Coletar registros do OSSEC
Neste documento, descrevemos como coletar registros do OSSEC configurando o OSSEC e um encaminhador do Google Security Operations. Este documento também lista os tipos de registros e a versão do OSSEC compatíveis.
Para mais informações, consulte Ingestão de dados no Google Security Operations.
Visão geral
O diagrama de arquitetura de implantação a seguir mostra como os agentes e servidores do OSSEC são configurados para enviar registros ao Google Security Operations. Cada implantação de cliente pode ser diferente dessa representação e ser mais complexa.
O diagrama da arquitetura mostra os seguintes componentes:
Sistema Linux. O sistema Linux a ser monitorado. O sistema Linux consiste nos arquivos a serem monitorados e no agente OSSEC.
Sistema Microsoft Windows. O sistema Microsoft Windows a ser monitorado em que o agente OSSEC está instalado.
Agente do OSSEC. O agente OSSEC coleta informações do sistema Microsoft Windows ou Linux e as encaminha para o servidor OSSEC.
Servidor OSSEC. O servidor OSSEC monitora e recebe informações dos agentes OSSEC, analisa os registros e os encaminha para o encaminhador das Operações de segurança do Google.
Agente do Bindplane: busca registros do osquery e os envia para o Google SecOps.
Encaminhador do Google Security Operations. O encaminhador do Google Security Operations é um componente de software leve implantado na rede do cliente que oferece suporte ao syslog. O encaminhador do Google Security Operations encaminha os registros para o Google Security Operations.
Google Security Operations. O Google Security Operations retém e analisa os registros do servidor OSSEC.
Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador
com o rótulo de ingestão OSSEC.
Antes de começar
Verifique se o agente OSSEC está instalado nos sistemas Microsoft Windows ou Linux que você planeja monitorar. Para mais informações sobre a instalação do agente OSSEC, consulte Instalação do OSSEC.
Use uma versão do OSSEC compatível com o analisador do Google Security Operations. O analisador do Google Security Operations é compatível com a versão 3.6.0 do OSSEC.
Verifique se o servidor OSSEC está instalado e configurado no servidor Linux central.
Verifique os tipos de registros compatíveis com o analisador do Google Security Operations. A tabela a seguir lista os produtos e os caminhos de arquivos de registros compatíveis com o analisador do Google Security Operations:
Sistema operacional Produto Caminho do arquivo de registro Microsoft Windows Microsoft Windows Logs de eventos Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux: servidor OSSEC OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/rundeck.api.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
Configurar o agente e o servidor OSSEC e o encaminhador do Google Security Operations
Para configurar o agente e o servidor do OSSEC e o encaminhador do Google Security Operations, faça o seguinte:
Para monitorar os registros gerados pelos sistemas Linux, crie um arquivo
ossec.confpara especificar a configuração de monitoramento de registros do agente. Confira um exemplo de arquivo de configuração para o agente no sistema Linux:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Para monitorar os registros gerados pelos sistemas Microsoft Windows, crie um arquivo
ossec.confpara especificar a configuração de monitoramento de registros do agente. Confira um exemplo de arquivo de configuração para o agente no sistema Microsoft Windows:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Para encaminhar os registros do servidor OSSEC para o Google Security Operations usando o protocolo syslog, crie o arquivo de configuração do servidor OSSEC
syslog.confno seguinte formato:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Configure o encaminhador do Google Security Operations para enviar registros ao Google Security Operations. Para mais informações, consulte Instalar e configurar o encaminhador no Linux. Confira a seguir um exemplo de configuração de encaminhador do Google Security Operations:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Encaminhar registros para o Google SecOps usando o agente do Bindplane
- Instale e configure uma máquina virtual Linux.
- Instale e configure o agente do Bindplane no Linux para encaminhar registros ao Google SecOps. Para mais informações sobre como instalar e configurar o agente do Bindplane, consulte as instruções de instalação e configuração do agente do Bindplane.
Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google SecOps.
Formatos de registro do OSSEC aceitos
O analisador do OSSEC é compatível com registros nos formatos SYSLOG+JSON, SYSLOG e SYSLOG+KV.
Registros de amostra do OSSEC compatíveis
SYSLOG+JSON:
2022 Jan 30 23: 13: 05 (wintest) 198.51.100.0->EventChannel { "win": { "system": { "providerName": "Microsoft-Windows-PowerShell", "providerGuid": "{A0C1853B-5C40-ABCD-1234-3CF1C58F985A}", "eventID": "4104", "version": "1", "level": "5", "task": "2", "opcode": "15", "keywords": "0x0", "systemTime": "2021-07-29T12:57:03.579362300Z", "eventRecordID": "150518739", "processID": "16520", "threadID": "6036", "channel": "Microsoft-Windows-PowerShell/Operational", "computer": "WINTEST.cbn.local", "severityValue": "VERBOSE", "message": "\\"Creating Scriptblock text (1 of 1):\\"" }, "eventdata": { "messageNumber": "1", "messageTotal": "1", "scriptBlockText": "$global:?", "scriptBlockId": "8d4870bf-4032-5432-1234-51ae1e6a05d5" } } }SYSLOG:
2024/04/02 15:31:58 ossec-testrule: INFO: Reading local decoder file.SYSLOG+KV:
2022 Jan 30 12:57:02 (ossectest) 198.51.100.0->/var/log/audit/audit.log type=LOGIN msg=audit(1627367436.123:8618732): pid=18281 uid=0 old-auid=1234967321 auid=996 tty=(none) old-ses=1234967321 ses=102952 res=1
Referência de mapeamento de campos
Esta seção explica como o analisador do Google Security Operations aplica padrões grok para sistemas Linux e Microsoft Windows e como ele mapeia campos de registro do OSSEC para campos do modelo unificado de dados (UDM, na sigla em inglês) do Google Security Operations para cada tipo de registro.
Para informações sobre o mapeamento de referência de campos comuns, consulte Campos comuns.
Para informações de referência sobre caminhos de registro, padrões grok para registros de exemplo, tipos de eventos e campos da UDM em sistemas Linux, consulte as seções a seguir:
Para informações sobre eventos compatíveis do Microsoft Windows e os campos correspondentes da UDM, consulte Dados de eventos do Microsoft Windows.
Campos comuns
A tabela a seguir lista os campos de registro comuns e os campos correspondentes da UDM.
| Campo de registro comum | Campo do UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| aplicativo | principal.application |
| log | metadata.description |
| ip | target.ip ou principal.ip |
| nome do host | target.hostname ou principal.hostname |
Sistema Linux
A tabela a seguir lista os caminhos de registro do sistema Linux, o padrão grok para exemplos de registros, o tipo de evento e os mapeamentos da UDM:
| Caminho do registro | Exemplo de registro | Padrão Grok | Tipo de evento | Mapeamento da UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | timestamp é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name log_level é mapeado para security_result.severity pid é mapeado para target.process.parent_process.pid tid é mapeado para target.process.pid client_ip é mapeado para principal.ip client_port é mapeado para principal.port error_message é mapeado para security_result.description network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] falha ao fazer a conexão | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | timestamp é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name log_level é mapeado para security_result.severity pid é mapeado para target.process.parent_process.pid tid é mapeado para target.process.pid error_message é mapeado para security_result.description network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" timestamp é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name log_level é mapeado para security_result.severity pid é mapeado para target.process.parent_process.pid tid é mapeado para target.process.pid client_ip é mapeado para principal.ip client_port é mapeado para principal.port error_message é mapeado para security_result.description target.platform está definido como "LINUX" referer_url é mapeado para network.http.referral_url |
| /var/log/apache2/error.log | Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | timestamp é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name log_level é mapeado para security_result.severity pid é mapeado para target.process.parent_process.pid tid é mapeado para target.process.pid client_ip é mapeado para principal.ip client_port é mapeado para principal.port error_message é mapeado para security_result.description target_ip é mapeado para target.ip referer_url é mapeado para network.http.referral_url network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp é mapeado para metadata.event_timestamp client_ip é mapeado para principal.ip client_port é mapeado para principal.port connection_id é mapeado para network.session_id network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sáb 02 de fevereiro 00:30:55 2019] Nova solicitação: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp é mapeado para metadata.event_timestamp request_id é mapeado para security_result.detection_fields.(key/value) client_ip é mapeado para principal.ip client_port é mapeado para principal.port pid é mapeado para target.process.parent_process.pid connection_id é mapeado para network.session_id network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | timestamp é mapeado para metadata.event_timestamp log_level é mapeado para security_result.severity request_id é mapeado para security_result.detection_fields.(key/value) client_ip é mapeado para principal.ip client_port é mapeado para principal.port pid é mapeado para target.process.parent_process.pid connection_id é mapeado para network.session_id error_message é mapeado para security_result.description file_path é mapeado para target.file.full_path network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip é mapeado para principal.ip userid é mapeado para principal.user.userid host é mapeado para principal.hostname timestamp é mapeado para metadata.event_timestamp O método é mapeado para network.http.method o recurso é mapeado para principal.resource.name client_protocol é mapeado para network.application_protocol result_status é mapeado para network.http.response_code object_size é mapeado para network.sent_bytes referer_url é mapeado para network.http.referral_url user_agent é mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host é mapeado para target.hostname target_port é mapeado para target.port client_ip é mapeado para principal.ip userid é mapeado para principal.user.userid host é mapeado para principal.hostname timestamp é mapeado para metadata.event_timestamp O método é mapeado para network.http.method o recurso é mapeado para principal.resource.name result_status é mapeado para network.http.response_code object_size é mapeado para network.sent_bytes referer_url é mapeado para network.http.referral_url user_agent é mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" network.application_protocol está definido como "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | path é mapeado para target.url referer_url é mapeado para network.http.referral_url network.direction está definido como "OUTBOUND" target.platform está definido como "LINUX" network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent é mapeado para network.http.user_agent network.direction está definido como "OUTBOUND" target.platform está definido como "LINUX" network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | time é mapeado para metadata.timestamp ip é mapeado para target.ip principal_ip é mapeado para principal.ip principal_user_userid é mapeado para principal.user.userid metadata_timestamp é mapeado para timestamp http_method é mapeado para network.http.method resource_name é mapeado para principal.resource.name protocol é mapeado para network.application_protocol = (HTTP) response_code é mapeado para network.http.response_code received_bytes é mapeado para network.sent_bytes referer_url é mapeado para network.http.referral_url user_agent é mapeado para network.http.user_agent target.platform está definido como "LINUX" metadata.vendor_name está definido como "NGINX" metadata.product_name está definido como "NGINX" network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 é mapeado para "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id é mapeado para principal.process.pid severity é mapeado para security_result.severity (debug é mapeado para UNKNOWN_SEVERITY, info é mapeado para INFORMATIONAL, notice é mapeado para LOW, warn é mapeado para MEDIUM, error é mapeado para ERROR, crit é mapeado para CRITICAL, alert é mapeado para HIGH) target_file_full_path é mapeado para target.file.full_path principal_ip é mapeado para principal.ip target_hostname é mapeado para target.hostname http_method é mapeado para network.http.method resource_name é mapeado para principal.resource.name protocol é mapeado para "TCP" target_ip é mapeado para target.ip target_port é mapeado para target.port security_description + security_result_description_2 é mapeado para security_result.description pid é mapeado para principal.process.parent_process.pid network.application_protocol está definido como "HTTP" O carimbo de data/hora é mapeado para %{year}/%{day}/%{month} %{time} target.platform está definido como "LINUX" metadata.vendor_name está definido como "NGINX" metadata.product_name está definido como "NGINX" network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Falha na verificação dos comandos necessários | [<message_text>]{security_description} | STATUS_UPDATE | time é mapeado para metadata.timestamp securtiy_description é mapeado para security_result.description principal.platform é definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name é definido como "RootKit Hunter" |
| var/log/rkhunter.log | [14:09:52] Checking for file '/dev/.oz/.nap/rkit/terror' [ Not found ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description é mapeado para metadata.description file_path é mapeado para target.file.full_path security_description é mapeado para security_result.description principal.platform é definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name é definido como "RootKit Hunter" |
| var/log/rkhunter.log | ossec: File size reduced (inode remained): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | time é mapeado para metadata.timestamp metadata_description é mapeado para metadata.description file_path é mapeado para target.file.full_path principal.platform é definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name é definido como "RootKit Hunter" |
| /var/log/kern.log | 7 de julho 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: origem marciana 1.20.32.39 de 192.0.2.1, em dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, no desenvolvimento {target_user_userid} | NETWORK_CONNECTION | timestamp é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type é mapeado para "metadata.product_event_type" target_ip é mapeado para "target.ip" principal_ip é mapeado para "principal.ip" target_user_userid é mapeado para "target.user.userid" metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.platform é definido como "LINUX" |
| /var/log/kern.log | Oct 25 10:10:51 localhost kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | timestamp é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type é mapeado para "metadata.product_event_type" metadata_description é mapeado para "metadata.description" file_path é mapeado para "principal.process.file" pid é mapeado para "principal.process.pid" metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.platform é definido como "LINUX" |
| /var/log/kern.log | 28 de abril 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | timestamp é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type é mapeado para "metadata.product_event_type" metadata_description é mapeado para "metadata.description" metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.platform é definido como "LINUX" |
| /var/log/kern.log | 28 de abril 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (família: 0x6, modelo: 0x55, etapa: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | timestamp é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type é mapeado para "metadata.product_event_type" principal_asset_hardware_cpu_model é mapeado para "principal.asset.hardware.cpu_model" metadata_description é mapeado para "metadata.description" metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.platform é definido como "LINUX" cpu_model é mapeado para principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 29 de janeiro, 13:51:46 winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | collected_time é mapeado para metadata.event_timestamp hostname é mapeado para principal.hostname pid é mapeado para principal.process.pid http_method é mapeado para network.http.method response_code é mapeado para network.http.response_code o recurso é mapeado para target.url target_ip é mapeado para target.ip received_bytes é mapeado para network.received_bytes metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.platform é definido como "LINUX" command_line é mapeado para principal.process.command_line |
| /var/log/syslog.log | 26 de julho 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp hostname é mapeado para principal.hostname pid é mapeado para principal.process.pid log_level é mapeado para security_result.severity message é mapeado para metadata.description command_line é mapeado para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.platform é definido como "LINUX" target_ip é mapeado para target.ip |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: New connection from 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp hostname é mapeado para principal.hostname pid é mapeado para principal.process.pid log_level é mapeado para security_result.severity description é mapeado para security_result.description command_line é mapeado para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.platform é definido como "LINUX" |
| /var/log/syslog.log | 29 de janeiro 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Invalid agent name zsecmgr0000-0719 (duplicated) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp hostname é mapeado para principal.hostname pid é mapeado para principal.process.pid log_level é mapeado para security_result.severity description + reason é mapeado para security_result.description command_line é mapeado para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.platform é definido como "LINUX" |
| /var/log/syslog.log | 2 de maio 06:25:01 localhost apachectl[64942]: AH00558: apache2: não foi possível determinar de forma confiável o nome de domínio totalmente qualificado do servidor, usando ::1. Defina a diretiva "ServerName" globalmente para suprimir essa mensagem | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp hostname é mapeado para principal.hostname pid é mapeado para principal.process.pid message é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.platform é definido como "LINUX" command_line é mapeado para principal.process.command_line |
| /var/log/syslog.log | 2 de maio 00:00:45 localhost fstrim[64727]: /: 6,7 GiB (7205015552 bytes) removidos | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp hostname é mapeado para principal.hostname pid é mapeado para principal.process.pid message é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.platform é definido como "LINUX" command_line é mapeado para principal.process.command_line |
| /var/log/syslog.log | 3 de maio, 10:14:37 localhost rsyslogd: o userid do rsyslogd foi alterado para 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collected_time é mapeado para metadata.collected_timestamp hostname é mapeado para principal.hostname message é mapeado para metadata.description user_id é mapeado para principal.user.userid command_line é mapeado para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.platform é definido como "LINUX" |
| /var/log/syslog.log | May 5 10:36:48 localhost systemd[1]: Starting System Logging Service... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp hostname é mapeado para principal.hostname pid é mapeado para principal.process.pid message é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.platform é definido como "LINUX" command_line é mapeado para principal.process.command_line |
| /var/log/mail.log | Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname é mapeado para target.hostname application é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname é mapeado para target.hostname application é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname é mapeado para target.hostname application é mapeado para target.application pid é mapeado para target.process.pid resource_name é mapeado para target.resource.name metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname é mapeado para target.hostname application é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is unreachable | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname é mapeado para target.hostname application é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| /var/log/mail.log | 7 de abril 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname é mapeado para target.hostname application é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - Accessing config key '[filterNames]' through dot notation is deprecated, and it will be removed in a future release. Use "config.getProperty(key, targetClass)". | [{timestamp}]{severity}{summary}\-{security_description}
, em {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | command_line é mapeado para "target.process.command_line" file_path é mapeado para "target.process.file.full_path" timestamp é mapeado para "metadata.event_timestamp" severity é mapeado para "security_result.severity" O resumo é mapeado para "security_result.summary" security_description é mapeado para "security_result.description" metadata.product_name é definido como "OSSEC" metadata.vendor_name está definido como "OSSEC" |
| /var/log/auth.log | 27 de abril 21:03:03 Ubuntu18 systemd-logind[836]: Removed session 3080. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | O carimbo de data/hora é mapeado para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, principal_hostname será mapeado para "target.hostname". Caso contrário, será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, será mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" network_session_id é mapeado para "network.session_id" Se metadata.event_type for USER_LOGOUT, principal_user_userid será mapeado para "principal.user.userid". Caso contrário, será mapeado para "target.user.userid". "principal.platform" é mapeado para "LINUX" if(removed_session) event_type é definido como USER_LOGOUT extensions.auth.type é definido como AUTHTYPE_UNSPECIFIED metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| /var/log/auth.log | 28 de abril 11:33:24 Ubuntu18 systemd-logind[836]: New session 3205 of user root. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | O carimbo de data/hora é mapeado para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, principal_hostname será mapeado para "target.hostname". Caso contrário, será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, será mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" network_session_id é mapeado para "network.session_id" Se metadata.event_type for USER_LOGOUT, principal_user_userid será mapeado para "principal.user.userid". Caso contrário, será mapeado para "target.user.userid". "principal.platform" é mapeado para "LINUX" "network.application_protocol" é mapeado para "SSH" if(new_session) event_type é definido como USER_LOGIN extensions.auth.type é definido como AUTHTYPE_UNSPECIFIED metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| /var/log/auth.log | 28 de abril 11:35:31 Ubuntu18 sshd[23573]: Accepted password for root from 10.0.1.1 port 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido )?{principal_user_userid} de {principal_ip} porta {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | O carimbo de data/hora é mapeado para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, principal_hostname será mapeado para "target.hostname". Caso contrário, será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, será mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" Se metadata.event_type for USER_LOGOUT, principal_user_userid será mapeado para "principal.user.userid". Caso contrário, será mapeado para "target.user.userid". principal_ip é mapeado para "principal.ip" principal_port é mapeado para "principal.port" security_result_detection_fields_ssh_kv é mapeado para "security_result.detection_fields.key/value" security_result_detection_fields_kv é mapeado para "security_result.detection_fields.key/value" "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| /var/log/auth.log | Apr 28 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | O carimbo de data/hora é mapeado para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, principal_hostname será mapeado para "target.hostname". Caso contrário, será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, será mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" principal_user_uuserid é mapeado para "principal.user.attribute.labels" principal_user_attribute_labels_euid_kv é mapeado para "principal.user.attribute.labels.key/value" principal_ruser_userid é mapeado para "principal.user.attribute.labels.key/value" target_ip é mapeado para "target.ip" Se metadata.event_type for USER_LOGOUT, principal_user_userid será mapeado para "principal.user.userid". Caso contrário, será mapeado para "target.user.userid". "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| /var/log/auth.log | 24 fev 00:13:02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | timestamp é mapeado para metadata.timestamp principal_hostname é mapeado para principal.hostname principal_application é mapeado para principal.application pid é mapeado para principal.process.pid principal_user_userid é mapeado para target.user.userid security_description é mapeado para "security_result.description" principal_process_command_line_1 é mapeado para "principal.process.command_line" principal_process_command_line_2 é mapeado para "principal.process.command_line" principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value" "principal.platform" está definido como "LINUX" |
| /var/log/auth.log | 26 de abril 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sessão aberta para o usuário root por (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido|usuário)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | timestamp é mapeado para metadata.timestamp Se metadata.event_type for USER_LOGOUT, principal_hostname será mapeado para "target.hostname". Caso contrário, será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, será mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" Se metadata.event_type for USER_LOGOUT, principal_user_userid será mapeado para "principal.user.userid". Caso contrário, será mapeado para "target.user.userid". principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value" "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| /var/log/auth.log | 26 de abril 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sessão fechada para o usuário root | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido|usuário)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | timestamp é mapeado para metadata.timestamp Se metadata.event_type for USER_LOGOUT, principal_hostname será mapeado para "target.hostname". Caso contrário, será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, será mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" Se metadata.event_type for USER_LOGOUT, principal_user_userid será mapeado para "principal.user.userid". Caso contrário, será mapeado para "target.user.userid". principal_user_attribute_labels_uid_kv é mapeado para principal.user.attribute.labels.key/value "principal.platform" está definido como "LINUX" metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| /var/log/auth.log | 24 de maio 12:56:31 ip-10-50-2-176 sshd[119931]: Timeout, client not responding. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | timestamp é mapeado para metadata.timestamp principal_hostname é mapeado para principal.hostname principal_application é mapeado para principal.application pid é mapeado para principal.process.pid security_result_description é mapeado para security_result_description "principal.platform" está definido como "LINUX" metadata.vendor_name está definido como OSSEC metadata.product_name está definido como OSSEC |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clearing cache and re-creating with version number 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | O carimbo de data/hora é mapeado para "metadata.timestamp" pid é mapeado para "principal.process.pid" principal_user_attribute_labels_kv é mapeado para "principal.user.attribute.labels" principal_group_attribute_labels_kv é mapeado para "principal.group.attribute.labels" principal_user_userid é mapeado para "principal.user.userid" principal_group_product_object_id é mapeado para "principal.group.product_object_id" security_description é mapeado para "security_result.description" metadata_description é mapeado para "metadata.description" metadata.product_name é definido como "OSSEC" "metadata.vendor_name" está definido como "OSSEC" |
| var/log/samba/log.winbindd | messaging_dgm_init: bind failed: No space left on device | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name é definido como "OSSEC" metadata.vendor_name" está definido como "OSSEC" user_id é mapeado para principal.user.userid desc é mapeado para metadata.description |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27.232.2 -> mohit_AUTOLOGIN/10.50.0.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | timestamp é mapeado para metadata.timestamp log_level é mapeado para security_result.severity local_ip é mapeado para principal.ip target_ip é mapeado para target.ip target_hostname é mapeado para principal.hostname port é mapeado para target.port o usuário é mapeado para "principal.user.user_display_name" metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform é definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | timestamp é mapeado para metadata.timestamp log_level é mapeado para security_result.severity msg é mapeado para security_result.description metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform é definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]10.50.0.1:16245 (via [AF_INET]10.50.2.175%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
message is mapped to <message_text>with[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | timestamp é mapeado para metadata.timestamp log_level é mapeado para security_result.severity A mensagem é mapeada para security_result.description metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform é definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 10.0.1.99,dhcp-option DNS 10.0.1.94,register-dns,block-ipv6,ifconfig 172.27.232.2 255.255.254.0,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | timestamp é mapeado para metadata.timestamp log_level é mapeado para security_result.severity A mensagem é mapeada para security_result.description o usuário é mapeado para "principal.user.user_display_name" ip é mapeado para principal.ip metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform é definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | timestamp é mapeado para metadata.timestamp log_level é mapeado para security_result.severity A mensagem é mapeada para security_result.description o resumo é mapeado para security_result.summary user_name é mapeado para principal.user.user_display_name cli é mapeado para principal.process.command_line O status é mapeado para principal.user.user_authentication_status metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform é definido como "LINUX" |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success' | type={audit_log_type} |
EventType na guia "Mapeamento de EventType do registro de auditoria" da planilha atual | audit_log_type é mapeado para metadata.product_event_type metadata_ingested_timestamp é mapeado para "metadata.event_timestamp" metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.plateform é definido como "LINUX" Os dados são mapeados para o par chave-valor -> mapeamento do UDM na guia "audit.log" da planilha atual. |
| var/ossec/logs/ossec.log | 2022/05/12 18:15:34 ossec-syscheckd: INFO: Starting syscheck scan | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | application é mapeado para target.application pid é mapeado para target.process.pid severity é mapeado para security_result.severity metadata_description é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | application é mapeado para target.application pid é mapeado para target.process.pid severity é mapeado para security_result.severity command_line é mapeado para target.process.command_line metadata_description é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' not accessible: 'Connection refused'. | {timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | application é mapeado para target.application pid é mapeado para target.process.pid severity é mapeado para security_result.severity metadata_description é mapeado para metadata.description O recurso é mapeado para target.resource.name metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | application é mapeado para target.application pid é mapeado para target.process.pid severity é mapeado para security_result.severity file_path é mapeado para target.file.full_path metadata_description é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | application é mapeado para target.application pid é mapeado para target.process.pid severity é mapeado para security_result.severity file_path é mapeado para target.file.full_path metadata.vendor_name está definido como OSSEC metadata.product_name está definido como OSSEC |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Reading authentication keys file. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | application é mapeado para target.application pid é mapeado para target.process.pid severity é mapeado para security_result.severity metadata_description é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1103): ERROR: Could not open file '/queue/rids/004' due to [(13)-(Permission denied)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | application é mapeado para target.application pid é mapeado para target.process.pid severity é mapeado para security_result.severity file_path é mapeado para target.file.full_path metadata_description é mapeado para metadata.description error_code é mapeado para security_result.summary error_metadata_description é mapeado para security_result.summary metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/03/23 13:00:51 ossec-remoted(1206): ERROR: Unable to Bind port '1514' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | application é mapeado para target.application pid é mapeado para target.process.pid severity é mapeado para security_result.severity metadata_description é mapeado para metadata.description port é mapeado para target.port metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:05 ossec-analysisd: INFO: Reading rules file: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | application é mapeado para target.application pid é mapeado para target.process.pid severity é mapeado para security_result.severity metadata_description é mapeado para metadata.description file_path é mapeado para target.file.full_path metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | application é mapeado para target.application pid é mapeado para target.process.pid severity é mapeado para security_result.severity file_path é mapeado para target.file.full_path metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" |
| Processo ntpd | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | protocol é mapeado para network.ip_protocol pid é mapeado para principal.process.pid metadata.description é definido como "Nome do programa: %{process_name}" metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.platform é definido como "LINUX" |
| syscheck | Arquivo "/usr/bin/fwts" modificado | O arquivo "{file_path}" {description} | FILE_MODIFICATION | A descrição é mapeada para metadata.description file_path é mapeado para target.file.full_path metadata.vendor_name está definido como "OSSEC" metadata.product_name é definido como "OSSEC" principal.platform é definido como "LINUX" |
Auditoria
Campos de registro de auditoria para campos do UDM
A tabela a seguir lista os campos de registro do tipo de registro de auditoria e os campos correspondentes da UDM.
| Campo de registro | Campo do UDM |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| dados | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| família | network.ip_protocol é definido como "IP6IN4" se "ip_protocol" == 2. Caso contrário, é definido como "UNKNOWN_IP_PROTOCOL" |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| nome do host | target.hostname |
| icmptype | network.ip_protocol está definido como "ICMP" |
| ID | Se [audit_log_type] == "ADD_USER", target.user.userid será definido como "%{id}"
Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id será definido como "%{id}" caso contrário, target.user.attribute.labels.key/value será definido como id |
| inode | target.resource.product_object_id |
| chave | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| modo | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| nome | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| ouid | target.user.userid |
| path | target.file.full_path |
| perm | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Se [ip_protocol] == 2, network.ip_protocol será definido como "IP6IN4"
caso contrário, network.ip_protocol será definido como "UNKNOWN_IP_PROTOCOL" |
| res | security_result.summary |
| result | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| sucesso | Se success=='yes', securtiy_result.summary será definido como 'system call was successful'
else securtiy_result.summary is set to 'systemcall was failed' |
| suid | target.user.userid |
| syscall | about.labels.key/value |
| terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Se [audit_log_type] em [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid for definido como principal.user.userid
else uid is set to target.user.userid |
| vm | target.resource.name |
Tipos de registro de auditoria para tipo de evento da UDM
A tabela a seguir lista os tipos de registro de auditoria e os tipos de eventos da UDM correspondentes.
| Tipo de registro de auditoria | Tipo de evento da UDM | Descrição |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Acionado quando um grupo de espaço do usuário é adicionado. |
| ADD_USER | USER_CREATION | Acionado quando uma conta de usuário do espaço do usuário é adicionada. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Acionado quando um processo termina de forma anormal (com um sinal que pode causar um despejo de núcleo, se ativado). |
| AVC | GENERIC_EVENT | Acionada para gravar uma verificação de permissão do SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Acionado quando a configuração do sistema de auditoria é modificada. |
| CRED_ACQ | USER_LOGIN | Acionado quando um usuário adquire credenciais de espaço do usuário. |
| CRED_DISP | USER_LOGOUT | Acionado quando um usuário descarta credenciais do espaço do usuário. |
| CRED_REFR | USER_LOGIN | Acionado quando um usuário atualiza as credenciais do espaço do usuário. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Acionada para registrar o identificador de chave criptográfica usado para fins criptográficos. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Acionada para registrar parâmetros definidos durante o estabelecimento de uma sessão TLS. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado para gravar o diretório de trabalho atual. |
| DAEMON_ABORT | PROCESS_TERMINATION | Acionada quando um daemon é interrompido devido a um erro. |
| DAEMON_END | PROCESS_TERMINATION | Acionado quando um daemon é interrompido com sucesso. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Acionado quando o daemon auditd retoma o registro. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Acionada quando o daemon auditd faz a rotação dos arquivos de registro de auditoria. |
| DAEMON_START | PROCESS_LAUNCH | Acionado quando o daemon auditd é iniciado. |
| DEL_GROUP | GROUP_DELETION | Acionado quando um grupo do espaço do usuário é excluído. |
| Pendente | USER_DELETION | Acionado quando um usuário do espaço do usuário é excluído. |
| EXECVE | PROCESS_LAUNCH | Acionada para gravar argumentos da chamada de sistema execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Acionado quando um valor booleano do SELinux é alterado. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado para registrar informações sobre um evento IPSec quando ele é detectado ou quando a configuração do IPSec muda. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Acionado quando um arquivo de política do SELinux é carregado. |
| MAC_STATUS | GENERIC_EVENT | Acionada quando o modo do SELinux (restrito, permissivo, desativado) é alterado. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado quando um rótulo estático é adicionado ao usar os recursos de rotulagem de pacotes do kernel fornecido pelo NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Acionada quando modificações na cadeia Netfilter são detectadas. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionada para registrar informações sobre um processo a que um sinal é enviado. |
| PATH | FILE_OPEN/GENERIC_EVENT | Acionada para gravar informações do caminho do nome do arquivo. |
| SELINUX_ERR | GENERIC_EVENT | Acionado quando um erro interno do SELinux é detectado. |
| SERVICE_START | SERVICE_START | Acionado quando um serviço é iniciado. |
| SERVICE_STOP | SERVICE_STOP | Acionado quando um serviço é interrompido. |
| SYSCALL | GENERIC_EVENT | Acionada para gravar uma chamada de sistema no kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Acionado quando o sistema é inicializado. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Acionada quando o nível de execução do sistema é alterado. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Acionada quando o sistema é desligado. |
| USER_ACCT | SETTING_MODIFICATION | Acionado quando uma conta de usuário do espaço do usuário é modificada. |
| USER_AUTH | USER_LOGIN | Acionado quando uma tentativa de autenticação no espaço do usuário é detectada. |
| USER_AVC | USER_UNCATEGORIZED | Acionado quando uma mensagem AVC de espaço do usuário é gerada. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Acionado quando um atributo da conta de usuário é modificado. |
| USER_CMD | USER_COMMUNICATION | Acionado quando um comando de shell do espaço do usuário é executado. |
| USER_END | USER_LOGOUT | Acionado quando uma sessão do espaço do usuário é encerrada. |
| USER_ERR | USER_UNCATEGORIZED | Acionado quando um erro de estado da conta de usuário é detectado. |
| USER_LOGIN | USER_LOGIN | Acionado quando um usuário faz login. |
| USER_LOGOUT | USER_LOGOUT | Acionado quando um usuário faz logout. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Acionado quando um daemon do espaço do usuário carrega uma política do SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Acionado para registrar dados de gerenciamento do espaço do usuário. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Acionado quando a função do SELinux de um usuário é alterada. |
| USER_START | USER_LOGIN | Acionado quando uma sessão do espaço do usuário é iniciada. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Acionada quando uma mudança na configuração do sistema no espaço do usuário é detectada. |
| VIRT_CONTROL | STATUS_UPDATE | Acionado quando uma máquina virtual é iniciada, pausada ou interrompida. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Acionada para registrar a vinculação de um rótulo a uma máquina virtual. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Acionado para registrar a atribuição de recursos de uma máquina virtual. |
Campos de registro de e-mail para campos do UDM
A tabela a seguir lista os campos de registro do tipo de registro de e-mail e os campos correspondentes da UDM.
| Campo de registro | Campo do UDM |
|---|---|
| Turma | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| De | network.email.from |
| Msgid | network.email.mail_id |
| Proto | network.application_protocol |
| Conexão relay | intermediary.hostname
intermediary.ip |
| Tamanho | network.received_bytes |
| Estatística | security_result.summary |
| a | network.email.to |
Tipos de registros de e-mail para tipo de evento da UDM
A tabela a seguir lista os tipos de registro de e-mail e os tipos de evento da UDM correspondentes.
| Tipo de registro de e-mail | Tipo de evento da UDM |
|---|---|
| sendmail | GENERIC_EVENT |
| pickup | EMAIL_UNCATEGORIZED |
| cleanup | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| Local | EMAIL_UNCATEGORIZED |
A seguir
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.