Esta página se ha traducido con Cloud Translation API.

Recopilar registros de Wazuh

Disponible en:

SecOps de Google SIEM

Información general

Este analizador de Wazuh ingiere registros con formato SYSLOG y JSON, normaliza los campos en un formato común y los enriquece con metadatos específicos de Wazuh. A continuación, usa una serie de instrucciones condicionales basadas en los campos event_type y rule_id para asignar los datos de registro sin procesar al tipo de evento y a los campos de UDM adecuados, gestionando varios formatos de registro y casos límite en el ecosistema de Wazuh.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Instancia de Google SecOps.
Una instancia de Wazuh activa.
Acceso privilegiado a los archivos de configuración de Wazuh.

Configurar feeds

Para configurar un feed, sigue estos pasos:

Ve a Configuración de SIEM > Feeds.
Haz clic en Añadir feed.
En la página siguiente, haga clic en Configurar un solo feed.
En el campo Nombre del feed, introduce un nombre para el feed; por ejemplo, Registros de Wazuh.
Selecciona Webhook como Tipo de fuente.
Seleccione Wazuh como Tipo de registro.
Haz clic en Siguiente.
Opcional: especifica los valores de los siguientes parámetros de entrada:
- Delimitador de división: el delimitador que se usa para separar las líneas de registro, como \n.
Haz clic en Siguiente.
Revise la configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.
Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.
Copia y guarda la clave secreta. No podrás volver a ver esta clave secreta. Si es necesario, puedes volver a generar una clave secreta, pero esta acción hará que la clave secreta anterior quede obsoleta.
En la pestaña Detalles, copie la URL del endpoint del feed del campo Información del endpoint. Debes especificar esta URL de endpoint en tu aplicación cliente.
Haz clic en Listo.

Crear una clave de API para la feed de webhook

Ve a la **consolaGoogle Cloud > Credenciales.

Ir a Credenciales
Haz clic en Crear credenciales y, a continuación, selecciona Clave de API.
Restringe el acceso de la clave de API a la API Google Security Operations.

Especificar la URL del endpoint

En tu aplicación cliente, especifica la URL del endpoint HTTPS proporcionada en el feed de webhook.
Para habilitar la autenticación, especifica la clave de API y la clave secreta como parte del encabezado personalizado con el siguiente formato:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Recomendación: Especifica la clave de API como encabezado en lugar de hacerlo en la URL. Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta mediante parámetros de consulta con el siguiente formato:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```

Haz los cambios siguientes:

ENDPOINT_URL: URL del endpoint del feed.
API_KEY: la clave de API para autenticarte en Google Security Operations.
SECRET: la clave secreta que has generado para autenticar el feed.

Configurar el webhook de Wazuh Cloud

Sigue estos pasos para configurar el webhook de Wazuh Cloud:

Inicia sesión en Wazuh Cloud.
Ve a Configuración, en el menú del panel de la izquierda, en Gestión de servidores.
Haz clic en Editar configuración.
Añada el siguiente bloque de integración en la sección <integration> de la configuración.
- Si la sección no existe, copia todo el bloque con <integration> para crearla.
- Sustituye los valores de marcador de posición por los detalles reales de Google SecOps:

<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>

CHRONICLE_REGION: tu región de Google SecOps (por ejemplo, us o europe-west1).
GOOGLE_PROJECT_NUMBER: tu número de proyecto de Google Cloud.
LOCATION: tu región de Google SecOps (por ejemplo, us o europe-west1).
CUSTOMER_ID: tu ID de cliente de Google SecOps.
FEED_ID: el ID de tu feed de Google SecOps.
API_KEY: la clave de API de tu Google Cloud que aloja Google SecOps.
SECRET: el secreto de tu feed de Google SecOps.
alert_format: asigna el valor json para que sea compatible con Google SecOps.
level: especifica el nivel de alerta mínimo que se va a reenviar. 0 envía todas las alertas.

Haz clic en el botón Guardar.
Haz clic en Reiniciar wazuh-manager.

Configurar el webhook local de Wazuh

Sigue estos pasos para configurar el webhook local de Wazuh:

Accede a tu gestor de Wazuh local.
Ve al directorio /var/ossec/etc/.
Abre el archivo ossec.conf con un editor de texto (por ejemplo, nano o vim).
Añade el siguiente bloque de integración en la sección <integration> de la configuración.
- Si la sección no existe, copia todo el bloque con <integration> para crearla.
- Sustituye los valores de marcador de posición por los detalles reales de Google SecOps:
```
<integration>
   <name>google-chronicle</name>
   <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
   <alert_format>json</alert_format>
   <level>0</level>  
</integration>
```
- CHRONICLE_REGION: tu región de Google SecOps (por ejemplo, us o europe-west1).
- GOOGLE_PROJECT_NUMBER: tu número de proyecto de Google Cloud.
- LOCATION: tu región de Google SecOps (por ejemplo, us o europe-west1).
- CUSTOMER_ID: tu ID de cliente de Google SecOps.
- FEED_ID: el ID de tu feed de Google SecOps.
- API_KEY: la clave de API de tu Google Cloud que aloja Google SecOps.
- SECRET: el secreto de tu feed de Google SecOps.
- alert_format: asigna el valor json para que sea compatible con Google SecOps.
- level: especifica el nivel de alerta mínimo que se va a reenviar. 0 envía todas las alertas.
Reinicia el gestor de Wazuh para aplicar los cambios:
```
sudo systemctl restart wazuh-manager
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`Acct-Authentic`	`event.idm.read_only_udm.security_result.authentication_mechanism`	Se asigna directamente desde el campo `Acct-Authentic`.
`Acct-Status-Type`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `Acct-Status-Type`. La clave es "Acct-Status-Type".
`agent.id`	`event.idm.read_only_udm.intermediary.resource.id`	Se asigna directamente desde el campo `agent.id`.
`agent.ip`	`event.idm.read_only_udm.intermediary.ip`, `event.idm.read_only_udm.intermediary.asset.ip`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip` y `event.idm.read_only_udm.target.asset.ip`	Se asigna directamente desde el campo `agent.ip`. También se usa para la IP principal o de destino en algunos casos en función del tipo de evento.
`agent.name`	`event.idm.read_only_udm.security_result.about.hostname`	Se asigna directamente desde el campo `agent.name`.
`application`	`event.idm.read_only_udm.target.application`	Se asigna directamente desde el campo `application` de Wazuh.
`audit-session-id`	`event.idm.read_only_udm.network.session_id`	Se asigna directamente desde el campo `audit-session-id`.
`ClientIP`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Se asigna directamente desde el campo `ClientIP`.
`ClientPort`	`event.idm.read_only_udm.principal.port`	Se ha asignado directamente desde el campo `ClientPort` y se ha convertido en un número entero.
`cmd`	`event.idm.read_only_udm.target.process.command_line`	Se asigna directamente desde el campo `cmd`.
`CommandLine`	`event.idm.read_only_udm.target.process.command_line`	Se asigna directamente desde el campo `CommandLine`.
`ConfigVersionId`	`event.idm.read_only_udm.additional.fields[].value.number_value`	Se asigna directamente desde el campo `ConfigVersionId`. La clave es "Config Version Id".
`data.Account Number`	`event.idm.read_only_udm.principal.user.userid`	Se asigna directamente desde el campo `data.Account Number` para IDs de regla específicos.
`data.Control`	`event.idm.read_only_udm.security_result.action_details`	Se asigna directamente desde el campo `data.Control` para IDs de regla específicos.
`data.Message`	`event.idm.read_only_udm.security_result.description`	Se asigna directamente desde el campo `data.Message` para IDs de regla específicos.
`data.Profile`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Se asigna directamente desde el campo `data.Profile` para IDs de regla específicos.
`data.Region`	`event.idm.read_only_udm.principal.location.name`	Se asigna directamente desde el campo `data.Region` para IDs de regla específicos.
`data.Status`	`event.idm.read_only_udm.security_result.action`	Asignado desde el campo `data.Status`. Si el valor es "Pass" o "AUDIT_SUCCESS", la acción se define como "ALLOW". Si el valor es "ERROR", "AUDIT_FAILURE" o "FAIL", la acción se define como "BLOCK".
`data.aws.awsRegion`	`event.idm.read_only_udm.principal.location.name`	Se asigna directamente desde el campo `data.aws.awsRegion` para IDs de regla específicos.
`data.aws.eventID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Se asigna directamente desde el campo `data.aws.eventID`. La clave es "ID de evento".
`data.aws.eventName`	`event.idm.read_only_udm.metadata.description`	Se asigna directamente desde el campo `data.aws.eventName` para IDs de regla específicos.
`data.aws.eventSource`	`event.idm.read_only_udm.metadata.url_back_to_product`	Se asigna directamente desde el campo `data.aws.eventSource` para IDs de regla específicos.
`data.aws.eventType`	`event.idm.read_only_udm.metadata.product_event_type`	Se asigna directamente desde el campo `data.aws.eventType` para IDs de regla específicos.
`data.aws.requestID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Se asigna directamente desde el campo `data.aws.requestID`. La clave es "ID de solicitud".
`data.aws.requestParameters.loadBalancerName`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Se asigna directamente desde el campo `data.aws.requestParameters.loadBalancerName`. La clave es "Nombre del balanceador de carga".
`data.aws.sourceIPAddress`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Se asigna directamente desde el campo `data.aws.sourceIPAddress` para IDs de regla específicos.
`data.aws.source_ip_address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Se asigna directamente desde el campo `data.aws.source_ip_address`.
`data.aws.userIdentity.accountId`	`event.idm.read_only_udm.principal.user.product_object_id`	Se asigna directamente desde el campo `data.aws.userIdentity.accountId` para IDs de regla específicos.
`data.aws.userIdentity.principalId`	`event.idm.read_only_udm.principal.user.userid`	Se asigna directamente desde el campo `data.aws.userIdentity.principalId` para IDs de regla específicos.
`data.aws.userIdentity.sessionContext.sessionIssuer.arn`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Se asigna directamente desde el campo `data.aws.userIdentity.sessionContext.sessionIssuer.arn`. La clave es "ARN".
`data.aws.userIdentity.sessionContext.sessionIssuer.userName`	`event.idm.read_only_udm.principal.user.user_display_name`	Se asigna directamente desde el campo `data.aws.userIdentity.sessionContext.sessionIssuer.userName` para IDs de regla específicos.
`data.command`	`event.idm.read_only_udm.target.file.full_path`	Se asigna directamente desde el campo `data.command`.
`data.docker.message`	`event.idm.read_only_udm.security_result.description`	Se asigna directamente desde el campo `data.docker.message` de tipos de eventos específicos.
`data.dstuser`	`event.idm.read_only_udm.target.user.userid`	Se asigna directamente desde el campo `data.dstuser`.
`data.file`	`event.idm.read_only_udm.target.file.full_path`	Se asigna directamente desde el campo `data.file`.
`data.package`	`event.idm.read_only_udm.target.asset.software[].name`	Se asigna directamente desde el campo `data.package`.
`data.srcip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Se asigna directamente desde el campo `data.srcip`.
`data.srcuser`	`event.idm.read_only_udm.principal.user.userid`	Se asigna directamente desde el campo `data.srcuser`.
`data.subject.account_domain`	`event.idm.read_only_udm.target.administrative_domain`	Se asigna directamente desde el campo `data.subject.account_domain` para IDs de regla específicos.
`data.subject.account_name`	`event.idm.read_only_udm.target.user.user_display_name`	Se asigna directamente desde el campo `data.subject.account_name` para IDs de regla específicos.
`data.subject.security_id`	`event.idm.read_only_udm.target.user.windows_sid`	Se asigna directamente desde el campo `data.subject.security_id` para IDs de regla específicos.
`data.title`	`event.idm.read_only_udm.target.resource.name`	Se asigna directamente desde el campo `data.title`.
`data.version`	`event.idm.read_only_udm.target.asset.software[].version`	Se asigna directamente desde el campo `data.version`.
`decoder.name`	`event.idm.read_only_udm.about.resource.name`, `event.idm.read_only_udm.target.application`	Se asigna directamente desde el campo `decoder.name`. También se usa para la aplicación de destino en algunos casos.
`decoder.parent`	`event.idm.read_only_udm.about.resource.parent`	Se asigna directamente desde el campo `decoder.parent`.
`Description`	`event.idm.read_only_udm.metadata.description`	Se asigna directamente desde el campo `Description`.
`Destination`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`	Analizado para extraer la IP y el puerto de destino.
`DestinationIPAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Se asigna directamente desde el campo `DestinationIPAddress`.
`DestinationPort`	`event.idm.read_only_udm.target.port`	Se ha asignado directamente desde el campo `DestinationPort` y se ha convertido en un número entero.
`device_ip_address`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Se asigna directamente desde el campo `device_ip_address`.
`feature`	`event.idm.read_only_udm.metadata.product_event_type`	Se asigna directamente desde el campo `feature`, a veces combinado con `message_type`.
`file_path`	`event.idm.read_only_udm.target.file.full_path`	Se asigna directamente desde el campo `file_path`.
`Framed-IP-Address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Se asigna directamente desde el campo `Framed-IP-Address`.
`full_log`	`event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.about.labels[].value`	Se ha analizado para extraer el número de puerto, la descripción del resultado de seguridad y el ID de inicio de sesión del asunto.
`Hashes`	`event.idm.read_only_udm.target.process.file.sha256`, `event.idm.read_only_udm.target.process.file.md5`	Se analiza para extraer los hashes SHA256 y MD5.
`hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Se asigna directamente desde el campo `hostname`.
`Image`	`event.idm.read_only_udm.target.process.file.full_path`	Se asigna directamente desde el campo `Image`.
`IntegrityLevel`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `IntegrityLevel`. La clave es "Integrity Level".
`kv_data`	`event.idm.read_only_udm.target.process.file.full_path`, `event.idm.read_only_udm.target.process.pid`, `event.idm.read_only_udm.target.process.parent_process.file.full_path`, `event.idm.read_only_udm.target.process.parent_process.command_line`, `event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`, `event.idm.read_only_udm.target.process.product_specific_process_id`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Se analiza para extraer varios campos relacionados con la creación de procesos, los hashes de archivos y la descripción.
`kv_log_data`	`event.idm.read_only_udm.security_result.severity_details`	Analizado para extraer el nivel de alerta.
`location`	`event.idm.read_only_udm.target.file.full_path`	Se asigna directamente desde el campo `location`.
`LogonGuid`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `LogonGuid` después de quitar las llaves. La clave es "Logon Guid".
`LogonId`	`event.idm.read_only_udm.about.labels[].value`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Se usa para el ID de inicio de sesión del asunto en los eventos de cierre de sesión y se asigna directamente a otros eventos. La clave es "ID de inicio de sesión".
`log_description`	`event.idm.read_only_udm.metadata.description`	Se asigna directamente desde el campo `log_description`.
`log_message`	`event.idm.read_only_udm.target.file.full_path`, `event.idm.read_only_udm.metadata.description`	Se analiza para extraer la ruta y la descripción del registro.
`manager.name`	`event.idm.read_only_udm.about.user.userid`, `event.idm.read_only_udm.principal.user.userid`	Se asigna directamente desde el campo `manager.name`. También se usa para el ID de usuario principal en algunos casos.
`md5`	`event.idm.read_only_udm.target.process.file.md5`	Se asigna directamente desde el campo `md5`.
`message`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.process.command_line`, `event.idm.read_only_udm.network.http.method`, `event.idm.read_only_udm.network.http.response_code`, `event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.principal.nat_ip`, `event.idm.read_only_udm.principal.nat_port`, `event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.network.session_id`, `event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.additional.fields[].value.number_value`, `event.idm.read_only_udm.target.url`, `event.idm.read_only_udm.target.application`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.rule_type`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.network.http.user_agent`, `event.idm.read_only_udm.principal.process.pid`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value` y `event.idm.read_only_udm.security_result.severity_details`	Se analiza con grok para extraer varios campos en función del formato del registro.
`message_data`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.network.sent_bytes`, `event.idm.read_only_udm.network.received_bytes`, `event.idm.read_only_udm.network.ip_protocol`, `event.idm.read_only_udm.metadata.event_type`	Se ha analizado para extraer datos de mensajes, direcciones IP, puertos, bytes enviados o recibidos y el tipo de evento.
`message_type`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`	Se asigna directamente desde el campo `message_type`, a veces combinado con `feature`. También se usa para la descripción en algunos casos.
`method`	`event.idm.read_only_udm.network.http.method`	Se asigna directamente desde el campo `method`.
`NAS-IP-Address`	`event.idm.read_only_udm.principal.nat_ip`	Se asigna directamente desde el campo `NAS-IP-Address`.
`NAS-Port`	`event.idm.read_only_udm.principal.nat_port`	Se ha asignado directamente desde el campo `NAS-Port` y se ha convertido en un número entero.
`NAS-Port-Type`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Se asigna directamente desde el campo `NAS-Port-Type`. La clave es "nas_port_type".
`NetworkDeviceName`	`event.idm.read_only_udm.intermediary.hostname`	Se asigna directamente desde el campo `NetworkDeviceName` después de quitar las barras invertidas.
`ParentCommandLine`	`event.idm.read_only_udm.target.process.parent_process.command_line`	Se asigna directamente desde el campo `ParentCommandLine`.
`ParentImage`	`event.idm.read_only_udm.target.process.parent_process.file.full_path`	Se asigna directamente desde el campo `ParentImage`.
`ParentProcessGuid`	`event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`	Se asigna directamente desde el campo `ParentProcessGuid` después de quitar las llaves y añadir "ID:" al principio.
`ParentProcessId`	`event.idm.read_only_udm.target.process.parent_process.pid`	Se asigna directamente desde el campo `ParentProcessId`.
`predecoder.hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Se asigna directamente desde el campo `predecoder.hostname`.
`ProcessGuid`	`event.idm.read_only_udm.target.process.product_specific_process_id`	Se asigna directamente desde el campo `ProcessGuid` después de quitar las llaves y añadir "ID:" al principio.
`ProcessId`	`event.idm.read_only_udm.target.process.pid`	Se asigna directamente desde el campo `ProcessId`.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Se asigna directamente desde el campo `product_event_type`.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	Se ha asignado directamente desde el campo `response_code` y se ha convertido en un número entero.
`rule.description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.summary`	Se usa para determinar el tipo de evento y se asigna directamente al resumen de resultados de seguridad.
`rule.id`	`event.idm.read_only_udm.metadata.product_log_id`, `event.idm.read_only_udm.security_result.rule_id`	Se asigna directamente desde el campo `rule.id`.
`rule.info`	`event.idm.read_only_udm.target.url`	Se asigna directamente desde el campo `rule.info`.
`rule.level`	`event.idm.read_only_udm.security_result.severity_details`	Se usa para definir los detalles de la gravedad.
`r_cat_name`	`event.idm.read_only_udm.metadata.event_type`	Se usa para determinar el tipo de evento.
`r_msg_id`	`event.idm.read_only_udm.metadata.product_log_id`	Se asigna directamente desde el campo `r_msg_id`.
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Se asigna directamente desde el campo `security_result.severity`.
`ServerIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Se asigna directamente desde el campo `ServerIP`.
`ServerPort`	`event.idm.read_only_udm.target.port`	Se ha asignado directamente desde el campo `ServerPort` y se ha convertido en un número entero.
`sha256`	`event.idm.read_only_udm.target.process.file.sha256`	Se asigna directamente desde el campo `sha256`.
`Source`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`	Se ha analizado para extraer la IP y el puerto principales.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Se asigna directamente desde el campo `src_ip`.
`sr_description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.description`	Se usa para determinar el tipo de evento y se asigna directamente a la descripción del resultado de seguridad.
`syscheck.md5_after`	`event.idm.read_only_udm.target.process.file.md5`	Se asigna directamente desde el campo `syscheck.md5_after`.
`syscheck.md5_before`	`event.idm.read_only_udm.src.process.file.md5`	Se asigna directamente desde el campo `syscheck.md5_before`.
`syscheck.path`	`event.idm.read_only_udm.target.file.full_path`	Se asigna directamente desde el campo `syscheck.path`.
`syscheck.sha1_after`	`event.idm.read_only_udm.target.process.file.sha1`	Se asigna directamente desde el campo `syscheck.sha1_after`.
`syscheck.sha1_before`	`event.idm.read_only_udm.src.process.file.sha1`	Se asigna directamente desde el campo `syscheck.sha1_before`.
`syscheck.sha256_after`	`event.idm.read_only_udm.target.process.file.sha256`	Se asigna directamente desde el campo `syscheck.sha256_after`.
`syscheck.sha256_before`	`event.idm.read_only_udm.src.process.file.sha256`	Se asigna directamente desde el campo `syscheck.sha256_before`.
`syscheck.size_after`	`event.idm.read_only_udm.target.process.file.size`	Se asigna directamente desde el campo `syscheck.size_after` y se convierte en un entero sin signo.
`syscheck.size_before`	`event.idm.read_only_udm.src.process.file.size`	Se asigna directamente desde el campo `syscheck.size_before` y se convierte en un entero sin signo.
`syscheck.uname_after`	`event.idm.read_only_udm.principal.user.user_display_name`	Se asigna directamente desde el campo `syscheck.uname_after`.
`target_url`	`event.idm.read_only_udm.target.url`	Se asigna directamente desde el campo `target_url`.
`timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Se asigna directamente desde el campo `timestamp`.
`Total_bytes_recv`	`event.idm.read_only_udm.network.received_bytes`	Se asigna directamente desde el campo `Total_bytes_recv` y se convierte en un entero sin signo.
`Total_bytes_send`	`event.idm.read_only_udm.network.sent_bytes`	Se asigna directamente desde el campo `Total_bytes_send` y se convierte en un entero sin signo.
`User-Name`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Se asigna directamente desde el campo `User-Name` si no es una dirección MAC. De lo contrario, se analiza como una dirección MAC.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Se asigna directamente desde el campo `user_agent`.
`user_id`	`event.idm.read_only_udm.principal.user.userid`	Se asigna directamente desde el campo `user_id`.
`UserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Se asigna directamente desde el campo `UserName` si no es una dirección MAC. De lo contrario, se analiza como una dirección MAC.
`VserverServiceIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Se asigna directamente desde el campo `VserverServiceIP`.
`VserverServicePort`	`event.idm.read_only_udm.target.port`	Se ha asignado directamente desde el campo `VserverServicePort` y se ha convertido en un número entero.
`win.system.channel`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `win.system.channel`. La clave es "channel".
`win.system.computer`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Se asigna directamente desde el campo `win.system.computer`. La clave es "computer".
`win.system.eventID`	`event.idm.read_only_udm.metadata.product_log_id`	Se asigna directamente desde el campo `win.system.eventID`.
`win.system.message_description`	`event.idm.read_only_udm.metadata.description`	Se asigna directamente desde el campo `win.system.message_description`.
`win.system.processID`	`event.idm.read_only_udm.principal.process.pid`	Se asigna directamente desde el campo `win.system.processID`.
`win.system.providerGuid`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Se asigna directamente desde el campo `win.system.providerGuid`. La clave es "providerGuid".
`win.system.providerName`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Se asigna directamente desde el campo `win.system.providerName`. La clave es "providerName".
`win.system.severityValue`	`event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.security_result.severity_details`	Se asigna directamente desde el campo `win.system.severityValue` si es un valor de gravedad válido.
`win.system.systemTime`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `win.system.systemTime`. La clave es "systemTime".
`win.system.threadID`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `win.system.threadID`. La clave es "threadID".
N/A	`event.idm.read_only_udm.metadata.event_type`	Se asigna el valor "GENERIC_EVENT" de forma predeterminada, que se sustituye por una lógica específica para los distintos tipos de eventos.
N/A	`event.idm.read_only_udm.extensions.auth.mechanism`	Se define como "REMOTE" para los eventos de inicio de sesión.
N/A	`event.idm.read_only_udm.extensions.auth.type`	Se define como "PASSWORD" para los eventos de inicio y cierre de sesión, pero se cambia a "MACHINE" en algunos eventos.
N/A	`event.idm.read_only_udm.network.ip_protocol`	Se establece en "TCP" para las conexiones de red TCP.
N/A	`event.idm.read_only_udm.security_result.action`	Selecciona "ALLOW" para los inicios de sesión y los eventos correctos, y "BLOCK" para los eventos fallidos.
N/A	`event.idm.read_only_udm.metadata.log_type`	Selecciona "WAZUH".
N/A	`event.idm.read_only_udm.metadata.product_name`	Selecciona "Wazuh".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.