Diese Seite wurde von der Cloud Translation API übersetzt.

Wazuh-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Übersicht

Dieser Wazuh-Parser erfasst SYSLOG- und JSON-formatierte Logs, normalisiert Felder in ein gemeinsames Format und reichert sie mit Wazuh-spezifischen Metadaten an. Anschließend werden eine Reihe von bedingten Anweisungen basierend auf den Feldern event_type und rule_id verwendet, um die Rohlogdaten dem entsprechenden UDM-Ereignistyp und den entsprechenden Feldern zuzuordnen. Dabei werden verschiedene Logformate und Grenzfälle innerhalb des Wazuh-Ökosystems berücksichtigt.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Google SecOps-Instanz.
Aktive Wazuh-Instanz.
Privilegierter Zugriff auf Wazuh-Konfigurationsdateien.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

SIEM-Einstellungen > Feeds
Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Wazuh Logs (Wazuh-Logs).
Wählen Sie Webhook als Quelltyp aus.
Wählen Sie Wazuh als Logtyp aus.
Klicken Sie auf Weiter.
Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
- Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.
Klicken Sie auf Weiter.
Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
Kopieren Sie den geheimen Schlüssel und speichern Sie ihn. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen geheimen Schlüssel generieren. Dadurch wird der vorherige geheime Schlüssel jedoch ungültig.
Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
Klicken Sie auf Fertig.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.

Erweiterte Optionen
Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
Kopieren Sie den geheimen Schlüssel und speichern Sie ihn. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen geheimen Schlüssel generieren. Dadurch wird der vorherige geheime Schlüssel jedoch ungültig.
Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.

API-Schlüssel für den Webhook-Feed erstellen

Rufen Sie dieGoogle Cloud Console > Anmeldedaten auf.

Zu den Anmeldedaten
Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.
Schränken Sie den API-Schlüsselzugriff auf die Google Security Operations API ein.

Endpunkt-URL angeben

Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed bereitgestellt wird.
Aktivieren Sie die Authentifizierung, indem Sie den API-Schlüssel und den geheimen Schlüssel als Teil des benutzerdefinierten Headers im folgenden Format angeben:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben. Wenn Ihr Webhook-Client keine benutzerdefinierten Headern unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mit Suchparametern im folgenden Format angeben:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```

Ersetzen Sie Folgendes:

ENDPOINT_URL: Die URL des Feed-Endpunkts.
API_KEY: Der API-Schlüssel für die Authentifizierung bei Google Security Operations.
SECRET: Der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Wazuh Cloud-Webhook konfigurieren

Führen Sie die folgenden Schritte aus, um den Wazuh Cloud-Webhook zu konfigurieren:

Melden Sie sich in Ihrer Wazuh Cloud an.
Klicken Sie im Menü auf der linken Seite unter Serververwaltung auf Einstellungen.
Klicken Sie auf Konfiguration bearbeiten.
Fügen Sie der Konfiguration den folgenden Integrationsblock im Abschnitt <integration> hinzu.
- Wenn der Abschnitt nicht vorhanden ist, kopieren Sie den gesamten Block mit <integration>, um ihn zu erstellen.
- Ersetzen Sie die Platzhalterwerte durch Ihre tatsächlichen Google SecOps-Details:

<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>

CHRONICLE_REGION: Ihre Google SecOps-Region (z. B. us, europe-west1).
GOOGLE_PROJECT_NUMBER: Ihre Google Cloud-Projektnummer.
LOCATION: Ihre Google SecOps-Region (z. B. us, europe-west1).
CUSTOMER_ID: Ihre Google SecOps-Kundennummer.
FEED_ID: Die ID Ihres Google SecOps-Feeds.
API_KEY: Der API-Schlüssel Ihres Google Cloud-Projekts, in dem Google SecOps gehostet wird.
SECRET: Der geheime Schlüssel Ihres Google SecOps-Feeds.
alert_format: Legen Sie json für die Kompatibilität mit Google SecOps fest.
level: Gibt die Mindestwarnstufe an, die weitergeleitet werden soll. 0 sendet alle Benachrichtigungen.

Klicken Sie auf Speichern.
Klicken Sie auf wazuh-manager neu starten.

Wazuh On-Premise-Webhook konfigurieren

Führen Sie die folgenden Schritte aus, um den Wazuh On-Premise-Webhook zu konfigurieren:

Greifen Sie auf Ihren lokalen Wazuh-Manager zu.
Wechseln Sie in das Verzeichnis /var/ossec/etc/.
Öffnen Sie die Datei ossec.conf in einem Texteditor (z. B. nano oder vim).
Fügen Sie der Konfiguration im Abschnitt <integration> den folgenden Integrationsblock hinzu.
- Wenn der Abschnitt nicht vorhanden ist, kopieren Sie den gesamten Block mit <integration>, um ihn zu erstellen.
- Ersetzen Sie die Platzhalterwerte durch Ihre tatsächlichen Google SecOps-Details:
```
<integration>
   <name>google-chronicle</name>
   <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
   <alert_format>json</alert_format>
   <level>0</level>  
</integration>
```
- CHRONICLE_REGION: Ihre Google SecOps-Region (z. B. us, europe-west1).
- GOOGLE_PROJECT_NUMBER: Ihre Google Cloud-Projektnummer.
- LOCATION: Ihre Google SecOps-Region (z. B. us, europe-west1).
- CUSTOMER_ID: Ihre Google SecOps-Kundennummer.
- FEED_ID: Die ID Ihres Google SecOps-Feeds.
- API_KEY: Der API-Schlüssel Ihres Google Cloud-Projekts, in dem Google SecOps gehostet wird.
- SECRET: Der geheime Schlüssel Ihres Google SecOps-Feeds.
- alert_format: Legen Sie json für die Kompatibilität mit Google SecOps fest.
- level: Gibt die Mindestwarnstufe an, die weitergeleitet werden soll. 0 sendet alle Benachrichtigungen.
Starten Sie den Wazuh-Manager neu, um die Änderungen zu übernehmen:
```
sudo systemctl restart wazuh-manager
```

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`Acct-Authentic`	`event.idm.read_only_udm.security_result.authentication_mechanism`	Direkt aus dem Feld `Acct-Authentic` zugeordnet.
`Acct-Status-Type`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `Acct-Status-Type` zugeordnet. Der Schlüssel ist auf „Acct-Status-Type“ festgelegt.
`agent.id`	`event.idm.read_only_udm.intermediary.resource.id`	Direkt aus dem Feld `agent.id` zugeordnet.
`agent.ip`	`event.idm.read_only_udm.intermediary.ip`, `event.idm.read_only_udm.intermediary.asset.ip`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `agent.ip` zugeordnet. Wird je nach Ereignistyp auch für die Haupt-/Ziel-IP verwendet.
`agent.name`	`event.idm.read_only_udm.security_result.about.hostname`	Direkt aus dem Feld `agent.name` zugeordnet.
`application`	`event.idm.read_only_udm.target.application`	Direkt aus dem Wazuh-Feld `application` zugeordnet.
`audit-session-id`	`event.idm.read_only_udm.network.session_id`	Direkt aus dem Feld `audit-session-id` zugeordnet.
`ClientIP`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `ClientIP` zugeordnet.
`ClientPort`	`event.idm.read_only_udm.principal.port`	Direkt aus dem Feld `ClientPort` zugeordnet und in eine Ganzzahl konvertiert.
`cmd`	`event.idm.read_only_udm.target.process.command_line`	Direkt aus dem Feld `cmd` zugeordnet.
`CommandLine`	`event.idm.read_only_udm.target.process.command_line`	Direkt aus dem Feld `CommandLine` zugeordnet.
`ConfigVersionId`	`event.idm.read_only_udm.additional.fields[].value.number_value`	Direkt aus dem Feld `ConfigVersionId` zugeordnet. Der Schlüssel ist auf „Config Version Id“ festgelegt.
`data.Account Number`	`event.idm.read_only_udm.principal.user.userid`	Direkt aus dem Feld `data.Account Number` für bestimmte Regel-IDs abgeleitet.
`data.Control`	`event.idm.read_only_udm.security_result.action_details`	Direkt aus dem Feld `data.Control` für bestimmte Regel-IDs abgeleitet.
`data.Message`	`event.idm.read_only_udm.security_result.description`	Direkt aus dem Feld `data.Message` für bestimmte Regel-IDs abgeleitet.
`data.Profile`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `data.Profile` für bestimmte Regel-IDs abgeleitet.
`data.Region`	`event.idm.read_only_udm.principal.location.name`	Direkt aus dem Feld `data.Region` für bestimmte Regel-IDs abgeleitet.
`data.Status`	`event.idm.read_only_udm.security_result.action`	Wird aus dem Feld `data.Status` zugeordnet. Wenn der Wert „Pass“ oder „AUDIT_SUCCESS“ ist, wird die Aktion auf „ALLOW“ gesetzt. Wenn der Wert „ERROR“, „AUDIT_FAILURE“ oder „FAIL“ ist, wird die Aktion auf „BLOCK“ festgelegt.
`data.aws.awsRegion`	`event.idm.read_only_udm.principal.location.name`	Direkt aus dem Feld `data.aws.awsRegion` für bestimmte Regel-IDs abgeleitet.
`data.aws.eventID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Direkt aus dem Feld `data.aws.eventID` zugeordnet. Der Schlüssel wird auf „Ereignis-ID“ festgelegt.
`data.aws.eventName`	`event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `data.aws.eventName` für bestimmte Regel-IDs abgeleitet.
`data.aws.eventSource`	`event.idm.read_only_udm.metadata.url_back_to_product`	Direkt aus dem Feld `data.aws.eventSource` für bestimmte Regel-IDs abgeleitet.
`data.aws.eventType`	`event.idm.read_only_udm.metadata.product_event_type`	Direkt aus dem Feld `data.aws.eventType` für bestimmte Regel-IDs abgeleitet.
`data.aws.requestID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Direkt aus dem Feld `data.aws.requestID` zugeordnet. Der Schlüssel ist auf „Request ID“ (Anfrage-ID) festgelegt.
`data.aws.requestParameters.loadBalancerName`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Direkt aus dem Feld `data.aws.requestParameters.loadBalancerName` zugeordnet. Der Schlüssel ist auf „LoadBalancer Name“ festgelegt.
`data.aws.sourceIPAddress`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `data.aws.sourceIPAddress` für bestimmte Regel-IDs abgeleitet.
`data.aws.source_ip_address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `data.aws.source_ip_address` zugeordnet.
`data.aws.userIdentity.accountId`	`event.idm.read_only_udm.principal.user.product_object_id`	Direkt aus dem Feld `data.aws.userIdentity.accountId` für bestimmte Regel-IDs abgeleitet.
`data.aws.userIdentity.principalId`	`event.idm.read_only_udm.principal.user.userid`	Direkt aus dem Feld `data.aws.userIdentity.principalId` für bestimmte Regel-IDs abgeleitet.
`data.aws.userIdentity.sessionContext.sessionIssuer.arn`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Direkt aus dem Feld `data.aws.userIdentity.sessionContext.sessionIssuer.arn` zugeordnet. Der Schlüssel ist auf „ARN“ gesetzt.
`data.aws.userIdentity.sessionContext.sessionIssuer.userName`	`event.idm.read_only_udm.principal.user.user_display_name`	Direkt aus dem Feld `data.aws.userIdentity.sessionContext.sessionIssuer.userName` für bestimmte Regel-IDs abgeleitet.
`data.command`	`event.idm.read_only_udm.target.file.full_path`	Direkt aus dem Feld `data.command` zugeordnet.
`data.docker.message`	`event.idm.read_only_udm.security_result.description`	Direkt aus dem Feld `data.docker.message` für bestimmte Ereignistypen zugeordnet.
`data.dstuser`	`event.idm.read_only_udm.target.user.userid`	Direkt aus dem Feld `data.dstuser` zugeordnet.
`data.file`	`event.idm.read_only_udm.target.file.full_path`	Direkt aus dem Feld `data.file` zugeordnet.
`data.package`	`event.idm.read_only_udm.target.asset.software[].name`	Direkt aus dem Feld `data.package` zugeordnet.
`data.srcip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `data.srcip` zugeordnet.
`data.srcuser`	`event.idm.read_only_udm.principal.user.userid`	Direkt aus dem Feld `data.srcuser` zugeordnet.
`data.subject.account_domain`	`event.idm.read_only_udm.target.administrative_domain`	Direkt aus dem Feld `data.subject.account_domain` für bestimmte Regel-IDs abgeleitet.
`data.subject.account_name`	`event.idm.read_only_udm.target.user.user_display_name`	Direkt aus dem Feld `data.subject.account_name` für bestimmte Regel-IDs abgeleitet.
`data.subject.security_id`	`event.idm.read_only_udm.target.user.windows_sid`	Direkt aus dem Feld `data.subject.security_id` für bestimmte Regel-IDs abgeleitet.
`data.title`	`event.idm.read_only_udm.target.resource.name`	Direkt aus dem Feld `data.title` zugeordnet.
`data.version`	`event.idm.read_only_udm.target.asset.software[].version`	Direkt aus dem Feld `data.version` zugeordnet.
`decoder.name`	`event.idm.read_only_udm.about.resource.name`, `event.idm.read_only_udm.target.application`	Direkt aus dem Feld `decoder.name` zugeordnet. Wird in einigen Fällen auch für die Zielanwendung verwendet.
`decoder.parent`	`event.idm.read_only_udm.about.resource.parent`	Direkt aus dem Feld `decoder.parent` zugeordnet.
`Description`	`event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `Description` zugeordnet.
`Destination`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`	Wird geparst, um die Ziel-IP-Adresse und den Zielport zu extrahieren.
`DestinationIPAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `DestinationIPAddress` zugeordnet.
`DestinationPort`	`event.idm.read_only_udm.target.port`	Direkt aus dem Feld `DestinationPort` zugeordnet und in eine Ganzzahl konvertiert.
`device_ip_address`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `device_ip_address` zugeordnet.
`feature`	`event.idm.read_only_udm.metadata.product_event_type`	Direkt aus dem Feld `feature` abgeleitet, manchmal in Kombination mit `message_type`.
`file_path`	`event.idm.read_only_udm.target.file.full_path`	Direkt aus dem Feld `file_path` zugeordnet.
`Framed-IP-Address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `Framed-IP-Address` zugeordnet.
`full_log`	`event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.about.labels[].value`	Gepasst, um Portnummer, Beschreibung des Sicherheitsergebnisses und Anmelde-ID des Subjekts zu extrahieren.
`Hashes`	`event.idm.read_only_udm.target.process.file.sha256`, `event.idm.read_only_udm.target.process.file.md5`	Wird geparst, um SHA256- und MD5-Hashes zu extrahieren.
`hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `hostname` zugeordnet.
`Image`	`event.idm.read_only_udm.target.process.file.full_path`	Direkt aus dem Feld `Image` zugeordnet.
`IntegrityLevel`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `IntegrityLevel` zugeordnet. Der Schlüssel ist auf „Integritätsstufe“ festgelegt.
`kv_data`	`event.idm.read_only_udm.target.process.file.full_path`, `event.idm.read_only_udm.target.process.pid`, `event.idm.read_only_udm.target.process.parent_process.file.full_path`, `event.idm.read_only_udm.target.process.parent_process.command_line`, `event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`, `event.idm.read_only_udm.target.process.product_specific_process_id`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Geparsed, um verschiedene Felder im Zusammenhang mit der Prozesserstellung, Dateihashes und der Beschreibung zu extrahieren.
`kv_log_data`	`event.idm.read_only_udm.security_result.severity_details`	Wird analysiert, um die Alarmstufe zu extrahieren.
`location`	`event.idm.read_only_udm.target.file.full_path`	Direkt aus dem Feld `location` zugeordnet.
`LogonGuid`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `LogonGuid` zugeordnet, nachdem die geschweiften Klammern entfernt wurden. Der Schlüssel ist auf „Logon Guid“ festgelegt.
`LogonId`	`event.idm.read_only_udm.about.labels[].value`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Wird für die Anmelde-ID des Probanden bei Abmeldeereignissen verwendet und für andere Ereignisse direkt zugeordnet. Der Schlüssel ist auf „Anmelde-ID“ festgelegt.
`log_description`	`event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `log_description` zugeordnet.
`log_message`	`event.idm.read_only_udm.target.file.full_path`, `event.idm.read_only_udm.metadata.description`	Wird geparst, um Pfad und Logbeschreibung zu extrahieren.
`manager.name`	`event.idm.read_only_udm.about.user.userid`, `event.idm.read_only_udm.principal.user.userid`	Direkt aus dem Feld `manager.name` zugeordnet. Wird in einigen Fällen auch für die Hauptnutzer-ID verwendet.
`md5`	`event.idm.read_only_udm.target.process.file.md5`	Direkt aus dem Feld `md5` zugeordnet.
`message`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.process.command_line`, `event.idm.read_only_udm.network.http.method`, `event.idm.read_only_udm.network.http.response_code`, `event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.principal.nat_ip`, `event.idm.read_only_udm.principal.nat_port`, `event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.network.session_id`, `event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.additional.fields[].value.number_value`, `event.idm.read_only_udm.target.url`, `event.idm.read_only_udm.target.application`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.rule_type`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.network.http.user_agent`, `event.idm.read_only_udm.principal.process.pid`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.severity_details`	Wird mit grok geparst, um je nach Logformat verschiedene Felder zu extrahieren.
`message_data`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.network.sent_bytes`, `event.idm.read_only_udm.network.received_bytes`, `event.idm.read_only_udm.network.ip_protocol`, `event.idm.read_only_udm.metadata.event_type`	Die Daten werden geparst, um Nachrichtendaten, IP-Adressen, Ports, gesendete/empfangene Byte und den Ereignistyp zu extrahieren.
`message_type`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `message_type` abgeleitet, manchmal in Kombination mit `feature`. Wird in einigen Fällen auch für die Beschreibung verwendet.
`method`	`event.idm.read_only_udm.network.http.method`	Direkt aus dem Feld `method` zugeordnet.
`NAS-IP-Address`	`event.idm.read_only_udm.principal.nat_ip`	Direkt aus dem Feld `NAS-IP-Address` zugeordnet.
`NAS-Port`	`event.idm.read_only_udm.principal.nat_port`	Direkt aus dem Feld `NAS-Port` zugeordnet und in eine Ganzzahl konvertiert.
`NAS-Port-Type`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Direkt aus dem Feld `NAS-Port-Type` zugeordnet. Der Schlüssel ist auf „nas_port_type“ festgelegt.
`NetworkDeviceName`	`event.idm.read_only_udm.intermediary.hostname`	Direkt aus dem Feld `NetworkDeviceName` zugeordnet, nachdem Backslashes entfernt wurden.
`ParentCommandLine`	`event.idm.read_only_udm.target.process.parent_process.command_line`	Direkt aus dem Feld `ParentCommandLine` zugeordnet.
`ParentImage`	`event.idm.read_only_udm.target.process.parent_process.file.full_path`	Direkt aus dem Feld `ParentImage` zugeordnet.
`ParentProcessGuid`	`event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`	Direkt aus dem Feld `ParentProcessGuid` abgeleitet, nachdem geschweifte Klammern entfernt und „ID:“ vorangestellt wurde.
`ParentProcessId`	`event.idm.read_only_udm.target.process.parent_process.pid`	Direkt aus dem Feld `ParentProcessId` zugeordnet.
`predecoder.hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `predecoder.hostname` zugeordnet.
`ProcessGuid`	`event.idm.read_only_udm.target.process.product_specific_process_id`	Direkt aus dem Feld `ProcessGuid` abgeleitet, nachdem geschweifte Klammern entfernt und „ID:“ vorangestellt wurde.
`ProcessId`	`event.idm.read_only_udm.target.process.pid`	Direkt aus dem Feld `ProcessId` zugeordnet.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Direkt aus dem Feld `product_event_type` zugeordnet.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	Direkt aus dem Feld `response_code` zugeordnet und in eine Ganzzahl konvertiert.
`rule.description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.summary`	Wird verwendet, um den Ereignistyp zu bestimmen, und direkt der Zusammenfassung der Sicherheitsergebnisse zugeordnet.
`rule.id`	`event.idm.read_only_udm.metadata.product_log_id`, `event.idm.read_only_udm.security_result.rule_id`	Direkt aus dem Feld `rule.id` zugeordnet.
`rule.info`	`event.idm.read_only_udm.target.url`	Direkt aus dem Feld `rule.info` zugeordnet.
`rule.level`	`event.idm.read_only_udm.security_result.severity_details`	Wird verwendet, um Details zum Schweregrad festzulegen.
`r_cat_name`	`event.idm.read_only_udm.metadata.event_type`	Wird verwendet, um den Ereignistyp zu bestimmen.
`r_msg_id`	`event.idm.read_only_udm.metadata.product_log_id`	Direkt aus dem Feld `r_msg_id` zugeordnet.
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Direkt aus dem Feld `security_result.severity` zugeordnet.
`ServerIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `ServerIP` zugeordnet.
`ServerPort`	`event.idm.read_only_udm.target.port`	Direkt aus dem Feld `ServerPort` zugeordnet und in eine Ganzzahl konvertiert.
`sha256`	`event.idm.read_only_udm.target.process.file.sha256`	Direkt aus dem Feld `sha256` zugeordnet.
`Source`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`	Geparsed, um die IP-Adresse und den Port des Hauptkontos zu extrahieren.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `src_ip` zugeordnet.
`sr_description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.description`	Wird verwendet, um den Ereignistyp zu bestimmen, und ist direkt der Beschreibung des Sicherheitsergebnisses zugeordnet.
`syscheck.md5_after`	`event.idm.read_only_udm.target.process.file.md5`	Direkt aus dem Feld `syscheck.md5_after` zugeordnet.
`syscheck.md5_before`	`event.idm.read_only_udm.src.process.file.md5`	Direkt aus dem Feld `syscheck.md5_before` zugeordnet.
`syscheck.path`	`event.idm.read_only_udm.target.file.full_path`	Direkt aus dem Feld `syscheck.path` zugeordnet.
`syscheck.sha1_after`	`event.idm.read_only_udm.target.process.file.sha1`	Direkt aus dem Feld `syscheck.sha1_after` zugeordnet.
`syscheck.sha1_before`	`event.idm.read_only_udm.src.process.file.sha1`	Direkt aus dem Feld `syscheck.sha1_before` zugeordnet.
`syscheck.sha256_after`	`event.idm.read_only_udm.target.process.file.sha256`	Direkt aus dem Feld `syscheck.sha256_after` zugeordnet.
`syscheck.sha256_before`	`event.idm.read_only_udm.src.process.file.sha256`	Direkt aus dem Feld `syscheck.sha256_before` zugeordnet.
`syscheck.size_after`	`event.idm.read_only_udm.target.process.file.size`	Direkt aus dem Feld `syscheck.size_after` zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
`syscheck.size_before`	`event.idm.read_only_udm.src.process.file.size`	Direkt aus dem Feld `syscheck.size_before` zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
`syscheck.uname_after`	`event.idm.read_only_udm.principal.user.user_display_name`	Direkt aus dem Feld `syscheck.uname_after` zugeordnet.
`target_url`	`event.idm.read_only_udm.target.url`	Direkt aus dem Feld `target_url` zugeordnet.
`timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Direkt aus dem Feld `timestamp` zugeordnet.
`Total_bytes_recv`	`event.idm.read_only_udm.network.received_bytes`	Direkt aus dem Feld `Total_bytes_recv` zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
`Total_bytes_send`	`event.idm.read_only_udm.network.sent_bytes`	Direkt aus dem Feld `Total_bytes_send` zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
`User-Name`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Direkt aus dem Feld `User-Name` zugeordnet, wenn es sich nicht um eine MAC-Adresse handelt. Andernfalls wird sie als MAC-Adresse geparst.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Direkt aus dem Feld `user_agent` zugeordnet.
`user_id`	`event.idm.read_only_udm.principal.user.userid`	Direkt aus dem Feld `user_id` zugeordnet.
`UserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Direkt aus dem Feld `UserName` zugeordnet, wenn es sich nicht um eine MAC-Adresse handelt. Andernfalls wird sie als MAC-Adresse geparst.
`VserverServiceIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `VserverServiceIP` zugeordnet.
`VserverServicePort`	`event.idm.read_only_udm.target.port`	Direkt aus dem Feld `VserverServicePort` zugeordnet und in eine Ganzzahl konvertiert.
`win.system.channel`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `win.system.channel` zugeordnet. Der Schlüssel ist auf „channel“ gesetzt.
`win.system.computer`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Direkt aus dem Feld `win.system.computer` zugeordnet. Der Schlüssel ist auf „computer“ gesetzt.
`win.system.eventID`	`event.idm.read_only_udm.metadata.product_log_id`	Direkt aus dem Feld `win.system.eventID` zugeordnet.
`win.system.message_description`	`event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `win.system.message_description` zugeordnet.
`win.system.processID`	`event.idm.read_only_udm.principal.process.pid`	Direkt aus dem Feld `win.system.processID` zugeordnet.
`win.system.providerGuid`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Direkt aus dem Feld `win.system.providerGuid` zugeordnet. Der Schlüssel ist auf „providerGuid“ festgelegt.
`win.system.providerName`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Direkt aus dem Feld `win.system.providerName` zugeordnet. Der Schlüssel ist auf „providerName“ festgelegt.
`win.system.severityValue`	`event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.security_result.severity_details`	Direkt aus dem Feld `win.system.severityValue` zugeordnet, wenn es sich um einen gültigen Schweregradwert handelt.
`win.system.systemTime`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `win.system.systemTime` zugeordnet. Der Schlüssel ist auf „systemTime“ gesetzt.
`win.system.threadID`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `win.system.threadID` zugeordnet. Der Schlüssel ist auf „threadID“ gesetzt.
–	`event.idm.read_only_udm.metadata.event_type`	Standardmäßig auf „GENERIC_EVENT“ festgelegt. Wird durch spezifische Logik für verschiedene Ereignistypen überschrieben.
–	`event.idm.read_only_udm.extensions.auth.mechanism`	Für Anmeldeereignisse auf „REMOTE“ festgelegt.
–	`event.idm.read_only_udm.extensions.auth.type`	Für An- und Abmeldeereignisse auf „PASSWORD“ festgelegt, für einige Ereignisse auf „MACHINE“ überschrieben.
–	`event.idm.read_only_udm.network.ip_protocol`	Auf „TCP“ für TCP-Netzwerkverbindungen festgelegt.
–	`event.idm.read_only_udm.security_result.action`	Legen Sie für Anmeldungen und erfolgreiche Ereignisse „ALLOW“ und für fehlgeschlagene Ereignisse „BLOCK“ fest.
–	`event.idm.read_only_udm.metadata.log_type`	Legen Sie diesen Wert auf „WAZUH“ fest.
–	`event.idm.read_only_udm.metadata.product_name`	Legen Sie diesen Wert auf „Wazuh“ fest.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten