels.key/value (已淘汰) additional.fields |
| self_signed | about.labels.key/value (已淘汰) additional.fields |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value (已淘汰) additional.fields |
| key_algorithm | about.labels.key/value (已淘汰) additional.fields |
| key_strength | about.labels.key/value (已淘汰) additional.fields |
| key_usage | about.labels.key/value (已淘汰) additional.fields |
| subject_key_id | about.labels.key/value (已淘汰) additional.fields |
| authority_key_id | about.labels.key/value (已淘汰) additional.fields |
| sha1 | network.tls.client.certificate.sha1 |
| 路徑 | about.labels.key/value (已淘汰) additional.fields |
| serial | network.tls.client.certificate.serial |
| sid | about.labels.key/value (已淘汰) additional.fields |
| store_location | about.labels.key/value (已淘汰) additional.fields |
| 儲存庫 | about.labels.key/value (已淘汰) additional.fields |
| 使用者名稱 | principal.user.user_display_name |
| store_id | about.labels.key/value (已淘汰) additional.fields |
chassis_info
下表列出結構定義的 chassis_info 和 OS Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| audible_alarm | about.labels.key/value (已淘汰) additional.fields |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value (已淘汰) additional.fields |
| 說明 | metadata.description |
| 鎖定 | about.labels.key/value (已淘汰) additional.fields |
| 製造商 | principal.asset.hardware.manufacturer |
| 模型 | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| serial | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value (已淘汰) additional.fields |
| sku | about.labels.key/value (已淘汰) additional.fields |
| 狀態 | about.labels.key/value (已淘汰) additional.fields |
| visible_alarm | about.labels.key/value (已淘汰) additional.fields |
chrome_extensions
下表列出結構定義 chrome_extensions 和作業系統 macOS、Linux、Windows、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| 名稱 | target.resource.name |
| 資料 | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| ID | target.resource.attribute.labels.key/value |
| version | target.resource.attribute.labels.key/value |
| 說明 | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| author | target.resource.attribute.labels.key/value |
| 永久 | target.resource.attribute.labels.key/value |
| 路徑 | target.file.full_path |
| 權限 | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| 參照 | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| state | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| 金鑰 | target.resource.attribute.labels.key/value |
連線能力
下表列出結構定義連線和 OS Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 已拔除 | about.labels.key/value (已淘汰) additional.fields |
| ipv4_no_traffic | about.labels.key/value (已淘汰) additional.fields |
| ipv6_no_traffic | about.labels.key/value (已淘汰) additional.fields |
| ipv4_subnet | about.labels.key/value (已淘汰) additional.fields |
| ipv4_local_network | about.labels.key/value (已淘汰) additional.fields |
| ipv4_internet | about.labels.key/value (已淘汰) additional.fields |
| ipv6_subnet | about.labels.key/value (已淘汰) additional.fields |
| ipv6_local_network | about.labels.key/value (已淘汰) additional.fields |
| ipv6_internet | about.labels.key/value (已淘汰) additional.fields |
cpu_info
下表列出結構定義 cpu_info 和作業系統 Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| device_id | principal.asset.product_object_id |
| 模型 | principal.asset.hardware.model |
| 製造商 | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value (已淘汰) additional.fields |
| 供應情形 | about.labels.key/value (已淘汰) additional.fields |
| cpu_status | about.labels.key/value (已淘汰) additional.fields |
| number_of_cores | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value (已淘汰) additional.fields |
| address_width | about.labels.key/value (已淘汰) additional.fields |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value (已淘汰) additional.fields |
當機
下表列出結構定義當機和 macOS 作業系統的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| pid | target.process.pid |
| 路徑 | target.process.file.full_path |
| crash_path | target.file.full_path |
| ID | about.labels.key/value (已淘汰) additional.fields |
| version | about.labels.key/value (已淘汰) additional.fields |
| parent | target.process.parent_process.pid |
| 負責 | about.labels.key/value (已淘汰) additional.fields |
| uid | target.user.userid |
| 日期時間 | metadata.event_timestamp |
| crashed_thread | about.labels.key/value (已淘汰) additional.fields |
| stack_trace | about.labels.key/value (已淘汰) additional.fields |
| exception_type | about.labels.key/value (已淘汰) additional.fields |
| exception_codes | about.labels.key/value (已淘汰) additional.fields |
| exception_notes | about.labels.key/value (已淘汰) additional.fields |
| 暫存器 | about.labels.key/value (已淘汰) additional.fields |
crontab
下表列出結構定義 crontab 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 活動 | about.labels.key/value (已淘汰) additional.fields |
| 分鐘 | about.labels.key/value (已淘汰) additional.fields |
| 小時 | about.labels.key/value (已淘汰) additional.fields |
| day_of_month | about.labels.key/value (已淘汰) additional.fields |
| 個月 | about.labels.key/value (已淘汰) additional.fields |
| day_of_week | about.labels.key/value (已淘汰) additional.fields |
| 指令 | principal.process.command_line |
| 路徑 | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value (已淘汰) additional.fields |
curl
下表列出結構定義 curl 和作業系統 macOS、Linux、Windows、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 網址 | network.http.referral_url |
| 方法 | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| 位元組 | network.received_bytes |
| result | about.labels.key/value (已淘汰) additional.fields |
curl_certificate
下表列出結構定義 curl_certificate 和作業系統 macOS、Linux、Windows、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 主機名稱 | principal.hostname |
| common_name | about.labels.key/value (已淘汰) additional.fields |
| 組織 | network.organization_name |
| organization_unit | about.labels.key/value (已淘汰) additional.fields |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value (已淘汰) additional.fields |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value (已淘汰) additional.fields |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| version | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value (已淘汰) additional.fields |
| 簽名 | about.labels.key/value (已淘汰) additional.fields |
| subject_key_identifier | about.labels.key/value (已淘汰) additional.fields |
| authority_key_identifier | about.labels.key/value (已淘汰) additional.fields |
| key_usage | about.labels.key/value (已淘汰) additional.fields |
| extended_key_usage | about.labels.key/value (已淘汰) additional.fields |
| 政策 | about.labels.key/value (已淘汰) additional.fields |
| subject_alternative_names | about.labels.key/value (已淘汰) additional.fields |
| issuer_alternative_names | about.labels.key/value (已淘汰) additional.fields |
| info_access | about.labels.key/value (已淘汰) additional.fields |
| subject_info_access | about.labels.key/value (已淘汰) additional.fields |
| policy_mappings | about.labels.key/value (已淘汰) additional.fields |
| has_expired | about.labels.key/value (已淘汰) additional.fields |
| basic_constraint | about.labels.key/value (已淘汰) additional.fields |
| name_constraints | about.labels.key/value (已淘汰) additional.fields |
| policy_constraints | about.labels.key/value (已淘汰) additional.fields |
| dump_certificate | about.labels.key/value (已淘汰) additional.fields |
| 逾時 | about.labels.key/value (已淘汰) additional.fields |
| pem | about.labels.key/value (已淘汰) additional.fields |
device_file
下表列出結構定義 device_file 和作業系統 Linux、macOS、freebsd、Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 裝置 | about.labels.key/value (已淘汰) additional.fields |
| 分區 | about.labels.key/value (已淘汰) additional.fields |
| 路徑 | target.file.full_path |
| filename | target.file.names |
| 索引節點 | about.labels.key/value (已淘汰) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| 模式 | about.labels.key/value (已淘汰) additional.fields |
| 大小 | target.file.size |
| block_size | about.labels.key/value (已淘汰) additional.fields |
| atime | about.labels.key/value (已淘汰) additional.fields |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (已淘汰) additional.fields |
| hard_links | about.labels.key/value (已淘汰) additional.fields |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
device_hash
下表列出結構定義 device_hash 和作業系統 Linux、macOS、freebsd、Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 裝置 | target.file.full_path |
| 分區 | about.labels.key/value (已淘汰) additional.fields |
| 索引節點 | about.labels.key/value (已淘汰) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
下表列出結構定義 disk_info 和作業系統 Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 分區 | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| 類型 | principal.asset.attribute.labels.key/value |
| id | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value (已淘汰) additional.fields |
| disk_size | principal.asset.attribute.labels.key/value |
| 製造商 | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| 名稱 | principal.asset.attribute.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| 說明 | principal.asset.attribute.labels.key/value |
dns_cache
下表列出結構定義 dns_cache 和作業系統 Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 名稱 | network.dns.additional.name |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| flags | about.labels.key/value (已淘汰) additional.fields |
dns_resolvers
下表列出結構定義 dns_resolvers 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| id | about.labels.key/value (已淘汰) additional.fields |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| 地址 | principal.ip |
| 網路遮罩 | about.labels.key/value (已淘汰) additional.fields |
| 選項 | about.labels.key/value (已淘汰) additional.fields |
| pid_with_namespace | about.labels.key/value (已淘汰) additional.fields |
docker_container_networks
下表列出結構定義 docker_container_networks 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| 名稱 | network.carrier_name |
| network_id | about.labels.key/value (已淘汰) additional.fields |
| 端點 ID | about.labels.key/value (已淘汰) additional.fields |
| 閘道 | about.labels.key/value (已淘汰) additional.fields |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value (已淘汰) additional.fields |
| ipv6_gateway | about.labels.key/value (已淘汰) additional.fields |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value (已淘汰) additional.fields |
| mac_address | target.mac |
docker_container_ports
下表列出結構定義 docker_container_ports 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| 類型 | network.ip_protocol |
| 通訊埠 | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
下表列出結構定義 docker_container_processes 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| pid | target.process.pid |
| 名稱 | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | about.labels.key/value (已淘汰) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | target.user.attribute.labels.key/value |
| egid | target.group.attribute.labels.key/value |
| suid | target.user.attribute.labels.key/value |
| sgid | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value (已淘汰) additional.fields |
| resident_size | about.labels.key/value (已淘汰) additional.fields |
| total_size | about.labels.key/value (已淘汰) additional.fields |
| start_time | about.labels.key/value (已淘汰) additional.fields |
| parent | target.process.parent_process.pid |
| pgroup | about.labels.key/value (已淘汰) additional.fields |
| 執行緒 | about.labels.key/value (已淘汰) additional.fields |
| 不錯 | about.labels.key/value (已淘汰) additional.fields |
| 使用者 | target.user.user_display_name |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| CPU | about.labels.key/value (已淘汰) additional.fields |
| 記憶體 | about.labels.key/value (已淘汰) additional.fields |
docker_container_stats
下表列出結構定義 docker_container_stats 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| 名稱 | target.resource.name |
| pid | about.labels.key/value (已淘汰) additional.fields |
| read | about.labels.key/value (已淘汰) additional.fields |
| preread | about.labels.key/value (已淘汰) additional.fields |
| interval | about.labels.key/value (已淘汰) additional.fields |
| disk_read | about.labels.key/value (已淘汰) additional.fields |
| disk_write | about.labels.key/value (已淘汰) additional.fields |
| num_procs | about.labels.key/value (已淘汰) additional.fields |
| cpu_total_usage | about.labels.key/value (已淘汰) additional.fields |
| cpu_kernelmode_usage | about.labels.key/value (已淘汰) additional.fields |
| cpu_usermode_usage | about.labels.key/value (已淘汰) additional.fields |
| system_cpu_usage | about.labels.key/value (已淘汰) additional.fields |
| online_cpus | about.labels.key/value (已淘汰) additional.fields |
| pre_cpu_total_usage | about.labels.key/value (已淘汰) additional.fields |
| pre_cpu_kernelmode_usage | about.labels.key/value (已淘汰) additional.fields |
| pre_cpu_usermode_usage | about.labels.key/value (已淘汰) additional.fields |
| pre_system_cpu_usage | about.labels.key/value (已淘汰) additional.fields |
| pre_online_cpus | about.labels.key/value (已淘汰) additional.fields |
| memory_usage | about.labels.key/value (已淘汰) additional.fields |
| memory_max_usage | about.labels.key/value (已淘汰) additional.fields |
| memory_limit | about.labels.key/value (已淘汰) additional.fields |
| network_rx_bytes | about.labels.key/value (已淘汰) additional.fields |
| network_tx_bytes | about.labels.key/value (已淘汰) additional.fields |
docker_info
下表列出結構定義 docker_info 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| 容器 | about.labels.key/value (已淘汰) additional.fields |
| containers_running | about.labels.key/value (已淘汰) additional.fields |
| containers_paused | about.labels.key/value (已淘汰) additional.fields |
| containers_stopped | about.labels.key/value (已淘汰) additional.fields |
| 圖片 | about.labels.key/value (已淘汰) additional.fields |
| storage_driver | about.labels.key/value (已淘汰) additional.fields |
| memory_limit | about.labels.key/value (已淘汰) additional.fields |
| swap_limit | about.labels.key/value (已淘汰) additional.fields |
| kernel_memory | about.labels.key/value (已淘汰) additional.fields |
| cpu_cfs_period | about.labels.key/value (已淘汰) additional.fields |
| cpu_cfs_quota | about.labels.key/value (已淘汰) additional.fields |
| cpu_shares | about.labels.key/value (已淘汰) additional.fields |
| cpu_set | about.labels.key/value (已淘汰) additional.fields |
| ipv4_forwarding | about.labels.key/value (已淘汰) additional.fields |
| bridge_nf_iptables | about.labels.key/value (已淘汰) additional.fields |
| bridge_nf_ip6tables | about.labels.key/value (已淘汰) additional.fields |
| oom_kill_disable | about.labels.key/value (已淘汰) additional.fields |
| logging_driver | about.labels.key/value (已淘汰) additional.fields |
| cgroup_driver | about.labels.key/value (已淘汰) additional.fields |
| kernel_version | about.labels.key/value (已淘汰) additional.fields |
| os | about.labels.key/value (已淘汰) additional.fields |
| os_type | target.platform(enum) |
| 架構 | about.labels.key/value (已淘汰) additional.fields |
| cpus | about.labels.key/value (已淘汰) additional.fields |
| 記憶體 | about.labels.key/value (已淘汰) additional.fields |
| http_proxy | about.labels.key/value (已淘汰) additional.fields |
| https_proxy | about.labels.key/value (已淘汰) additional.fields |
| no_proxy | about.labels.key/value (已淘汰) additional.fields |
| 名稱 | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
下表列出結構定義 docker_network_labels 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| 金鑰 | target.resource.attribute.labels.key/value |
| 值 | about.labels.key/value (已淘汰) additional.fields |
docker_networks
下表列出結構定義 docker_networks 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| 名稱 | about.labels.key/value (已淘汰) additional.fields |
| 駕駛員 | about.labels.key/value (已淘汰) additional.fields |
| 已建立 | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value (已淘汰) additional.fields |
| 子網路 | about.labels.key/value (已淘汰) additional.fields |
| 閘道 | about.labels.key/value (已淘汰) additional.fields |
ec2_instance_metadata
下表列出結構定義 ec2_instance_metadata 和作業系統 macOS、Linux、Windows、FreeBSD 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value (已淘汰) additional.fields |
| 架構 | about.labels.key/value (已淘汰) additional.fields |
| 區域 | target.location.country_or_region |
| availability_zone | about.labels.key/value (已淘汰) additional.fields |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| mac | target.mac |
| security_groups | about.labels.key/value (已淘汰) additional.fields |
| iam_arn | about.labels.key/value (已淘汰) additional.fields |
| ami_id | about.labels.key/value (已淘汰) additional.fields |
| reservation_id | about.labels.key/value (已淘汰) additional.fields |
| account_id | target.user.userid |
| ssh_public_key | about.labels.key/value (已淘汰) additional.fields |
es_process_events
下表列出結構定義 es_process_events 和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| version | target.platform_version |
| seq_num | about.labels.key/value (已淘汰) additional.fields |
| global_seq_num | about.labels.key/value (已淘汰) additional.fields |
| pid | target.process.pid |
| 路徑 | target.process.file.full_path |
| parent | target.process.parent_process.pid |
| original_parent | about.labels.key/value (已淘汰) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (已淘汰) additional.fields |
| env | about.labels.key/value (已淘汰) additional.fields |
| env_count | about.labels.key/value (已淘汰) additional.fields |
| cwd | about.labels.key/value (已淘汰) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (已淘汰) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value (已淘汰) additional.fields |
| 使用者名稱 | target.user.user_display_name |
| signing_id | about.labels.key/value (已淘汰) additional.fields |
| team_id | about.labels.key/value (已淘汰) additional.fields |
| cdhash | about.labels.key/value (已淘汰) additional.fields |
| platform_binary | about.labels.key/value (已淘汰) additional.fields |
| exit_code | about.labels.key/value (已淘汰) additional.fields |
| child_pid | about.labels.key/value (已淘汰) additional.fields |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| event_type | about.labels.key/value (已淘汰) additional.fields |
| EID | metadata.product_log_id |
etc_hosts
下表列出結構定義 etc_hosts 和作業系統 macOS、Linux、Windows、FreeBSD 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 地址 | target.ip |
| 主機名稱 | about.hostname |
| pid_with_namespace | about.labels.key/value (已淘汰) additional.fields |
etc_protocols
下表列出結構定義 etc_protocols 和作業系統 macOS、Linux、Windows、FreeBSD 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 名稱 | network.ip_protocol |
| 數字 | about.labels.key/value (已淘汰) additional.fields |
| 別名 | about.labels.key/value (已淘汰) additional.fields |
| 留言 | about.labels.key/value (已淘汰) additional.fields |
etc_services
下表列出結構定義 etc_services 和作業系統 macOS、Linux、Windows、FreeBSD 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 名稱 | target.resource.name |
| 通訊埠 | target.port |
| 通訊協定 | network.ip_protocol |
| 別名 | about.labels.key/value (已淘汰) additional.fields |
| 留言 | about.labels.key/value (已淘汰) additional.fields |
檔案
下表列出結構定義檔案和 macOS、Linux、Windows、FreeBSD 作業系統的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 路徑 | target.file.full_path |
| 目錄 | about.labels.key/value (已淘汰) additional.fields |
| filename | target.file.names |
| 索引節點 | about.labels.key/value (已淘汰) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| 模式 | about.labels.key/value (已淘汰) additional.fields |
| 裝置 | target.asset.asset_id |
| 大小 | target.file.size |
| block_size | about.labels.key/value (已淘汰) additional.fields |
| atime | target.file.last_seen_time |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (已淘汰) additional.fields |
| btime | about.labels.key/value (已淘汰) additional.fields |
| hard_links | about.labels.key/value (已淘汰) additional.fields |
| 符號連結 | about.labels.key/value (已淘汰) additional.fields |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| 屬性 | about.labels.key/value (已淘汰) additional.fields |
| volume_serial | about.labels.key/value (已淘汰) additional.fields |
| file_id | about.labels.key/value (已淘汰) additional.fields |
| file_version | about.labels.key/value (已淘汰) additional.fields |
| product_version | about.labels.key/value (已淘汰) additional.fields |
| bsd_flags | about.labels.key/value (已淘汰) additional.fields |
| pid_with_namespace | about.labels.key/value (已淘汰) additional.fields |
| mount_namespace_id | about.labels.key/value (已淘汰) additional.fields |
file_events
下表列出結構定義 file_events 和 OS Linux 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 作業 | about.labels.key/value (已淘汰) additional.fields |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| 可執行 | about.labels.key/value (已淘汰) additional.fields |
| 部分 | about.labels.key/value (已淘汰) additional.fields |
| cwd | about.labels.key/value (已淘汰) additional.fields |
| 路徑 | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| auid | about.labels.key/value (已淘汰) additional.fields |
| euid | about.labels.key/value (已淘汰) additional.fields |
| egid | about.labels.key/value (已淘汰) additional.fields |
| fsuid | about.labels.key/value (已淘汰) additional.fields |
| fsgid | about.labels.key/value (已淘汰) additional.fields |
| suid | about.labels.key/value (已淘汰) additional.fields |
| sgid | about.labels.key/value (已淘汰) additional.fields |
| 運作時間 | about.labels.key/value (已淘汰) additional.fields |
| EID | metadata.product_log_id |
把關
下表列出結構定義閘道管理員和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| assessments_enabled | about.labels.key/value (已淘汰) additional.fields |
| dev_id_enabled | about.labels.key/value (已淘汰) additional.fields |
| version | target.asset.software.version |
| opaque_version | about.labels.key/value (已淘汰) additional.fields |
gatekeeper_approved_apps
下表列出結構定義 gatekeeper_approved_apps 和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 路徑 | target.file.full_path |
| 規定 | about.labels.key/value (已淘汰) additional.fields |
| ctime | about.labels.key/value (已淘汰) additional.fields |
| mtime | target.resource.attribute.last_update_time |
群組
下表列出結構定義群組和 macOS、Linux、Windows、freebsd 作業系統的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| gid | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| groupname | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| 留言 | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
下表列出結構定義 hardware_events 和 OS Linux、macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 動作 | security_result.action_details |
| 路徑 | target.asset.attribute.labels.key/value |
| 類型 | target.asset.attribute.labels.key/value |
| 駕駛員 | target.asset.attribute.labels.key/value |
| vendor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| 模型 | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| serial | target.asset.attribute.labels.key/value |
| 修訂 | target.asset.attribute.labels.key/value |
| 時間 | metadata.event_timestamp |
| EID | metadata.product_log_id |
hash
下表列出結構定義雜湊值和 macOS、Linux、Windows、FreeBSD 作業系統的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 路徑 | target.file.full_path |
| 目錄 | about.labels.key/value (已淘汰) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value (已淘汰) additional.fields |
| mount_namespace_id | about.labels.key/value (已淘汰) additional.fields |
interface_addresses
下表列出結構定義 interface_addresses 和作業系統 macOS、Linux、Windows、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 介面 | about.labels.key/value (已淘汰) additional.fields |
| 地址 | target.ip |
| 遮蓋 | about.labels.key/value (已淘汰) additional.fields |
| 播送 | about.labels.key/value (已淘汰) additional.fields |
| point_to_point | about.labels.key/value (已淘汰) additional.fields |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| friendly_name | about.labels.key/value (已淘汰) additional.fields |
interface_details
下表列出結構定義 interface_details 和作業系統 macOS、Linux、Windows、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 介面 | about.labels.key/value (已淘汰) additional.fields |
| mac | target.mac |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| MTU | about.labels.key/value (已淘汰) additional.fields |
| 指標 | about.labels.key/value (已淘汰) additional.fields |
| flags | about.labels.key/value (已淘汰) additional.fields |
| ipackets | about.labels.key/value (已淘汰) additional.fields |
| opackets | about.labels.key/value (已淘汰) additional.fields |
| ibytes | network.sent_bytes |
| obytes | network.received_bytes |
| ierrors | about.labels.key/value (已淘汰) additional.fields |
| oerrors | about.labels.key/value (已淘汰) additional.fields |
| idrops | about.labels.key/value (已淘汰) additional.fields |
| odrops | about.labels.key/value (已淘汰) additional.fields |
| 碰撞 | about.labels.key/value (已淘汰) additional.fields |
| last_change | about.labels.key/value (已淘汰) additional.fields |
| link_speed | about.labels.key/value (已淘汰) additional.fields |
| pci_slot | about.labels.key/value (已淘汰) additional.fields |
| friendly_name | about.labels.key/value (已淘汰) additional.fields |
| 說明 | about.labels.key/value (已淘汰) additional.fields |
| 製造商 | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value (已淘汰) additional.fields |
| connection_status | about.labels.key/value (已淘汰) additional.fields |
| 已啟用 | about.labels.key/value (已淘汰) additional.fields |
| physical_adapter | about.labels.key/value (已淘汰) additional.fields |
| 速度 | about.labels.key/value (已淘汰) additional.fields |
| 服務 | target.application |
| dhcp_enabled | about.labels.key/value (已淘汰) additional.fields |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value (已淘汰) additional.fields |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value (已淘汰) additional.fields |
| dns_host_name | about.labels.key/value (已淘汰) additional.fields |
| dns_server_search_order | about.labels.key/value (已淘汰) additional.fields |
interface_ipv6
下表列出結構定義 interface_ipv6 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 介面 | about.labels.key/value (已淘汰) additional.fields |
| hop_limit | about.labels.key/value (已淘汰) additional.fields |
| forwarding_enabled | about.labels.key/value (已淘汰) additional.fields |
| redirect_accept | about.labels.key/value (已淘汰) additional.fields |
| rtadv_accept | about.labels.key/value (已淘汰) additional.fields |
iptables
下表列出結構定義 iptables 和 OS Linux 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| filter_name | about.labels.key/value (已淘汰) additional.fields |
| 鏈結 | about.labels.key/value (已淘汰) additional.fields |
| 政策 | about.labels.key/value (已淘汰) additional.fields |
| 目標 | about.labels.key/value (已淘汰) additional.fields |
| 通訊協定 | about.labels.key/value (已淘汰) additional.fields |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value (已淘汰) additional.fields |
| iniface | about.labels.key/value (已淘汰) additional.fields |
| iniface_mask | about.labels.key/value (已淘汰) additional.fields |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value (已淘汰) additional.fields |
| outiface | about.labels.key/value (已淘汰) additional.fields |
| outiface_mask | about.labels.key/value (已淘汰) additional.fields |
| 相符項目 | about.labels.key/value (已淘汰) additional.fields |
| 封包 | about.labels.key/value (已淘汰) additional.fields |
| 位元組 | network.received_bytes |
kernel_panics
下表列出結構定義 kernel_panics 和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 路徑 | target.file.full_path |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| 暫存器 | about.labels.key/value (已淘汰) additional.fields |
| frame_backtrace | about.labels.key/value (已淘汰) additional.fields |
| module_backtrace | about.labels.key/value (已淘汰) additional.fields |
| 依附元件 | about.labels.key/value (已淘汰) additional.fields |
| 名稱 | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value (已淘汰) additional.fields |
| system_model | target.asset.hardware.model |
| 運作時間 | about.labels.key/value (已淘汰) additional.fields |
| last_loaded | about.labels.key/value (已淘汰) additional.fields |
| last_unloaded | about.labels.key/value (已淘汰) additional.fields |
keychain_acls
下表列出結構定義 keychain_acls 和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| keychain_path | about.labels.key/value (已淘汰) additional.fields |
| 授權 | about.labels.key/value (已淘汰) additional.fields |
| 路徑 | target.file.full_path |
| 說明 | metadata.description |
| 標籤 | about.labels.key/value (已淘汰) additional.fields |
known_hosts
下表列出結構定義 known_hosts 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| uid | target.user.userid |
| 金鑰 | about.labels.key/value (已淘汰) additional.fields |
| key_file | target.file.full_path |
最後一週
下表列出結構定義最後一個和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 使用者名稱 | target.user.user_display_name |
| tty | about.labels.key/value (已淘汰) additional.fields |
| pid | target.process.pid |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| type_name | about.labels.key/value (已淘汰) additional.fields |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| 主機 | target.hostname |
listening_ports
下表列出結構定義 listening_ports 和作業系統 macOS、Linux、Windows、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| pid | target.process.pid |
| 通訊埠 | target.port |
| 通訊協定 | network.ip_protocol |
| 系列 | about.labels.key/value (已淘汰) additional.fields |
| 地址 | target.ip |
| fd | about.labels.key/value (已淘汰) additional.fields |
| socket | about.labels.key/value (已淘汰) additional.fields |
| 路徑 | target.process.file.full_path |
| net_namespace | about.labels.key/value (已淘汰) additional.fields |
logged_in_users
下表列出結構定義 logged_in_users 和作業系統 macOS、Linux、Windows、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| 使用者 | target.user.userid |
| tty | about.labels.key/value (已淘汰) additional.fields |
| 主機 | target.hostname |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| pid | target.process.pid |
| sid | about.labels.key/value (已淘汰) additional.fields |
| registry_hive | about.labels.key/value (已淘汰) additional.fields |
logon_sessions
下表列出結構定義 logon_sessions 和 OS Windows 的日誌欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| logon_id | about.labels.key/value (已淘汰) additional.fields |
| 使用者 | target.user.user_display_name |
| logon_domain | about.labels.key/value (已淘汰) additional.fields |
| authentication_package | about.labels.key/value (已淘汰) additional.fields |
| logon_type | about.labels.key/value (已淘汰) additional.fields |
| session_id | network.session_id |
| logon_sid | about.labels.key/value (已淘汰) additional.fields |
| logon_time | about.labels.key/value (已淘汰) additional.fields |
| logon_server | about.labels.key/value (已淘汰) additional.fields |
| dns_domain_name | network.dns_domain |
| UPN | about.labels.key/value (已淘汰) additional.fields |
| logon_script | about.labels.key/value (已淘汰) additional.fields |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value (已淘汰) additional.fields |
| home_directory_drive | about.labels.key/value (已淘汰) additional.fields |
lxd_certificates
下表列出結構定義 lxd_certificates 和 OS Linux 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 名稱 | security_result.detection_fields.key/value |
| 類型 | security_result.detection_fields.key/value |
| 指紋 | security_result.detection_fields.key/value |
| 憑證 | security_result.detection_fields.key/value |
lxd_networks
下表列出結構定義 lxd_networks 和 OS Linux 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 名稱 | about.labels.key/value (已淘汰) additional.fields |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| 代管 | about.labels.key/value (已淘汰) additional.fields |
| ipv4_address | about.labels.key/value (已淘汰) additional.fields |
| ipv6_address | about.labels.key/value (已淘汰) additional.fields |
| used_by | about.labels.key/value (已淘汰) additional.fields |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value (已淘汰) additional.fields |
| packets_sent | about.labels.key/value (已淘汰) additional.fields |
| hwaddr | about.labels.key/value (已淘汰) additional.fields |
| state | about.labels.key/value (已淘汰) additional.fields |
| MTU | about.labels.key/value (已淘汰) additional.fields |
managed_policies
下表列出結構定義 managed_policies 和作業系統 macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 網域 | target.administrative_domain |
| uuid | about.labels.key/value (已淘汰) additional.fields |
| 名稱 | about.labels.key/value (已淘汰) additional.fields |
| 值 | about.labels.key/value (已淘汰) additional.fields |
| 使用者名稱 | target.user.user_display_name |
| 手動 | about.labels.key/value (已淘汰) additional.fields |
memory_devices
下表列出結構定義 memory_devices 和 OS Linux、macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 控制代碼 | about.labels.key/value (已淘汰) additional.fields |
| array_handle | about.labels.key/value (已淘汰) additional.fields |
| form_factor | about.labels.key/value (已淘汰) additional.fields |
| total_width | about.labels.key/value (已淘汰) additional.fields |
| data_width | about.labels.key/value (已淘汰) additional.fields |
| 大小 | about.labels.key/value (已淘汰) additional.fields |
| set | about.labels.key/value (已淘汰) additional.fields |
| device_locator | about.labels.key/value (已淘汰) additional.fields |
| bank_locator | about.labels.key/value (已淘汰) additional.fields |
| memory_type | about.labels.key/value (已淘汰) additional.fields |
| memory_type_details | about.labels.key/value (已淘汰) additional.fields |
| max_speed | about.labels.key/value (已淘汰) additional.fields |
| configured_clock_speed | about.labels.key/value (已淘汰) additional.fields |
| 製造商 | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value (已淘汰) additional.fields |
| min_voltage | about.labels.key/value (已淘汰) additional.fields |
| max_voltage | about.labels.key/value (已淘汰) additional.fields |
| configured_voltage | about.labels.key/value (已淘汰) additional.fields |
ntdomains
下表列出結構定義 ntdomains 和 OS Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 名稱 | about.labels.key/value (已淘汰) additional.fields |
| client_site_name | about.labels.key/value (已淘汰) additional.fields |
| dc_site_name | about.labels.key/value (已淘汰) additional.fields |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value (已淘汰) additional.fields |
| domain_name | target.administrative_domain |
| 狀態 | about.labels.key/value (已淘汰) additional.fields |
ntfs_acl_permissions
下表列出結構定義 ntfs_acl_permissions 和作業系統 Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 路徑 | target.file.full_path |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| 主體 | about.labels.key/value (已淘汰) additional.fields |
| 存取 | about.labels.key/value (已淘汰) additional.fields |
| inherited_from | about.labels.key/value (已淘汰) additional.fields |
os_version
下表列出結構定義 os_version 和作業系統 macOS、Linux、Windows、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 名稱 | about.labels.key/value (已淘汰) additional.fields |
| version | principal.platform_version |
| 主要 | about.labels.key/value (已淘汰) additional.fields |
| 未成年人 | about.labels.key/value (已淘汰) additional.fields |
| patch | principal.platform_patch_level |
| 建構 | about.labels.key/value (已淘汰) additional.fields |
| platform | principal.platform |
| platform_like | about.labels.key/value (已淘汰) additional.fields |
| 產品代號 | about.labels.key/value (已淘汰) additional.fields |
| arch | about.labels.key/value (已淘汰) additional.fields |
| install_date | about.labels.key/value (已淘汰) additional.fields |
| pid_with_namespace | about.labels.key/value (已淘汰) additional.fields |
| mount_namespace_id | about.labels.key/value (已淘汰) additional.fields |
osquery_events
下表列出 osquery_events 結構定義和 macOS、Linux、Windows、freebsd 作業系統的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 名稱 | target.resource.name |
| 發布端 | about.label.key/value |
| 類型 | about.label.key/value |
| 訂閱項目 | about.label.key/value |
| 直播 | about.label.key/value |
| 重新整理 | about.label.key/value |
| 有效 | about.label.key/value |
修補程式
下表列出結構定義修補程和 OS Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| csname | target.hostname |
| hotfix_id | about.labels.key/value (已淘汰) additional.fields |
| 說明文字 | about.labels.key/value (已淘汰) additional.fields |
| 說明 | metadata.description |
| fix_comments | about.labels.key/value (已淘汰) additional.fields |
| installed_by | about.labels.key/value (已淘汰) additional.fields |
| install_date | about.labels.key/value (已淘汰) additional.fields |
| installed_on | about.labels.key/value (已淘汰) additional.fields |
pci_devices
下表列出結構定義 pci_devices 和 OS Linux、macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| pci_slot | principal.labels.key/value (已淘汰) additional.fields |
| pci_class | principal.labels.key/value (已淘汰) additional.fields |
| 駕駛員 | principal.labels.key/value (已淘汰) additional.fields |
| vendor | principal.labels.key/value (已淘汰) additional.fields |
| vendor_id | principal.labels.key/value (已淘汰) additional.fields |
| 模型 | principal.asset.hardware.model |
| model_id | principal.labels.key/value (已淘汰) additional.fields |
| 子系統 | principal.labels.key/value (已淘汰) additional.fields |
| 快速 | principal.labels.key/value (已淘汰) additional.fields |
| thunderbolt | principal.labels.key/value (已淘汰) additional.fields |
| 可拆式 | principal.labels.key/value (已淘汰) additional.fields |
| pci_class_id | principal.labels.key/value (已淘汰) additional.fields |
| pci_subclass_id | principal.labels.key/value (已淘汰) additional.fields |
| pci_subclass | principal.labels.key/value (已淘汰) additional.fields |
| subsystem_vendor_id | principal.labels.key/value (已淘汰) additional.fields |
| subsystem_vendor | principal.labels.key/value (已淘汰) additional.fields |
| subsystem_model_id | principal.labels.key/value (已淘汰) additional.fields |
| subsystem_model | principal.labels.key/value (已淘汰) additional.fields |
管道
下表列出結構定義管道和 OS Linux 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| pid | target.process.pid |
| 名稱 | target.resource.name |
| 執行個體 | about.labels.key/value (已淘汰) additional.fields |
| max_instances | about.labels.key/value (已淘汰) additional.fields |
| flags | about.labels.key/value (已淘汰) additional.fields |
powershell_events
下表列出結構定義 powershell_events 和作業系統 Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 時間 | metadata.collected_timestamp |
| 日期時間 | about.labels.key/value (已淘汰) additional.fields |
| script_block_id | about.labels.key/value (已淘汰) additional.fields |
| script_block_count | about.labels.key/value (已淘汰) additional.fields |
| script_text | about.labels.key/value (已淘汰) additional.fields |
| script_name | about.labels.key/value (已淘汰) additional.fields |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value (已淘汰) additional.fields |
process_envs
下表列出結構定義 process_envs 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| pid | target.process.pid |
| 金鑰 | about.labels.key |
| 值 | about.labels.value |
process_events
下表列出結構定義 process_events 和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| version | target.platform_version |
| seq_num | about.labels.key/value (已淘汰) additional.fields |
| global_seq_num | about.labels.key/value (已淘汰) additional.fields |
| pid | target.process.pid |
| 路徑 | target.file.full_path |
| parent | target.process.parent_process.pid |
| original_parent | about.labels.key/value (已淘汰) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (已淘汰) additional.fields |
| env | about.labels.key/value (已淘汰) additional.fields |
| env_count | about.labels.key/value (已淘汰) additional.fields |
| cwd | about.labels.key/value (已淘汰) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (已淘汰) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value (已淘汰) additional.fields |
| 使用者名稱 | target.user.user_display_name |
| signing_id | about.labels.key/value (已淘汰) additional.fields |
| team_id | about.labels.key/value (已淘汰) additional.fields |
| cdhash | about.labels.key/value (已淘汰) additional.fields |
| platform_binary | about.labels.key/value (已淘汰) additional.fields |
| exit_code | about.labels.key/value (已淘汰) additional.fields |
| child_pid | about.labels.key/value (已淘汰) additional.fields |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| event_type | about.labels.key/value (已淘汰) additional.fields |
| EID | about.labels.key/value (已淘汰) additional.fields |
process_file_events
下表列出結構定義 process_file_events 和 OS Linux 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 作業 | about.labels.key/value (已淘汰) additional.fields |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| 可執行 | about.labels.key/value (已淘汰) additional.fields |
| 部分 | about.labels.key/value (已淘汰) additional.fields |
| cwd | about.labels.key/value (已淘汰) additional.fields |
| 路徑 | target.file.full_path |
| dest_path | about.labels.key/value (已淘汰) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| auid | about.labels.key/value (已淘汰) additional.fields |
| euid | about.labels.key/value (已淘汰) additional.fields |
| egid | about.labels.key/value (已淘汰) additional.fields |
| fsuid | about.labels.key/value (已淘汰) additional.fields |
| fsgid | about.labels.key/value (已淘汰) additional.fields |
| suid | about.labels.key/value (已淘汰) additional.fields |
| sgid | about.labels.key/value (已淘汰) additional.fields |
| 運作時間 | about.labels.key/value (已淘汰) additional.fields |
| EID | metadata.product_log_id |
process_open_sockets
下表列出結構定義 process_open_sockets 和作業系統 macOS、Linux、Windows、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| pid | principal.process.pid |
| fd | about.labels.key/value (已淘汰) additional.fields |
| socket | about.labels.key/value (已淘汰) additional.fields |
| 系列 | about.labels.key/value (已淘汰) additional.fields |
| 通訊協定 | about.labels.key/value (已淘汰) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| 路徑 | target.file.full_path |
| state | about.labels.key/value (已淘汰) additional.fields |
| net_namespace | about.labels.key/value (已淘汰) additional.fields |
程序
下表列出結構定義程序和 macOS、Linux、Windows、freebsd 作業系統的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| pid | target.process.pid |
| 名稱 | about.labels.key/value (已淘汰) additional.fields |
| 路徑 | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | target.process.attribute.labels.key/value |
| cwd | about.labels.key/value (已淘汰) additional.fields |
| root | about.labels.key/value (已淘汰) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | about.labels.key/value (已淘汰) additional.fields |
| egid | about.labels.key/value (已淘汰) additional.fields |
| suid | about.labels.key/value (已淘汰) additional.fields |
| sgid | about.labels.key/value (已淘汰) additional.fields |
| on_disk | about.labels.key/value (已淘汰) additional.fields |
| wired_size | about.labels.key/value (已淘汰) additional.fields |
| resident_size | about.labels.key/value (已淘汰) additional.fields |
| total_size | about.labels.key/value (已淘汰) additional.fields |
| user_time | about.labels.key/value (已淘汰) additional.fields |
| system_time | about.labels.key/value (已淘汰) additional.fields |
| disk_bytes_read | about.labels.key/value (已淘汰) additional.fields |
| disk_bytes_written | about.labels.key/value (已淘汰) additional.fields |
| start_time | about.labels.key/value (已淘汰) additional.fields |
| parent | target.process.parent_process.pid |
| pgroup | about.labels.key/value (已淘汰) additional.fields |
| 執行緒 | about.labels.key/value (已淘汰) additional.fields |
| 不錯 | about.labels.key/value (已淘汰) additional.fields |
| elevated_token | about.labels.key/value (已淘汰) additional.fields |
| secure_process | about.labels.key/value (已淘汰) additional.fields |
| protection_type | about.labels.key/value (已淘汰) additional.fields |
| virtual_process | about.labels.key/value (已淘汰) additional.fields |
| elapsed_time | about.labels.key/value (已淘汰) additional.fields |
| handle_count | about.labels.key/value (已淘汰) additional.fields |
| percent_processor_time | about.labels.key/value (已淘汰) additional.fields |
| upid | about.labels.key/value (已淘汰) additional.fields |
| uppid | about.labels.key/value (已淘汰) additional.fields |
| cpu_type | about.labels.key/value (已淘汰) additional.fields |
| cpu_subtype | about.labels.key/value (已淘汰) additional.fields |
程式
下表列出結構定義程式和 Windows 作業系統的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 名稱 | target.resource.name |
| version | target.platform_version |
| install_location | about.labels.key/value (已淘汰) additional.fields |
| install_source | about.labels.key/value (已淘汰) additional.fields |
| 語言 | about.labels.key/value (已淘汰) additional.fields |
| 發布端 | about.labels.key/value (已淘汰) additional.fields |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value (已淘汰) additional.fields |
| identifying_number | about.labels.key/value (已淘汰) additional.fields |
scheduled_tasks
下表列出結構定義 scheduled_tasks 和 OS Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 名稱 | target.resource.name |
| 動作 | security_result.action_details |
| 路徑 | target.file.full_path |
| 已啟用 | about.labels.key/value (已淘汰) additional.fields |
| state | about.labels.key/value (已淘汰) additional.fields |
| 隱藏 | about.labels.key/value (已淘汰) additional.fields |
| last_run_time | about.labels.key/value (已淘汰) additional.fields |
| next_run_time | about.labels.key/value (已淘汰) additional.fields |
| last_run_message | about.labels.key/value (已淘汰) additional.fields |
| last_run_code | about.labels.key/value (已淘汰) additional.fields |
seccomp_events
下表列出結構定義 seccomp_events 和作業系統 Linux 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| 運作時間 | about.labels.key/value (已淘汰) additional.fields |
| auid | about.labels.key/value (已淘汰) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| ses | about.labels.key/value (已淘汰) additional.fields |
| pid | target.process.pid |
| comm | about.labels.key/value (已淘汰) additional.fields |
| exe | target.file.full_path |
| sig | about.labels.key/value (已淘汰) additional.fields |
| arch | about.labels.key/value (已淘汰) additional.fields |
| syscall | about.labels.key/value (已淘汰) additional.fields |
| compat | about.labels.key/value (已淘汰) additional.fields |
| ip | about.labels.key/value (已淘汰) additional.fields |
| 程式碼 | about.labels.key/value (已淘汰) additional.fields |
seLinux_events
下表列出結構定義 seLinux_events 和 OS Linux 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| 訊息 | metadata.description |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| 運作時間 | about.labels.key/value (已淘汰) additional.fields |
| EID | metadata.product_log_id |
shadow
下表列出結構定義陰影和 OS Linux 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| password_status | about.labels.key/value (已淘汰) additional.fields |
| hash_alg | about.labels.key/value (已淘汰) additional.fields |
| last_change | about.labels.key/value (已淘汰) additional.fields |
| 分鐘 | about.labels.key/value (已淘汰) additional.fields |
| max | about.labels.key/value (已淘汰) additional.fields |
| 警告 | about.labels.key/value (已淘汰) additional.fields |
| 無效 | about.labels.key/value (已淘汰) additional.fields |
| expire | about.labels.key/value (已淘汰) additional.fields |
| 旗標 | about.labels.key/value (已淘汰) additional.fields |
| 使用者名稱 | principal.user.user_display_name |
shell_history
下表列出結構定義 shell_history 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| uid | principal.user.userid |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| 指令 | principal.process.command_line |
| history_file | principal.process.file.full_path |
shimcache
下表列出結構定義 shimcache 和 Windows 作業系統的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 項目 | about.labels.key/value (已淘汰) additional.fields |
| 路徑 | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value (已淘汰) additional.fields |
簽名
下表列出結構定義簽名和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 路徑 | target.file.full_path |
| hash_resources | about.labels.key/value (已淘汰) additional.fields |
| arch | about.labels.key/value (已淘汰) additional.fields |
| 已簽署 | target.file.pe_file.signature_info.verified |
| ID | target.file.pe_file.signature_info.signer |
| cdhash | about.labels.key/value (已淘汰) additional.fields |
| team_identifier | about.labels.key/value (已淘汰) additional.fields |
| 權威 | about.labels.key/value (已淘汰) additional.fields |
sip_config
下表列出結構定義 sip_config 和作業系統 macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| config_flag | about.labels.key/value (已淘汰) additional.fields |
| 已啟用 | about.labels.key/value (已淘汰) additional.fields |
| enabled_nvram | about.labels.key/value (已淘汰) additional.fields |
socket_events
下表列出結構定義 socket_events 和 OS Linux、macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 動作 | security_result.action_details |
| pid | target.process.pid |
| 路徑 | target.process.file.full_path |
| fd | about.labels.key/value (已淘汰) additional.fields |
| auid | target.user.userid |
| 狀態 | about.labels.key/value (已淘汰) additional.fields |
| 系列 | about.labels.key/value (已淘汰) additional.fields |
| 通訊協定 | about.labels.key/value (已淘汰) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| socket | about.labels.key/value (已淘汰) additional.fields |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| 運作時間 | about.labels.key/value (已淘汰) additional.fields |
| EID | metadata.product_log_id |
| 成功 | about.labels.key/value (已淘汰) additional.fields |
sudoers
下表列出結構定義 sudoers 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 來源 | about.labels.key/value (已淘汰) additional.fields |
| 標頭 | about.labels.key/value (已淘汰) additional.fields |
| rule_details | about.labels.key/value (已淘汰) additional.fields |
syslog_events
下表列出結構定義 syslog_events 和 OS Linux 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| 日期時間 | about.labels.key/value (已淘汰) additional.fields |
| 主機 | target.hostname |
| 嚴重性 | security_result.severity (列舉) |
| 設施 | about.labels.key/value (已淘汰) additional.fields |
| 標記 | about.labels.key/value (已淘汰) additional.fields |
| 訊息 | about.labels.key/value (已淘汰) additional.fields |
| EID | metadata.product_log_id |
system_info
下表列出結構定義 system_info 和作業系統 macOS、Linux、Windows、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 主機名稱 | principal.administrative_domain |
| uuid | about.labels.key/value (已淘汰) additional.fields |
| cpu_type | about.labels.key/value (已淘汰) additional.fields |
| cpu_subtype | about.labels.key/value (已淘汰) additional.fields |
| cpu_brand | about.labels.key/value (已淘汰) additional.fields |
| cpu_physical_cores | about.labels.key/value (已淘汰) additional.fields |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value (已淘汰) additional.fields |
| physical_memory | about.labels.key/value (已淘汰) additional.fields |
| hardware_vendor | about.labels.key/value (已淘汰) additional.fields |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value (已淘汰) additional.fields |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value (已淘汰) additional.fields |
| board_model | about.labels.key/value (已淘汰) additional.fields |
| board_version | about.labels.key/value (已淘汰) additional.fields |
| board_serial | about.labels.key/value (已淘汰) additional.fields |
| computer_name | about.labels.key/value (已淘汰) additional.fields |
| local_hostname | about.labels.key/value (已淘汰) additional.fields |
tpm_info
下表列出結構定義 tpm_info 和作業系統 Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 已啟用 | about.labels.key/value (已淘汰) additional.fields |
| 已啟用 | about.labels.key/value (已淘汰) additional.fields |
| 已擁有 | about.labels.key/value (已淘汰) additional.fields |
| manufacturer_version | about.labels.key/value (已淘汰) additional.fields |
| manufacturer_id | about.labels.key/value (已淘汰) additional.fields |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value (已淘汰) additional.fields |
| spec_version | about.labels.key/value (已淘汰) additional.fields |
usb_devices
下表列出結構定義 usb_devices 和 OS Linux、macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| usb_address | about.labels.key/value (已淘汰) additional.fields |
| usb_port | about.labels.key/value (已淘汰) additional.fields |
| vendor | about.labels.key/value (已淘汰) additional.fields |
| vendor_id | about.labels.key/value (已淘汰) additional.fields |
| version | about.labels.key/value (已淘汰) additional.fields |
| 模型 | target.asset.hardware.model |
| model_id | about.labels.key/value (已淘汰) additional.fields |
| serial | target.asset.hardware.serial_number |
| 類別 | about.labels.key/value (已淘汰) additional.fields |
| 子類別 | about.labels.key/value (已淘汰) additional.fields |
| 通訊協定 | about.labels.key/value (已淘汰) additional.fields |
| 可拆式 | about.labels.key/value (已淘汰) additional.fields |
user_events
下表列出結構定義 user_events 和作業系統 Linux、macOS、freebsd 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| uid | principal.user.userid |
| auid | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| 訊息 | metadata.description |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| 路徑 | target.file.full_path |
| 地址 | about.labels.key/value (已淘汰) additional.fields |
| 終端機 | about.labels.key/value (已淘汰) additional.fields |
| 時間 | metadata.collected_timestamp |
| 運作時間 | about.labels.key/value (已淘汰) additional.fields |
| EID | metadata.product_log_id |
user_groups
下表列出結構定義 user_groups 和作業系統 Linux、macOS、Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
使用者
下表列出結構定義使用者和 macOS、Linux、Windows、freebsd 作業系統的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value (已淘汰) additional.fields |
| gid_signed | about.labels.key/value (已淘汰) additional.fields |
| 使用者名稱 | principal.user.user_display_name |
| 說明 | about.labels.key/value (已淘汰) additional.fields |
| 目錄 | about.labels.key/value (已淘汰) additional.fields |
| 殼層 | about.labels.key/value (已淘汰) additional.fields |
| uuid | principal.user.product_object_id |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| is_hidden | about.labels.key/value (已淘汰) additional.fields |
| pid_with_namespace | about.labels.key/value (已淘汰) additional.fields |
wifi_networks
下表列出結構定義 wifi_networks 和 OS macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| ssid | target.labels.key/value (已淘汰) additional.fields |
| network_name | target.labels.key/value (已淘汰) additional.fields |
| security_type | target.labels.key/value (已淘汰) additional.fields |
| last_connected | about.labels.key/value (已淘汰) additional.fields |
| passpoint | about.labels.key/value (已淘汰) additional.fields |
| possibly_hidden | about.labels.key/value (已淘汰) additional.fields |
| 漫遊 | about.labels.key/value (已淘汰) additional.fields |
| roaming_profile | about.labels.key/value (已淘汰) additional.fields |
| captive_portal | about.labels.key/value (已淘汰) additional.fields |
| auto_login | target.labels.key/value (已淘汰) additional.fields |
| temporarily_disabled | target.labels.key/value (已淘汰) additional.fields |
| 已停用 | target.labels.key/value (已淘汰) additional.fields |
windows_crashes
下表列出結構定義 Windows_crashes 和 OS Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 日期時間 | about.labels.key/value (已淘汰) additional.fields |
| module | about.labels.key/value (已淘汰) additional.fields |
| 路徑 | target.process.file.full_path |
| pid | target.process.pid |
| tid | about.labels.key/value (已淘汰) additional.fields |
| version | about.labels.key/value (已淘汰) additional.fields |
| process_uptime | about.labels.key/value (已淘汰) additional.fields |
| stack_trace | about.labels.key/value (已淘汰) additional.fields |
| exception_code | about.labels.key/value (已淘汰) additional.fields |
| exception_message | about.labels.key/value (已淘汰) additional.fields |
| exception_address | about.labels.key/value (已淘汰) additional.fields |
| 暫存器 | about.labels.key/value (已淘汰) additional.fields |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value (已淘汰) additional.fields |
| 使用者名稱 | target.user.user_display_name |
| machine_name | about.labels.key/value (已淘汰) additional.fields |
| major_version | about.labels.key/value (已淘汰) additional.fields |
| minor_version | about.labels.key/value (已淘汰) additional.fields |
| build_number | target.platform_version |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| crash_path | about.labels.key/value (已淘汰) additional.fields |
windows_eventlog
Windows 事件 (WINEVTLOG) 剖析器會對應這些事件。詳情請參閱「收集 Microsoft Windows 事件資料」。
windows_events
Windows 事件 (WINEVTLOG) 剖析器會對應這些事件。詳情請參閱「收集 Microsoft Windows 事件資料」。
windows_firewall_rules
下表列出結構定義 Windows_firewall_rules 和作業系統 Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 名稱 | about.labels.key/value (已淘汰) additional.fields |
| app_name | target.application |
| 動作 | security_result.action (列舉) |
| 已啟用 | about.labels.key/value (已淘汰) additional.fields |
| 分組 | about.labels.key/value (已淘汰) additional.fields |
| 方向 | network.direction |
| 通訊協定 | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value (已淘汰) additional.fields |
| profile_domain | about.labels.key/value (已淘汰) additional.fields |
| profile_private | about.labels.key/value (已淘汰) additional.fields |
| profile_public | about.labels.key/value (已淘汰) additional.fields |
| service_name | about.labels.key/value (已淘汰) additional.fields |
windows_security_center
下表列出結構定義 Windows_security_center 和 OS Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 防火牆 | security_result.detection_fields.key/value |
| autoupdate | security_result.detection_fields.key/value |
| 防毒軟體 | security_result.detection_fields.key/value |
| 反間諜軟體 | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
下表列出結構定義 Windows_security_products 和 OS Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 類型 | about.labels.key/value (已淘汰) additional.fields |
| 名稱 | target.resource.name |
| state | about.labels.key/value (已淘汰) additional.fields |
| state_timestamp | about.labels.key/value (已淘汰) additional.fields |
| remediation_path | about.labels.key/value (已淘汰) additional.fields |
| signatures_up_to_date | about.labels.key/value (已淘汰) additional.fields |
wmi_bios_info
下表列出結構定義 wmi_bios_info 和作業系統 Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 名稱 | about.labels.key/value (已淘汰) additional.fields |
| 值 | about.labels.key/value (已淘汰) additional.fields |
yara
下表列出結構定義 yara 和作業系統 Linux、macOS、freebsd、Windows 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| 路徑 | target.file.full_path |
| 完全相符 | about.labels.key/value (已淘汰) additional.fields |
| 數量 | about.labels.key/value (已淘汰) additional.fields |
| sig_group | security_result.detection_fields.key/value |
| sigfile | security_result.detection_fields.key/value |
| sigrule | security_result.detection_fields.key/value |
| 字串 | about.labels.key/value (已淘汰) additional.fields |
| 標記 | about.labels.key/value (已淘汰) additional.fields |
| sigurl | security_result.detection_fields.key/value |
yara_events
下表列出結構定義 yara_events 和 OS Linux、macOS 的記錄欄位和對應的 UDM 對應項目:
| 記錄欄位 | UDM 對應 |
|---|---|
| metadata.event_type 會對應至 SETTING_MODIFICATION | |
| target_path | target.file.full_path |
| category | about.labels.key/value (已淘汰) additional.fields |
| 動作 | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| 完全相符 | about.labels.key/value (已淘汰) additional.fields |
| 數量 | about.labels.key/value (已淘汰) additional.fields |
| 字串 | about.labels.key/value (已淘汰) additional.fields |
| 標記 | about.labels.key/value (已淘汰) additional.fields |
| 時間 | about.labels.key/value (已淘汰) additional.fields |
| EID | metadata.product_log_id |
後續步驟
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。