Raccogliere i log CIM di Splunk

Supportato in:

Questo documento descrive come raccogliere i log del modello di informazioni comuni (CIM) di Splunk configurando Splunk e un forwarder di Google Security Operations. Questo documento elenca anche i tipi di log supportati e le versioni di Splunk supportate.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Panoramica

Il seguente diagramma dell'architettura di deployment mostra come gli agenti Splunk sono configurati per inviare i log a Google Security Operations. Ogni implementazione del cliente potrebbe essere diversa da questa rappresentazione e potrebbe essere più complessa.

Architettura di deployment

Il diagramma dell'architettura mostra i seguenti componenti:

  • Origine dati: il sistema da monitorare in cui è installato Splunk.

  • Splunk: raccoglie le informazioni dall'origine dati e le inoltra al forwarder di Google Security Operations.

  • Inoltro di Google Security Operations: un componente software leggero, di cui viene eseguito il deployment nella rete del cliente per inoltrare i log a Google Security Operations.

  • Google Security Operations: conserva e analizza i log del server di Fleet.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con etichetta di importazione SPLUNK.

Prima di iniziare

  • Utilizza la versione 5.0 di Splunk supportata dal parser di Google Security Operations.

  • Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.

Configurare un agente Splunk e un forwarder di Google Security Operations

  1. Configura Splunk Enterprise.

  2. Installa un agente conforme a CIM da Splunkbase.

  3. Configura un forwarder di Google Security Operations.

  4. Configura il forwarder di Google Security Operations per inviare i log al sistema di Google Security Operations. Di seguito è riportato un esempio di configurazione di un forwarder di Google Security Operations:

      - splunk:
          common:
            enabled: true
            data_type: SPLUNK
            batch_n_seconds: 10
            batch_n_bytes: 819200
          url: <SPLUNK_URL>
          query_cim: true
          is_ignore_cert: true
          query_string: datamodel Network_Traffic All_Traffic flat
    

Considerazioni per la scrittura di query di ricerca Splunk

Splunk ha un proprio linguaggio di ricerca, simile a SQL. Assicurati di utilizzare la sintassi corretta per la query di ricerca. Quando crei una query, tieni presenti le seguenti caratteristiche di ricerca:

Carattere di escape

Se un valore di stringa contiene una virgoletta doppia ", utilizza i caratteri barra rovesciata per eseguire l'escape della virgoletta. In caso contrario, la ricerca interpreta erroneamente la fine del valore della stringa.

Ad esempio, per cercare una stringa WHERE _raw="The user "vpatel" isn't authenticated.", devi utilizzare la sequenza \" per cercare una virgola doppia letterale.

Scrivi la stringa di ricerca nel seguente formato:

WHERE _raw="The user \"vpatel\" isn't authenticated."

Per eseguire l'escape di un carattere barra rovesciata \ , utilizza la sequenza \\ per cercare una barra rovesciata.

Ad esempio, se è presente una stringa come C:\user\abc, deve essere scritta come C:\\user\\abc.

Se una sezione della query non è valida, l'intera query non viene valutata e viene visualizzato un messaggio di errore.

Considera l'esempio seguente in cui l'opzione della modalità di ricerca non è presente nella query:

multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]

In questo esempio, l'opzione della modalità di ricerca non è presente nella query. Viene visualizzato il seguente errore:

Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.

Supporto di più modelli di dati

Splunk supporta una singola query di grandi dimensioni che copre i modelli di dati. La seguente query di ricerca estrae i dati da più modelli di dati:

multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]

Di seguito sono riportati i componenti di questa query che abbracciano i modelli di dati:

Multisearch: la query deve iniziare con la parola multisearch. Una query per un modello dei dati deve essere racchiusa tra parentesi quadre [ ] e deve iniziare con un carattere barra |.

Network_Traffic: il nome del modello dei dati.

All_Traffic: set di dati del modello dei dati Network_Traffic.

flat: modalità di ricerca. Le altre opzioni sono search e acceleration_search.

Ti consigliamo di utilizzare la seguente query Splunk per la ricerca di più modello dei dati:

multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]

Tipi di log e modelli di dati supportati

Modello dei dati di Splunk Supportato
Avvisi
Stato dell'applicazione (deprecato) No
Autenticazione
Certificati
Modifica
Analisi delle modifiche (non più supportata) No
Accesso ai dati
Database
Data Loss Prevention
Email
Endpoint
Firme evento
Interprocess Messaging
Rilevamento delle intrusioni
Inventario
Java Virtual Machines (JVM)
Malware
Risoluzione della rete (DNS)
Sessioni di rete
Traffico di rete
Prestazioni
Audit log di Splunk
Gestione dei ticket
Aggiornamenti
Vulnerabilità
Web

Riferimento alla mappatura dei campi

Questa sezione spiega in che modo il parser di Google Security Operations mappa i campi dei log di Splunk ai campi del modello di dati unificato (UDM) di Google Security Operations per i set di dati. Per ulteriori informazioni, consulta il documento di Splunk per la versione 5.0.1.

Avvisi

La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il set di dati di Splunk Avvisi:

Campo log Mappatura UDM
app observer.application
description security_result.description
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

dest_type target.resource.resource_type
ID metadata.product_log_id
mitre_technique_id security_result.detection_fields.labels.key/value
gravità security_result.severity
severity_id

about.labels.key/value (deprecato)

additional.fields

firma metadata.description
signature_id security_result.rule_name
src

principal.ip

principal.hostname

principal.labels.key/value (deprecato)

src_bunit

principal.labels.key/value (deprecato)

additional.fields

src_category

principal.labels.key/value (deprecato)

additional.fields

src_priority

principal.labels.key/value (deprecato)

additional.fields

src_type principal.resource.resource_type
tag

about.labels.key/value (deprecato)

additional.fields

tipo security_result.alert_state
utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_name principal.user.userid
user_priority principal.user.attribute.label.key/value
vendor_account

about.labels.key/value (deprecato)

additional.fields

vendor_region about.location.country_or_region

Autenticazione

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Authentication:

Campo log Mappatura UDM
azione security_result.action_details
security_result.action
app target.application
authentication_method

about.labels.key/value (deprecato)

additional.fields

authentication_service extension.auth.auth_details
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_nt_domain

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

duration network.session_duration
motivo security_result.summary
response_time

about.labels.key/value (deprecato)

additional.fields

firma metadata.description
signature_id metadata.product_event_type
src

principal.ip

principal.hostname

principal.labels.key/value (deprecato)

src_bunit

principal.labels.key/value (deprecato)

additional.fields

src_category

principal.labels.key/value (deprecato)

additional.fields

src_nt_domain

principal.labels.key/value (deprecato)

additional.fields

src_priority

principal.labels.key/value (deprecato)

additional.fields

src_user principal.user.user_display_name
src_user_bunit

principal.labels.key/value (deprecato)

additional.fields

src_user_category

principal.labels.key/value (deprecato)

additional.fields

src_user_id principal.user.userid
src_user_priority

principal.labels.key/value (deprecato)

additional.fields

src_user_role principal.user.attribute.roles.name (ripetuto)
src_user_type principal.user.attribute.roles.type
tag

about.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
user_agent network.http.user_agent
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_id principal.user.userid
user_priority principal.user.attribute.label.key/value
user_role principal.user.attribute.roles.name (ripetuto)
user_type principal.user.attribute.roles.type
vendor_account

about.labels.key/value (deprecato)

additional.fields

All_Certificates

La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk All_Certificates:

Campo log Mappatura UDM
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_port target.port
dest_priority

target.labels.key/value (deprecato)

additional.fields

duration network.session_duration
response_time

about.labels.key/value (deprecato)

additional.fields

src

principal.ip

principal.hostname

principal.labels.key/value (deprecato)

src_bunit

principal.labels.key/value (deprecato)

additional.fields

src_category

principal.labels.key/value (deprecato)

additional.fields

src_port principal.port
src_priority

principal.labels.key/value (deprecato)

additional.fields

tag

about.labels.key/value (deprecato)

additional.fields

trasporto network.ip_protocol

SSL

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk SSL:

Campo log Mappatura UDM
ssl_end_time network.tls.server.certificate.not_after
ssl_engine

about.labels.key/value (deprecato)

additional.fields

ssl_hash

about.labels.key/value (deprecato)

additional.fields

ssl_is_valid

about.labels.key/value (deprecato)

additional.fields

ssl_issuer network.tls.server.certificate.issuer
ssl_issuer_common_name

about.labels.key/value (deprecato)

additional.fields

ssl_issuer_email

about.labels.key/value (deprecato)

additional.fields

ssl_issuer_email_domain

about.labels.key/value (deprecato)

additional.fields

ssl_issuer_locality

about.labels.key/value (deprecato)

additional.fields

ssl_issuer_organization

about.labels.key/value (deprecato)

additional.fields

ssl_issuer_state

about.labels.key/value (deprecato)

additional.fields

ssl_issuer_street

about.labels.key/value (deprecato)

additional.fields

ssl_issuer_unit

about.labels.key/value (deprecato)

additional.fields

ssl_name

about.labels.key/value (deprecato)

additional.fields

ssl_policies

about.labels.key/value (deprecato)

additional.fields

ssl_publickey

about.labels.key/value (deprecato)

additional.fields

ssl_publickey_algorithm

about.labels.key/value (deprecato)

additional.fields

ssl_serial network.tls.server.certificate.serial
ssl_session_id network.session_id
ssl_signature_algorithm

about.labels.key/value (deprecato)

additional.fields

ssl_start_time network.tls.server.certificate.not_before
ssl_subject network.tls.server.certificate.subject
ssl_subject_common_name

about.labels.key/value (deprecato)

additional.fields

ssl_subject_email

about.labels.key/value (deprecato)

additional.fields

ssl_subject_email_domain

about.labels.key/value (deprecato)

additional.fields

ssl_subject_locality

about.labels.key/value (deprecato)

additional.fields

ssl_subject_organization

about.labels.key/value (deprecato)

additional.fields

ssl_subject_state

about.labels.key/value (deprecato)

additional.fields

ssl_subject_street

about.labels.key/value (deprecato)

additional.fields

ssl_subject_unit

about.labels.key/value (deprecato)

additional.fields

ssl_validity_window

about.labels.key/value (deprecato)

additional.fields

ssl_version network.tls.server.certificate.version

All_Changes

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk All_Changes:

Campo log Mappatura UDM
azione security_result.action_details
security_result.action
change_type security_result.category_details
comando principal.process.command_line
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

dvc principal.asset.hostname, principal.asset.ip
oggetto target.resource.name
object_attrs

about.labels.key/value (deprecato)

additional.fields

object_category

about.labels.key/value (deprecato)

additional.fields

object_id target.user.product_object_id
object_path target.file.full_path
risultato metadata.description
result_id metadata.product_event_type
src

principal.ip

principal.hostname

principal.labels.key/value (deprecato)

src_bunit

principal.labels.key/value (deprecato)

additional.fields

src_category

principal.labels.key/value (deprecato)

additional.fields

src_priority

principal.labels.key/value (deprecato)

additional.fields

stato security_result.summary
tag

about.labels.key/value (deprecato)

additional.fields

utente target.user.userid
user_agent network.http.user_agent
user_name principal.user.user_display_name, target.labels.key/value
user_type principal.user.attribute.roles.type, target.user.attribute.roles.type
vendor_account

about.labels.key/value (deprecato)

additional.fields

vendor_product

about.labels.key/value (deprecato)

additional.fields

vendor_region about.location.country_or_region

Account_Management

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Account_Management:

Campo log Mappatura UDM
dest_nt_domain target.administrative_domain
src_nt_domain principal.administrative_domain
src_user principal.user.userid
src_user_bunit

principal.labels.key/value (deprecato)

additional.fields

src_user_category

principal.labels.key/value (deprecato)

additional.fields

src_user_priority

principal.labels.key/value (deprecato)

additional.fields

src_user_name

principal.labels.key/value (deprecato)

additional.fields

src_user_type principal.user.attribute.roles.type

Instance_Changes

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Instance_Changes:

Campo log Mappatura UDM
image_id principal.asset_id
instance_type

about.labels.key/value (deprecato)

additional.fields

network_Changes

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk network_Changes:

Campo log Mappatura UDM
dest_ip_range

target.labels.key/value (deprecato)

additional.fields

dest_port_range

target.labels.key/value (deprecato)

additional.fields

direction network.direction
protocollo network.ip_protocol
rule_action security_result.action_details
security_result.action
src_ip_range

principal.labels.key/value (deprecato)

additional.fields

src_port_range

principal.labels.key/value (deprecato)

additional.fields

Data_Access

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Data_Access:

Campo log Mappatura UDM
azione security_result.action_details
security_result.action
app target.application
app_id metadata.product_log_id
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_name target.administrative_domain
dest_url target.url
dvc principal.asset.hostname, principal.asset.ip
email principal.user.email_addresses
oggetto target.resource.name
object_category

about.labels.key/value (deprecato)

additional.fields

object_id target.user.product_object_id
object_path target.file.full_path
object_size target.file.size
proprietario

about.labels.key/value (deprecato)

additional.fields

owner_email

about.labels.key/value (deprecato)

additional.fields

owner_id principal.user.userid
parent_object target.resource.parent
parent_object_id

about.labels.key/value (deprecato)

additional.fields

parent_object_category

about.labels.key/value (deprecato)

additional.fields

src

principal.ip

principal.hostname

principal.labels.key/value (deprecato)

tenant_id

about.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
user_agent network.http.user_agent
user_group principal.user.group_identifiers(repeated)
user_role principal.user.attribute.roles.name (ripetuto)
vendor_product

about.labels.key/value (deprecato)

additional.fields

vendor_product_id

about.labels.key/value (deprecato)

additional.fields

All_Databases

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk All_Databases:

Campo log Mappatura UDM
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

duration network.session_duration
oggetto target.resource.name
response_time

about.labels.key/value (deprecato)

additional.fields

src

principal.ip

principal.hostname

principal.labels.key/value (deprecato)

src_bunit

principal.labels.key/value (deprecato)

additional.fields

src_category

principal.labels.key/value (deprecato)

additional.fields

src_priority

principal.labels.key/value (deprecato)

additional.fields

tag

about.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product

about.labels.key/value (deprecato)

additional.fields

Database_Instance

La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk Database_Instance:

Campo log Mappatura UDM
instance_name target.resource.attributes.key/value
instance_version target.resource.attributes.key/value
process_limit

about.labels.key/value (deprecato)

additional.fields

session_limit

about.labels.key/value (deprecato)

additional.fields

Database_Query

La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk Database_Query:

Campo log Mappatura UDM
query

about.labels.key/value (deprecato)

additional.fields

query_id

about.labels.key/value (deprecato)

additional.fields

query_time

about.labels.key/value (deprecato)

additional.fields

records_affected

about.labels.key/value (deprecato)

additional.fields

Instance_Stats

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Instance_Stats:

Campo log Mappatura UDM
disponibilità

about.labels.key/value (deprecato)

additional.fields

avg_executions

about.labels.key/value (deprecato)

additional.fields

dump_area_used

about.labels.key/value (deprecato)

additional.fields

instance_reads

about.labels.key/value (deprecato)

additional.fields

instance_writes

about.labels.key/value (deprecato)

additional.fields

number_of_users

about.labels.key/value (deprecato)

additional.fields

processi

about.labels.key/value (deprecato)

additional.fields

sessioni

about.labels.key/value (deprecato)

additional.fields

sga_buffer_cache_size

about.labels.key/value (deprecato)

additional.fields

sga_buffer_hit_limit

about.labels.key/value (deprecato)

additional.fields

sga_data_dict_hit_ratio

about.labels.key/value (deprecato)

additional.fields

sga_fixed_area_size

about.labels.key/value (deprecato)

additional.fields

sga_free_memory

about.labels.key/value (deprecato)

additional.fields

sga_library_cache_size

about.labels.key/value (deprecato)

additional.fields

sga_redo_log_buffer_size

about.labels.key/value (deprecato)

additional.fields

sga_shared_pool_size

about.labels.key/value (deprecato)

additional.fields

sga_sql_area_size

about.labels.key/value (deprecato)

additional.fields

start_time

about.labels.key/value (deprecato)

additional.fields

tablespace_used

about.labels.key/value (deprecato)

additional.fields

Session_Info

La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Session_Info:

Campo log Mappatura UDM
buffer_cache_hit_ratio

about.labels.key/value (deprecato)

additional.fields

commit

about.labels.key/value (deprecato)

additional.fields

cpu_used

about.labels.key/value (deprecato)

additional.fields

cursore

about.labels.key/value (deprecato)

additional.fields

elapsed_time

about.labels.key/value (deprecato)

additional.fields

logical_reads

about.labels.key/value (deprecato)

additional.fields

macchina about.hostname
memory_sorts

about.labels.key/value (deprecato)

additional.fields

physical_reads

about.labels.key/value (deprecato)

additional.fields

seconds_in_wait

about.labels.key/value (deprecato)

additional.fields

session_id network.session_id
session_status

about.labels.key/value (deprecato)

additional.fields

table_scans

about.labels.key/value (deprecato)

additional.fields

wait_state

about.labels.key/value (deprecato)

additional.fields

wait_time

about.labels.key/value (deprecato)

additional.fields

Lock_Info

La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk Lock_Info:

Campo log Mappatura UDM
last_call_minute

about.labels.key/value (deprecato)

additional.fields

lock_mode

about.labels.key/value (deprecato)

additional.fields

lock_session_id

about.labels.key/value (deprecato)

additional.fields

logon_time

about.labels.key/value (deprecato)

additional.fields

obj_name

about.labels.key/value (deprecato)

additional.fields

os_pid target.process.pid
serial_num target.resource.product_object_id

Spazio tabella

La tabella seguente elenca i campi di log e le relative mappature UDM per lo spazio tabella del set di dati Splunk:

Campo log Mappatura UDM
free_bytes about.file.size
tablespace_name about.resource.name
tablespace_reads

about.labels.key/value (deprecato)

additional.fields

tablespace_status

about.labels.key/value (deprecato)

additional.fields

tablespace_writes

about.labels.key/value (deprecato)

additional.fields

Query_Stats

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Query_Stats:

Campo log Mappatura UDM
indexes_hit

about.labels.key/value (deprecato)

additional.fields

query_plan_hit

about.labels.key/value (deprecato)

additional.fields

stored_procedures_called

about.labels.key/value (deprecato)

additional.fields

tables_hit

about.labels.key/value (deprecato)

additional.fields

DLP_Incidents

La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk DLP_Incidents:

Campo log Mappatura UDM
azione security_result.action_details
security_result.action
app target.application
categoria security_result.category_details
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

dest_zone target.location.country_or_origin
dlp_type

about.labels.key/value (deprecato)

additional.fields

dvc principal.asset.hostname, principal.asset.ip
dvc_bunit

about.labels.key/value (deprecato)

additional.fields

dvc_category

about.labels.key/value (deprecato)

additional.fields

dvc_priority

about.labels.key/value (deprecato)

additional.fields

dvc_zone principal.asset.location.country_or_region
oggetto target.resource.name
object_category

about.labels.key/value (deprecato)

additional.fields

object_path target.file.full_path
gravità security_result.severity
severity_id

about.labels.key/value (deprecato)

additional.fields

firma metadata.description
signature_id metadata.product_event_type
src

principal.ip

principal.hostname

principal.labels.key/value (deprecato)

src_bunit

principal.labels.key/value (deprecato)

additional.fields

src_category

principal.labels.key/value (deprecato)

additional.fields

src_priority

principal.labels.key/value (deprecato)

additional.fields

src_user principal.user.user_display_name
src_user_bunit

principal.labels.key/value (deprecato)

additional.fields

src_user_category

principal.labels.key/value (deprecato)

additional.fields

src_user_priority

principal.labels.key/value (deprecato)

additional.fields

src_zone principal.location.country_or_origin
tag

about.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product

about.labels.key/value (deprecato)

additional.fields

All_Email

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk All_Email:

Campo log Mappatura UDM
azione security_result.action_details
security_result.action
delay

about.labels.key/value (deprecato)

additional.fields

dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

duration network.session_duration
file_hash about.file.sha256, about.file.md5, about.file.sha1
file_name

about.labels.key/value (deprecato)

additional.fields

file_size about.file.size
internal_message_id metadata.product_log_id
message_id network.email.mail_id
message_info

about.labels.key/value (deprecato)

additional.fields

orig_dest

target.labels.key/value (deprecato)

additional.fields

orig_recipient

about.labels.key/value (deprecato)

additional.fields

orig_src network.email.from
di diffusione principal.process.command_line
process_id principal.process.pid
protocollo network.application_protocol
destinatario network.email.to
recipient_count

about.labels.key/value (deprecato)

additional.fields

recipient_domain

about.labels.key/value (deprecato)

additional.fields

recipient_status

about.labels.key/value (deprecato)

additional.fields

response_time

about.labels.key/value (deprecato)

additional.fields

tentativi

about.labels.key/value (deprecato)

additional.fields

return_addr

about.labels.key/value (deprecato)

additional.fields

dimensioni

about.labels.key/value (deprecato)

additional.fields

src

principal.ip

principal.hostname

principal.labels.key/value (deprecato)

src_bunit

principal.labels.key/value (deprecato)

additional.fields

src_category

principal.labels.key/value (deprecato)

additional.fields

src_priority

principal.labels.key/value (deprecato)

additional.fields

src_user principal.user.email_addresses
src_user_bunit

principal.labels.key/value (deprecato)

additional.fields

src_user_category

principal.labels.key/value (deprecato)

additional.fields

src_user_domain principal.administrative_domain
src_user_priority

principal.labels.key/value (deprecato)

additional.fields

status_code

about.labels.key/value (deprecato)

additional.fields

subject network.email.subject(repeated)
tag

about.labels.key/value (deprecato)

additional.fields

url about.url
utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product

about.labels.key/value (deprecato)

additional.fields

xdelay

about.labels.key/value (deprecato)

additional.fields

xref

about.labels.key/value (deprecato)

additional.fields

Filtri

Nella tabella seguente sono elencati i campi di log e le relative mappature UDM per il filtro del set di dati Splunk:

Campo log Mappatura UDM
filter_action

about.labels.key/value (deprecato)

additional.fields

filter_score

about.labels.key/value (deprecato)

additional.fields

firma metadata.description
signature_extra

about.labels.key/value (deprecato)

additional.fields

signature_id metadata.product_event_type

Porte

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Ports:

Campo log Mappatura UDM
creation_time

about.labels.key/value (deprecato)

additional.fields

dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_port target.port
dest_priority

target.labels.key/value (deprecato)

additional.fields

dest_requires_av

target.labels.key/value (deprecato)

additional.fields

dest_should_timesync

target.labels.key/value (deprecato)

additional.fields

dest_should_update

target.labels.key/value (deprecato)

additional.fields

process_guid principal.process.product_specific_process_id
process_id principal.process.pid
src

principal.ip

principal.hostname

principal.labels.key/value (deprecato)

src_category

principal.labels.key/value (deprecato)

additional.fields

src_priority

principal.labels.key/value (deprecato)

additional.fields

src_port principal.port
src_requires_av

principal.labels.key/value (deprecato)

additional.fields

src_should_timesync

principal.labels.key/value (deprecato)

additional.fields

src_should_update

principal.labels.key/value (deprecato)

additional.fields

state

about.labels.key/value (deprecato)

additional.fields

tag

about.labels.key/value (deprecato)

additional.fields

trasporto network.ip_protocol
transport_dest_port

target.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value

Processi

La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Processi:

Campo log Mappatura UDM
azione security_result.action_details
security_result.action
cpu_load_percent

about.labels.key/value (deprecato)

additional.fields

dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_is_expected

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

dest_requires_av

target.labels.key/value (deprecato)

additional.fields

dest_should_timesync

target.labels.key/value (deprecato)

additional.fields

dest_should_update

target.labels.key/value (deprecato)

additional.fields

mem_used

about.labels.key/value (deprecato)

additional.fields

original_file_name src.file.full_path
os principal.asset.platform_software.platform_version
parent_process

about.labels.key/value (deprecato)

additional.fields

parent_process_exec

about.labels.key/value (deprecato)

additional.fields

parent_process_id principal.process.parent_process.parent_pid
parent_process_guid principal.process.parent_process.product_specific_process_id
parent_process_name

about.labels.key/value (deprecato)

additional.fields

parent_process_path principal.process.parent_process.command_line
di diffusione

about.labels.key/value (deprecato)

additional.fields

process_current_directory

about.labels.key/value (deprecato)

additional.fields

process_exec

about.labels.key/value (deprecato)

additional.fields

process_hash principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
process_integrity_level security_result.severity
process_name principal.process.command_line
process_path principal.process.file.full_path
tag

about.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
user_id principal.user.userid
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product

about.labels.key/value (deprecato)

additional.fields

Servizi

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per i servizi del set di dati Splunk:

Campo log Mappatura UDM
description security_result.description
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_is_expected

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

dest_requires_av

target.labels.key/value (deprecato)

additional.fields

dest_should_timesync

target.labels.key/value (deprecato)

additional.fields

dest_should_update

target.labels.key/value (deprecato)

additional.fields

process_guid principal.process.product_specific_process_id
process_id principal.process.pid
servizio target.application
service_dll

about.labels.key/value (deprecato)

additional.fields

service_dll_path about.file.full_path
service_dll_hash

about.labels.key/value (deprecato)

additional.fields

service_dll_signature_exists

about.labels.key/value (deprecato)

additional.fields

service_dll_signature_verified

about.labels.key/value (deprecato)

additional.fields

service_exec target.process.file.full_path
service_hash

about.labels.key/value (deprecato)

additional.fields

service_id

about.labels.key/value (deprecato)

additional.fields

service_name

about.labels.key/value (deprecato)

additional.fields

service_path

about.labels.key/value (deprecato)

additional.fields

service_signature_exists

about.labels.key/value (deprecato)

additional.fields

service_signature_verified

about.labels.key/value (deprecato)

additional.fields

start_mode

about.labels.key/value (deprecato)

additional.fields

stato security_result.summary
tag

about.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product

about.labels.key/value (deprecato)

additional.fields

Filesystem

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Filesystem:

Campo log Mappatura UDM
azione security_result.action_details
security_result.action
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

dest_requires_av

target.labels.key/value (deprecato)

additional.fields

dest_should_timesync

target.labels.key/value (deprecato)

additional.fields

dest_should_update

target.labels.key/value (deprecato)

additional.fields

file_access_time

about.labels.key/value (deprecato)

additional.fields

file_create_time target.asset.attribute.creation_time
file_hash target.file.sha256, target.file.md5, target.file.sha1
file_modify_time

about.labels.key/value (deprecato)

additional.fields

file_name

about.labels.key/value (deprecato)

additional.fields

file_path target.file.full_path
file_acl

about.labels.key/value (deprecato)

additional.fields

file_size target.file.size
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
tag

about.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product

about.labels.key/value (deprecato)

additional.fields

Registro

La tabella seguente elenca i campi di log e le relative mappature UDM per il Registry del set di dati Splunk:

Campo log Mappatura UDM
azione security_result.action_details
security_result.action
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

dest_requires_av

target.labels.key/value (deprecato)

additional.fields

dest_should_timesync

target.labels.key/value (deprecato)

additional.fields

dest_should_update

target.labels.key/value (deprecato)

additional.fields

process_guid principal.process.product_specific_process_id
process_id principal.process.pid
registry_hive

about.labels.key/value (deprecato)

additional.fields

registry_path

about.labels.key/value (deprecato)

additional.fields

registry_key_name target.registry.registry_key
registry_value_data target.registry.registry_value_data
registry_value_name target.registry.registry_value_name
registry_value_text

about.labels.key/value (deprecato)

additional.fields

registry_value_type

about.labels.key/value (deprecato)

additional.fields

stato security_result.summary
tag

about.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product

about.labels.key/value (deprecato)

additional.fields

Firme

Nella tabella seguente sono elencati i campi di log e le relative mappature UDM per le firme del set di dati Splunk:

Campo log Mappatura UDM
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

firma metadata.description
signature_id metadata.product_event_type
tag

about.labels.key/value (deprecato)

additional.fields

Signatures_vendor_product

Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Signatures_vendor_product:

Campo log Mappatura UDM
vendor_product

about.labels.key/value (deprecato)

additional.fields

All_Interprocess_Messaging

La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk All_Interprocess_Messaging:

Campo log Mappatura UDM
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

duration network.session_duration
endpoint

about.labels.key/value (deprecato)

additional.fields

endpoint_version

about.labels.key/value (deprecato)

additional.fields

messaggio

about.labels.key/value (deprecato)

additional.fields

message_consumed_time

about.labels.key/value (deprecato)

additional.fields

message_correlation_id

about.labels.key/value (deprecato)

additional.fields

message_delivered_time

about.labels.key/value (deprecato)

additional.fields

message_delivery_mode

about.labels.key/value (deprecato)

additional.fields

message_expiration_time

about.labels.key/value (deprecato)

additional.fields

message_id metadata.product.log_id
message_priority

about.labels.key/value (deprecato)

additional.fields

message_properties

about.labels.key/value (deprecato)

additional.fields

message_received_time

about.labels.key/value (deprecato)

additional.fields

message_redelivered

about.labels.key/value (deprecato)

additional.fields

message_reply_dest

target.labels.key/value (deprecato)

additional.fields

message_type

about.labels.key/value (deprecato)

additional.fields

Parametri

about.labels.key/value (deprecato)

additional.fields

payload

about.labels.key/value (deprecato)

additional.fields

payload_type

about.labels.key/value (deprecato)

additional.fields

request_payload

about.labels.key/value (deprecato)

additional.fields

request_payload_type

about.labels.key/value (deprecato)

additional.fields

request_sent_time

about.labels.key/value (deprecato)

additional.fields

response_code network.http.response_code
response_payload_type

about.labels.key/value (deprecato)

additional.fields

response_received_time

about.labels.key/value (deprecato)

additional.fields

response_time

about.labels.key/value (deprecato)

additional.fields

return_message

about.labels.key/value (deprecato)

additional.fields

rpc_protocol network.application_protocol
stato security_result.summary
tag

about.labels.key/value (deprecato)

additional.fields

IDS_Attacks

La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk IDS_Attacks:

Campo log Mappatura UDM
azione security_result.action_details
security_result.action
categoria security_result.category_details
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

dvc principal.asset.hostname, principal.asset.ip
dvc_bunit

about.labels.key/value (deprecato)

additional.fields

dvc_category

about.labels.key/value (deprecato)

additional.fields

dvc_priority

about.labels.key/value (deprecato)

additional.fields

file_hash target.file.sha256, target.file.md5, target.file.sha1
file_name

about.labels.key/value (deprecato)

additional.fields

file_path target.file.full_path
ids_type

about.labels.key/value (deprecato)

additional.fields

gravità security_result.severity
severity_id

about.labels.key/value (deprecato)

additional.fields

firma metadata.description
signature_id metadata.product_event_type
src

principal.ip

principal.hostname

principal.labels.key/value (deprecato)

src_bunit

principal.labels.key/value (deprecato)

additional.fields

src_category

principal.labels.key/value (deprecato)

additional.fields

src_priority

principal.labels.key/value (deprecato)

additional.fields

src_port principal.port
tag

about.labels.key/value (deprecato)

additional.fields

trasporto network.ip_protocol
utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product

about.labels.key/value (deprecato)

additional.fields

DS_Attacks

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk DS_Attacks:

Campo log Mappatura UDM
dest_port target.port

All_Inventory

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk All_Inventory:

Campo log Mappatura UDM
description security_result.description
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

abilitato

about.labels.key/value (deprecato)

additional.fields

famiglia

about.labels.key/value (deprecato)

additional.fields

hypervisor_id

about.labels.key/value (deprecato)

additional.fields

serial principal.asset.hardware.serial_number
stato security_result.summary
tag

about.labels.key/value (deprecato)

additional.fields

vendor_product

about.labels.key/value (deprecato)

additional.fields

versione

about.labels.key/value (deprecato)

additional.fields

CPU

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk CPU:

Campo log Mappatura UDM
cpu_cores principal.asset.hardware.cpu_number_cores
cpu_count

about.labels.key/value (deprecato)

additional.fields

cpu_mhz principal.asset.hardware.cpu_clock_speed
cpu_load_mhz principal.asset.hardware.cpu_clock_speed
cpu_load_percent

about.labels.key/value (deprecato)

additional.fields

cpu_time

about.labels.key/value (deprecato)

additional.fields

cpu_user_percent

about.labels.key/value (deprecato)

additional.fields

Memoria

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Memory:

Campo log Mappatura UDM
mem principal.asset.hardware.ram
heap_committed

about.labels.key/value (deprecato)

additional.fields

heap_initial

about.labels.key/value (deprecato)

additional.fields

heap_max

about.labels.key/value (deprecato)

additional.fields

heap_used

about.labels.key/value (deprecato)

additional.fields

non_heap_committed

about.labels.key/value (deprecato)

additional.fields

non_heap_initial

about.labels.key/value (deprecato)

additional.fields

non_heap_max

about.labels.key/value (deprecato)

additional.fields

non_heap_used

about.labels.key/value (deprecato)

additional.fields

objects_pending

about.labels.key/value (deprecato)

additional.fields

mem principal.asset.hardware.ram
mem_committed

about.labels.key/value (deprecato)

additional.fields

mem_free

about.labels.key/value (deprecato)

additional.fields

mem_used

about.labels.key/value (deprecato)

additional.fields

scambiare

about.labels.key/value (deprecato)

additional.fields

swap_free

about.labels.key/value (deprecato)

additional.fields

swap_used

about.labels.key/value (deprecato)

additional.fields

e viceversa

La tabella seguente elenca i campi dei log e le relative mappature UDM per la rete del set di dati Splunk:

Campo log Mappatura UDM
dest_ip target.ip
dns

about.labels.key/value (deprecato)

additional.fields

inline_nat

about.labels.key/value (deprecato)

additional.fields

interfaccia

about.labels.key/value (deprecato)

additional.fields

ip principal.asset.ip
lb_method

about.labels.key/value (deprecato)

additional.fields

mac principal.asset.mac
nome principal.resource.name
nodo

about.labels.key/value (deprecato)

additional.fields

node_port target.port
src_ip principal.ip
vip_port

about.labels.key/value (deprecato)

additional.fields

thruput

about.labels.key/value (deprecato)

additional.fields

thruput_max

about.labels.key/value (deprecato)

additional.fields

Sistema operativo

La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il sistema operativo del set di dati Splunk:

Campo log Mappatura UDM
os principal.asset.platform_software.platform_version
committed_memory

about.labels.key/value (deprecato)

additional.fields

cpu_time

about.labels.key/value (deprecato)

additional.fields

free_physical_memory

about.labels.key/value (deprecato)

additional.fields

free_swap

about.labels.key/value (deprecato)

additional.fields

max_file_descriptors

about.labels.key/value (deprecato)

additional.fields

open_file_descriptors

about.labels.key/value (deprecato)

additional.fields

os principal.asset.platform_software.platform_version
os_architecture

about.labels.key/value (deprecato)

additional.fields

os_version

about.labels.key/value (deprecato)

additional.fields

physical_memory

about.labels.key/value (deprecato)

additional.fields

swap_space

about.labels.key/value (deprecato)

additional.fields

system_load

about.labels.key/value (deprecato)

additional.fields

total_processors

about.labels.key/value (deprecato)

additional.fields

firma metadata.description
signature_id metadata.product_event_type

Archiviazione

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per lo spazio di archiviazione del set di dati Splunk:

Campo log Mappatura UDM
matrice

about.labels.key/value (deprecato)

additional.fields

blocksize

about.labels.key/value (deprecato)

additional.fields

cluster about.resource.resource_type = "CLUSTER"
fd_max

about.labels.key/value (deprecato)

additional.fields

latenza

about.labels.key/value (deprecato)

additional.fields

montare principal.resource.attribute.labels.key/value
principale principal.resource.parent
read_blocks

about.labels.key/value (deprecato)

additional.fields

read_latency

about.labels.key/value (deprecato)

additional.fields

read_ops

about.labels.key/value (deprecato)

additional.fields

spazio di archiviazione

about.labels.key/value (deprecato)

additional.fields

write_blocks

about.labels.key/value (deprecato)

additional.fields

write_latency

about.labels.key/value (deprecato)

additional.fields

write_ops

about.labels.key/value (deprecato)

additional.fields

matrice

about.labels.key/value (deprecato)

additional.fields

blocksize

about.labels.key/value (deprecato)

additional.fields

cluster about.resource.resource_type = "CLUSTER"
fd_max

about.labels.key/value (deprecato)

additional.fields

fd_used

about.labels.key/value (deprecato)

additional.fields

latenza

about.labels.key/value (deprecato)

additional.fields

montare

about.labels.key/value (deprecato)

additional.fields

principale principal.resource.parent
read_blocks

about.labels.key/value (deprecato)

additional.fields

read_latency

about.labels.key/value (deprecato)

additional.fields

read_ops

about.labels.key/value (deprecato)

additional.fields

spazio di archiviazione

about.labels.key/value (deprecato)

additional.fields

storage_free

about.labels.key/value (deprecato)

additional.fields

storage_free_percent

about.labels.key/value (deprecato)

additional.fields

storage_used

about.labels.key/value (deprecato)

additional.fields

storage_used_percent

about.labels.key/value (deprecato)

additional.fields

write_blocks

about.labels.key/value (deprecato)

additional.fields

write_latency

about.labels.key/value (deprecato)

additional.fields

write_ops

about.labels.key/value (deprecato)

additional.fields

error_code security_result.description
operazione

about.labels.key/value (deprecato)

additional.fields

storage_name about.resource.name

Utente

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per l'utente del set di dati Splunk:

Campo log Mappatura UDM
interactive

about.labels.key/value (deprecato)

additional.fields

password

about.labels.key/value (deprecato)

additional.fields

shell

about.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_id principal.user.userid
user_priority principal.user.attribute.label.key/value

Virtual_OS

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Virtual_OS:

Campo log Mappatura UDM
hypervisor

about.labels.key/value (deprecato)

additional.fields

Snapshot

La tabella seguente elenca i campi dei log e le relative mappature UDM per lo snapshot del set di dati Splunk:

Campo log Mappatura UDM
dimensioni about.file.size
snapshot

about.labels.key/value (deprecato)

additional.fields

tempo

about.labels.key/value (deprecato)

additional.fields

JVM

La tabella seguente elenca i campi di log e le relative mappature UDM per la JVM del set di dati Splunk:

Campo log Mappatura UDM
jvm_description security_result.description
tag

about.labels.key/value (deprecato)

additional.fields

Filettatura

La tabella seguente elenca i campi di log e le relative mappature UDM per la funzionalità di threading del set di dati Splunk:

Campo log Mappatura UDM
cm_enabled

about.labels.key/value (deprecato)

additional.fields

cm_supported

about.labels.key/value (deprecato)

additional.fields

cpu_time_enabled

about.labels.key/value (deprecato)

additional.fields

cpu_time_supported

about.labels.key/value (deprecato)

additional.fields

current_cpu_time

about.labels.key/value (deprecato)

additional.fields

current_user_time

about.labels.key/value (deprecato)

additional.fields

daemon_thread_count

about.labels.key/value (deprecato)

additional.fields

omu_supported

about.labels.key/value (deprecato)

additional.fields

peak_thread_count

about.labels.key/value (deprecato)

additional.fields

synch_supported

about.labels.key/value (deprecato)

additional.fields

thread_count

about.labels.key/value (deprecato)

additional.fields

threads_started

about.labels.key/value (deprecato)

additional.fields

Runtime

La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk Runtime:

Campo log Mappatura UDM
process_name principal.process.command_line
start_time

about.labels.key/value (deprecato)

additional.fields

uptime

about.labels.key/value (deprecato)

additional.fields

vendor_product

about.labels.key/value (deprecato)

additional.fields

versione

about.labels.key/value (deprecato)

additional.fields

Compilation

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per la compilazione del set di dati Splunk:

Campo log Mappatura UDM
compilation_time

about.labels.key/value (deprecato)

additional.fields

Caricamento dei corsi

Nella tabella seguente sono elencati i campi di log e le relative mappature UDM per il set di dati Splunk Classloading:

Campo log Mappatura UDM
current_loaded

about.labels.key/value (deprecato)

additional.fields

total_loaded

about.labels.key/value (deprecato)

additional.fields

total_unloaded

about.labels.key/value (deprecato)

additional.fields

Malware_Attacks

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Malware_Attacks:

Campo log Mappatura UDM
azione security_result.action_details
security_result.action
categoria security_result.category_details
data

about.labels.key/value (deprecato)

additional.fields

dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_nt_domain target.administrative_domain
dest_priority

target.labels.key/value (deprecato)

additional.fields

dest_requires_av

target.labels.key/value (deprecato)

additional.fields

file_hash target.file.sha256, target.file.md5, target.file.sha1
file_name

about.labels.key/value (deprecato)

additional.fields

file_path target.file.full_path
gravità security_result.severity
severity_id

about.labels.key/value (deprecato)

additional.fields

firma metadata.description
signature_id metadata.product_event_type
src

principal.ip

principal.hostname

principal.labels.key/value (deprecato)

src_bunit

principal.labels.key/value (deprecato)

additional.fields

src_category

principal.labels.key/value (deprecato)

additional.fields

src_priority

principal.labels.key/value (deprecato)

additional.fields

src_user principal.user.user_display_name
tag

about.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
url about.url
vendor_product

about.labels.key/value (deprecato)

additional.fields

Malware_Operations

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Malware_Operations:

Campo log Mappatura UDM
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_nt_domain

target.labels.key/value (deprecato)

additional.fields

dest_nt_domain

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

dest_requires_av

target.labels.key/value (deprecato)

additional.fields

product_version

about.labels.key/value (deprecato)

additional.fields

signature_version security_result.rule_version
tag

about.labels.key/value (deprecato)

additional.fields

vendor_product

about.labels.key/value (deprecato)

additional.fields

Malware_Operations

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Malware_Operations:

Campo log Mappatura UDM
dest_category

target.labels.key/value (deprecato)

additional.fields

DNS

La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati DNS di Splunk:

Campo log Mappatura UDM
additional_answer_count

about.labels.key/value (deprecato)

additional.fields

rispondi network.dns.answer.data
answer_count

about.labels.key/value (deprecato)

additional.fields

authority_answer_count

about.labels.key/value (deprecato)

additional.fields

dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_port target.port
dest_priority

target.labels.key/value (deprecato)

additional.fields

duration network.session_duration
message_type

about.labels.key/value (deprecato)

additional.fields

nome

about.labels.key/value (deprecato)

additional.fields

query network.dns.questions.name
query_count

about.labels.key/value (deprecato)

additional.fields

query_type network.dns.questions.type
record_type network.dns.answer.type(uint32)
reply_code

about.labels.key/value (deprecato)

additional.fields

reply_code_id network.dns.response_code
response_time

about.labels.key/value (deprecato)

additional.fields

src

principal.ip

principal.hostname

principal.labels.key/value (deprecato)

src_bunit

principal.labels.key/value (deprecato)

additional.fields

src_category

principal.labels.key/value (deprecato)

additional.fields

src_port principal.port
src_priority

principal.labels.key/value (deprecato)

additional.fields

tag

about.labels.key/value (deprecato)

additional.fields

transaction_id network.dns.id
trasporto network.ip_protocol
ttl

about.labels.key/value (deprecato)

additional.fields

vendor_product

about.labels.key/value (deprecato)

additional.fields

All_Sessions

La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk All_Sessions:

Campo log Mappatura UDM
azione security_result.action_details
security_result.action
dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_dns

target.labels.key/value (deprecato)

additional.fields

dest_ip network.dhcp.ciaddr
dest_mac network.dhcp.chaddr
dest_nt_host

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

duration network.session_duration
response_time

about.labels.key/value (deprecato)

additional.fields

firma metadata.description
signature_id metadata.product_event_type
src_bunit

principal.labels.key/value (deprecato)

additional.fields

src_category

principal.labels.key/value (deprecato)

additional.fields

src_dns

principal.labels.key/value (deprecato)

additional.fields

src_ip principal.ip
src_mac principal.mac
src_nt_host

principal.labels.key/value (deprecato)

additional.fields

src_priority

principal.labels.key/value (deprecato)

additional.fields

tag

about.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product

about.labels.key/value (deprecato)

additional.fields

DHCP

Nella tabella seguente sono elencati i campi dei log e le relative mappature UDM per il set di dati DHCP di Splunk:

Campo log Mappatura UDM
lease_duration network.dhcp.lease_time_second
lease_scope

about.labels.key/value (deprecato)

additional.fields

All_Traffic

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk All_Traffic:

Campo log Mappatura UDM
azione security_result.action_details
security_result.action
app network.application_protocol
byte

about.labels.key/value (deprecato)

additional.fields

bytes_in network.received_bytes
bytes_out network.sent_bytes
canale

about.labels.key/value (deprecato)

additional.fields

dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_interface

target.labels.key/value (deprecato)

additional.fields

dest_ip target.ip
dest_mac target.mac
dest_port target.port
dest_priority

target.labels.key/value (deprecato)

additional.fields

dest_translated_ip target.nat_ip
dest_translated_port target.nat_port
dest_zone target.location.country_or_origin
direction network.direction
duration network.session_duration
dvc principal.asset.hostname, principal.asset.ip
dvc_bunit

about.labels.key/value (deprecato)

additional.fields

dvc_category

about.labels.key/value (deprecato)

additional.fields

dvc_ip

about.labels.key/value (deprecato)

additional.fields

dvc_mac principal.asset.mac
dvc_priority

about.labels.key/value (deprecato)

additional.fields

dvc_zone principal.asset.location.country_or_region
flow_id

about.labels.key/value (deprecato)

additional.fields

icmp_code

about.labels.key/value (deprecato)

additional.fields

icmp_type

about.labels.key/value (deprecato)

additional.fields

pacchetti

about.labels.key/value (deprecato)

additional.fields

packets_in

about.labels.key/value (deprecato)

additional.fields

packets_out

about.labels.key/value (deprecato)

additional.fields

protocollo

about.labels.key/value (deprecato)

additional.fields

protocol_version

about.labels.key/value (deprecato)

additional.fields

response_time

about.labels.key/value (deprecato)

additional.fields

regola security_result.rule_id
session_id network.session_id
src

principal.ip

principal.hostname

principal.labels.key/value (deprecato)

src_bunit

principal.labels.key/value (deprecato)

additional.fields

src_category

principal.labels.key/value (deprecato)

additional.fields

src_interface

principal.labels.key/value (deprecato)

additional.fields

src_ip principal.ip
src_mac principal.mac
src_port principal.port
src_priority

principal.labels.key/value (deprecato)

additional.fields

src_translated_ip principal.nat_ip
src_translated_port principal.nat_port
src_zone principal.location.country_or_origin
ssid

about.labels.key/value (deprecato)

additional.fields

tag

about.labels.key/value (deprecato)

additional.fields

tcp_flag

about.labels.key/value (deprecato)

additional.fields

trasporto network.ip_protocol
tos

about.labels.key/value (deprecato)

additional.fields

ttl network.dns.additional.ttl
utente principal.user.userid
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_account

about.labels.key/value (deprecato)

additional.fields

vendor_product

about.labels.key/value (deprecato)

additional.fields

vlan

about.labels.key/value (deprecato)

additional.fields

wifi

about.labels.key/value (deprecato)

additional.fields

All_Performance

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk All_Performance:

Campo log Mappatura UDM
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

dest_should_timesync

target.labels.key/value (deprecato)

additional.fields

dest_should_update

target.labels.key/value (deprecato)

additional.fields

hypervisor_id

about.labels.key/value (deprecato)

additional.fields

resource_type

about.labels.key/value (deprecato)

additional.fields

tag

about.labels.key/value (deprecato)

additional.fields

Strutture

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Facilities:

Campo log Mappatura UDM
fan_speed

about.labels.key/value (deprecato)

additional.fields

power

about.labels.key/value (deprecato)

additional.fields

temperatura

about.labels.key/value (deprecato)

additional.fields

Timesync

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Timesync:

Campo log Mappatura UDM
azione security_result.action_details
security_result.action

Tempo di attività

La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk Uptime:

Campo log Mappatura UDM
uptime

about.labels.key/value (deprecato)

additional.fields

View_Activity

La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk View_Activity:

Campo log Mappatura UDM
app target.application
speso

about.labels.key/value (deprecato)

additional.fields

uri

about.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
visualizza

about.labels.key/value (deprecato)

additional.fields

Datamodel_Acceleration

La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Datamodel_Acceleration:

Campo log Mappatura UDM
access_count

about.labels.key/value (deprecato)

additional.fields

access_time

about.labels.key/value (deprecato)

additional.fields

app target.application
bucket

about.labels.key/value (deprecato)

additional.fields

buckets_size

about.labels.key/value (deprecato)

additional.fields

completato

about.labels.key/value (deprecato)

additional.fields

cron

about.labels.key/value (deprecato)

additional.fields

datamodel

about.labels.key/value (deprecato)

additional.fields

digest

about.labels.key/value (deprecato)

additional.fields

più recenti

about.labels.key/value (deprecato)

additional.fields

is_inprogress

about.labels.key/value (deprecato)

additional.fields

last_error

about.labels.key/value (deprecato)

additional.fields

last_sid

about.labels.key/value (deprecato)

additional.fields

più recente

about.labels.key/value (deprecato)

additional.fields

mod_time

about.labels.key/value (deprecato)

additional.fields

dei messaggi

about.labels.key/value (deprecato)

additional.fields

dimensioni about.file.size
summary_id

about.labels.key/value (deprecato)

additional.fields

Search_Activity

La tabella seguente elenca i campi del log e le relative mappature UDM per il set di dati Splunk Search_Activity:

Campo log Mappatura UDM
host about.hostname
info

about.labels.key/value (deprecato)

additional.fields

search

about.labels.key/value (deprecato)

additional.fields

search_et

about.labels.key/value (deprecato)

additional.fields

search_lt

about.labels.key/value (deprecato)

additional.fields

search_type

about.labels.key/value (deprecato)

additional.fields

origine

principal.labels.key/value (deprecato)

additional.fields

sourcetype

principal.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value

Scheduler_Activity

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Scheduler_Activity:

Campo log Mappatura UDM
app target.application
host about.hostname
savedsearch_name

about.labels.key/value (deprecato)

additional.fields

sid

about.labels.key/value (deprecato)

additional.fields

origine

principal.labels.key/value (deprecato)

additional.fields

sourcetype

principal.labels.key/value (deprecato)

additional.fields

splunk_server principal.ip, principal.hostname
stato security_result.summary
utente principal.user.user_display_name

Web_Service_Errors

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Web_Service_Errors:

Campo log Mappatura UDM
host about.hostname
origine

principal.labels.key/value (deprecato)

additional.fields

sourcetype

principal.labels.key/value (deprecato)

additional.fields

event_id security_result.rule_name

Modular_Actions

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Modular_Actions:

Campo log Mappatura UDM
action_mode

about.labels.key/value (deprecato)

additional.fields

action_status

about.labels.key/value (deprecato)

additional.fields

app target.application
duration network.session_duration
componente

about.labels.key/value (deprecato)

additional.fields

orig_rid

about.labels.key/value (deprecato)

additional.fields

orig_sid

about.labels.key/value (deprecato)

additional.fields

sbarazzarsi

about.labels.key/value (deprecato)

additional.fields

search_name

about.labels.key/value (deprecato)

additional.fields

action_name security_result.action_details
firma metadata.description
sid

about.labels.key/value (deprecato)

additional.fields

utente

about.labels.key/value (deprecato)

additional.fields

All_Ticket_Management

La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk All_Ticket_Management:

Campo log Mappatura UDM
affect_dest

target.labels.key/value (deprecato)

additional.fields

commenti

about.labels.key/value (deprecato)

additional.fields

description security_result.description
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

priorità security_result.priority_details
gravità security_result.severity
severity_id

about.labels.key/value (deprecato)

additional.fields

splunk_id

about.labels.key/value (deprecato)

additional.fields

splunk_realm

about.labels.key/value (deprecato)

additional.fields

src_user principal.user.user_display_name
src_user_bunit

principal.labels.key/value (deprecato)

additional.fields

src_user_category

principal.labels.key/value (deprecato)

additional.fields

src_user_priority

principal.labels.key/value (deprecato)

additional.fields

stato security_result.summary
tag

about.labels.key/value (deprecato)

additional.fields

ticket_id target.user.attribute.label.ley/value
time_submitted principal.user.attribute.creation_time
utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value

Cambia

La tabella seguente elenca i campi dei log e le relative mappature UDM per la modifica del set di dati Splunk:

Campo log Mappatura UDM
modifica

about.labels.key/value (deprecato)

additional.fields

Incidente

Nella tabella seguente sono elencati i campi dei log e le relative mappature UDM per il set di dati Splunk Incident:

Campo log Mappatura UDM
incidente

about.labels.key/value (deprecato)

additional.fields

Problema

La tabella seguente elenca i campi di log e le relative mappature UDM per il problema del set di dati Splunk:

Campo log Mappatura UDM
problema

about.labels.key/value (deprecato)

additional.fields

Aggiornamenti

La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per gli aggiornamenti del set di dati Splunk:

Campo log Mappatura UDM
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

dest_should_update

target.labels.key/value (deprecato)

additional.fields

dvc principal.asset.hostname, principal.asset.ip
file_hash target.file.sha256, target.file.md5, target.file.sha1
file_name

about.labels.key/value (deprecato)

additional.fields

gravità security_result.severity
severity_id

about.labels.key/value (deprecato)

additional.fields

firma metadata.description
signature_id metadata.product_event_type
stato security_result.summary
tag

about.labels.key/value (deprecato)

additional.fields

vendor_product

about.labels.key/value (deprecato)

additional.fields

Vulnerabilità

La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk Vulnerabilities:

Campo log Mappatura UDM
bugtraq

about.labels.key/value (deprecato)

additional.fields

categoria security_result.category_details
cert

about.labels.key/value (deprecato)

additional.fields

cve vulnerabilites.cve_description
cvss vulnerabilites.cvss_base_score
dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

dvc principal.asset.hostname, principal.asset.ip
dvc_bunit

about.labels.key/value (deprecato)

additional.fields

dvc_category

about.labels.key/value (deprecato)

additional.fields

dvc_priority

about.labels.key/value (deprecato)

additional.fields

msft

about.labels.key/value (deprecato)

additional.fields

mskb

about.labels.key/value (deprecato)

additional.fields

gravità extensions.vulns.vulnerabilites.severity
severity_id

about.labels.key/value (deprecato)

additional.fields

firma metadata.description
signature_id metadata.product_event_type
tag

about.labels.key/value (deprecato)

additional.fields

url extensions.vulns.vulnerabilites.about.url
utente extensions.vulns.vulnerabilites.about.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product

about.labels.key/value (deprecato)

additional.fields

xref

about.labels.key/value (deprecato)

additional.fields

Web

La seguente tabella elenca i campi dei log e le relative mappature UDM per il set di dati web di Splunk:

Campo log Mappatura UDM
azione security_result.action_details
security_result.action
app target.application
byte

about.labels.key/value (deprecato)

additional.fields

bytes_in network.received_bytes
bytes_out network.sent_bytes
memorizzati nella cache

about.labels.key/value (deprecato)

additional.fields

categoria security_result.category_details
biscotto

about.labels.key/value (deprecato)

additional.fields

dest

target.ip

target.hostname

target.labels.key/value (deprecato)

dest_bunit

target.labels.key/value (deprecato)

additional.fields

dest_category

target.labels.key/value (deprecato)

additional.fields

dest_priority

target.labels.key/value (deprecato)

additional.fields

dest_port target.port
duration network.session_duration
http_content_type

about.labels.key/value (deprecato)

additional.fields

http_method network.http.method
http_referrer network.http.referral_url
http_referrer_domain

about.labels.key/value (deprecato)

additional.fields

http_user_agent network.http.user_agent
http_user_agent_length

about.labels.key/value (deprecato)

additional.fields

response_time

about.labels.key/value (deprecato)

additional.fields

sito

about.labels.key/value (deprecato)

additional.fields

src

principal.ip

principal.hostname

principal.labels.key/value (deprecato)

src_bunit

principal.labels.key/value (deprecato)

additional.fields

src_category

principal.labels.key/value (deprecato)

additional.fields

src_priority

principal.labels.key/value (deprecato)

additional.fields

stato network.http.response_code
tag

about.labels.key/value (deprecato)

additional.fields

uri_path

about.labels.key/value (deprecato)

additional.fields

uri_query

about.labels.key/value (deprecato)

additional.fields

url about.url
url_domain about.asset.network_domain
url_length

about.labels.key/value (deprecato)

additional.fields

utente principal.user.user_display_name
user_bunit

about.labels.key/value (deprecato)

additional.fields

user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product

about.labels.key/value (deprecato)

additional.fields

Tipi di eventi UDM

Nella tabella seguente sono elencati i tag Splunk e i tipi di eventi UDM corrispondenti:

Modello dati Tag Splunk Tipo di evento UDM
Avvisi avviso STATUS_UPDATE
Autenticazione autenticazione USER_UNCATEGORIZED
Certificato certificato NETWORK_UNCATEGORIZED
Modifica modifica SYSTEM_AUDIT_LOG_UNCATEGORIZED
Accesso ai dati dati, accesso USER_RESOURCE_ACCESS
Database database USER_RESOURCE_ACCESS
Database database, istanza, statistiche STATUS_UPDATE
Database database, istanza, stato STATUS_UPDATE
Database database, istanza, blocco STATUS_UPDATE
Database database, query STATUS_UPDATE
Database database, query, tablespace STATUS_UPDATE
Database database, query, statistiche STATUS_UPDATE
Data Loss Prevention dlp, incident SCAN_UNCATEGORIZED
Email email EMAIL_UNCATEGORIZED
Email email, recapito EMAIL_TRANSACTION
Endpoint ascolto, porta SERVICE_UNSPECIFIED
Endpoint processo, report PROCESS_UNCATEGORIZED
Endpoint servizio, report SERVICE_UNSPECIFIED
Endpoint endpoint, filesystem FILE_UNCATEGORIZED
Endpoint endpoint, registry REGISTRY_UNCATEGORIZED
Firma evento track_event_signature STATUS_UPDATE
Inter Process Messaging messaggistica STATUS_UPDATE
Rilevamento delle intrusioni ids, attack SERVICE_UNSPECIFIED
Inventario inventario SYSTEM_AUDIT_LOG_UNCATEGORIZED
Java Virtual Machine (JVM) jvm SYSTEM_AUDIT_LOG_UNCATEGORIZED
Malware malware STATUS_UPDATE
Risoluzione della rete(DNS) rete, risoluzione, dns NETWORK_DNS
Sessioni di rete rete, sessione NETWORK_CONNECTION
Sessioni di rete network, session, dhcp NETWORK_DHCP
Traffico di rete rete, comunicare NETWORK_CONNECTION
Prestazioni prestazioni SERVICE_UNSPECIFIED
Audit log di Splunk modaction STATUS_UPDATE
Gestione dei ticket vendita di biglietti STATUS_UPDATE
Gestione dei ticket vendita di biglietti, modifica STATUS_UPDATE
Aggiornamenti update STATUS_UPDATE
Vulnerabilità report, vulnerabilità SCAN_UNCATEGORIZED
Web web NETWORK_UNCATEGORIZED

Passaggi successivi