Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Wazuh

Compatible avec :

Google SecOps SIEM

Présentation

Cet analyseur Wazuh ingère les journaux au format SYSLOG et JSON, normalise les champs dans un format commun et les enrichit avec des métadonnées spécifiques à Wazuh. Il utilise ensuite une série d'instructions conditionnelles basées sur les champs event_type et rule_id pour mapper les données brutes du journal au type et aux champs d'événement UDM appropriés, en gérant différents formats de journaux et cas extrêmes dans l'écosystème Wazuh.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Instance Google SecOps.
Instance Wazuh active.
Accès privilégié aux fichiers de configuration Wazuh.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

Paramètres SIEM> Flux
Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

Accédez à Paramètres SIEM > Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux Wazuh).
Sélectionnez Webhook comme type de source.
Sélectionnez Wazuh comme type de journal.
Cliquez sur Suivant.
Facultatif : spécifiez les valeurs des paramètres d'entrée suivants :
- Délimiteur de fractionnement : délimiteur utilisé pour séparer les lignes de journaux, tel que \n.
Cliquez sur Suivant.
Vérifiez la configuration du flux sur l'écran Finaliser, puis cliquez sur Envoyer.
Cliquez sur Générer une clé secrète pour générer une clé secrète permettant d'authentifier ce flux.
Copiez et stockez la clé secrète. Vous ne pourrez plus afficher cette clé secrète. Si nécessaire, vous pouvez générer une nouvelle clé secrète, mais l'ancienne deviendra obsolète.
Dans l'onglet Détails, copiez l'URL du point de terminaison du flux à partir du champ Informations sur le point de terminaison. Vous devez spécifier cette URL de point de terminaison dans votre application cliente.
Cliquez sur OK.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

Délimiteur de fractionnement : délimiteur utilisé pour séparer les lignes de journaux, tel que \n.

Options avancées
Nom du flux : valeur préremplie qui identifie le flux.
Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
Espace de noms de l'élément : espace de noms associé au flux.
Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.
Cliquez sur Générer une clé secrète pour générer une clé secrète permettant d'authentifier ce flux.
Copiez et stockez la clé secrète. Vous ne pourrez plus afficher cette clé secrète. Si nécessaire, vous pouvez générer une nouvelle clé secrète, mais l'ancienne deviendra obsolète.
Dans l'onglet Détails, copiez l'URL du point de terminaison du flux à partir du champ Informations sur le point de terminaison. Vous devez spécifier cette URL de point de terminaison dans votre application cliente.

Créer une clé API pour le flux de webhook

Accédez à laGoogle Cloud console > Identifiants.

Accéder à "Identifiants"
Cliquez sur Créer des identifiants, puis sélectionnez Clé API.
Restreignez l'accès à la clé API à l'API Google Security Operations.

Spécifier l'URL du point de terminaison

Dans votre application cliente, spécifiez l'URL du point de terminaison HTTPS fournie dans le flux de webhook.
Activez l'authentification en spécifiant la clé API et la clé secrète dans l'en-tête personnalisé au format suivant :
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Recommandation : Spécifiez la clé API en tant qu'en-tête au lieu de la spécifier dans l'URL. Si votre client de webhook n'accepte pas les en-têtes personnalisés, vous pouvez spécifier la clé API et la clé secrète à l'aide de paramètres de requête au format suivant :
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```

Remplacez les éléments suivants :

ENDPOINT_URL : URL du point de terminaison du flux.
API_KEY : clé API pour s'authentifier auprès de Google Security Operations.
SECRET : clé secrète que vous avez générée pour authentifier le flux.

Configurer le webhook Wazuh Cloud

Pour configurer le webhook Wazuh Cloud :

Connectez-vous à votre compte Wazuh Cloud.
Accédez à Paramètres, dans le menu du volet de gauche, sous Gestion du serveur.
Cliquez sur Modifier la configuration.
Ajoutez le bloc d'intégration suivant dans la section <integration> de la configuration.
- Si la section n'existe pas, copiez l'intégralité du bloc avec <integration> pour en créer un.
- Remplacez les valeurs des espaces réservés par les informations réelles de votre compte Google SecOps :

<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>

CHRONICLE_REGION : région Google SecOps (par exemple, us, europe-west1).
GOOGLE_PROJECT_NUMBER : numéro de votre projet Google Cloud.
LOCATION : région Google SecOps (par exemple, us, europe-west1).
CUSTOMER_ID : ID client Google SecOps.
FEED_ID : ID de votre flux Google SecOps.
API_KEY : clé API de votre Google Cloud qui héberge Google SecOps.
SECRET : code secret de votre flux Google SecOps.
alert_format : définissez sur json pour la compatibilité avec Google SecOps.
level : spécifie le niveau d'alerte minimal à transférer. 0 envoie toutes les alertes.

Cliquez sur le bouton Enregistrer.
Cliquez sur Restart wazuh-manager (Redémarrer wazuh-manager).

Configurer le webhook Wazuh sur site

Pour configurer le webhook Wazuh On-Premise, procédez comme suit :

Accédez à votre gestionnaire Wazuh sur site.
Accédez au répertoire /var/ossec/etc/.
Ouvrez le fichier ossec.conf à l'aide d'un éditeur de texte (par exemple, nano ou vim).
Ajoutez le bloc d'intégration suivant dans la section <integration> de la configuration.
- Si la section n'existe pas, copiez l'intégralité du bloc avec <integration> pour en créer un.
- Remplacez les valeurs des espaces réservés par les informations réelles de votre compte Google SecOps :
```
<integration>
   <name>google-chronicle</name>
   <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
   <alert_format>json</alert_format>
   <level>0</level>  
</integration>
```
- CHRONICLE_REGION : région Google SecOps (par exemple, us, europe-west1).
- GOOGLE_PROJECT_NUMBER : numéro de votre projet Google Cloud.
- LOCATION : région Google SecOps (par exemple, us, europe-west1).
- CUSTOMER_ID : ID client Google SecOps.
- FEED_ID : ID de votre flux Google SecOps.
- API_KEY : clé API de votre Google Cloud qui héberge Google SecOps.
- SECRET : code secret de votre flux Google SecOps.
- alert_format : définissez sur json pour la compatibilité avec Google SecOps.
- level : spécifie le niveau d'alerte minimal à transférer. 0 envoie toutes les alertes.
Redémarrez le gestionnaire Wazuh pour appliquer les modifications :
```
sudo systemctl restart wazuh-manager
```

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`Acct-Authentic`	`event.idm.read_only_udm.security_result.authentication_mechanism`	Mappé directement à partir du champ `Acct-Authentic`.
`Acct-Status-Type`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `Acct-Status-Type`. La clé est définie sur "Acct-Status-Type".
`agent.id`	`event.idm.read_only_udm.intermediary.resource.id`	Mappé directement à partir du champ `agent.id`.
`agent.ip`	`event.idm.read_only_udm.intermediary.ip`, `event.idm.read_only_udm.intermediary.asset.ip`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappé directement à partir du champ `agent.ip`. Également utilisé pour l'adresse IP principale/cible dans certains cas, en fonction du type d'événement.
`agent.name`	`event.idm.read_only_udm.security_result.about.hostname`	Mappé directement à partir du champ `agent.name`.
`application`	`event.idm.read_only_udm.target.application`	Mappé directement à partir du champ `application` de Wazuh.
`audit-session-id`	`event.idm.read_only_udm.network.session_id`	Mappé directement à partir du champ `audit-session-id`.
`ClientIP`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappé directement à partir du champ `ClientIP`.
`ClientPort`	`event.idm.read_only_udm.principal.port`	Mappé directement à partir du champ `ClientPort` et converti en entier.
`cmd`	`event.idm.read_only_udm.target.process.command_line`	Mappé directement à partir du champ `cmd`.
`CommandLine`	`event.idm.read_only_udm.target.process.command_line`	Mappé directement à partir du champ `CommandLine`.
`ConfigVersionId`	`event.idm.read_only_udm.additional.fields[].value.number_value`	Mappé directement à partir du champ `ConfigVersionId`. La clé est définie sur "Config Version Id".
`data.Account Number`	`event.idm.read_only_udm.principal.user.userid`	Directement mappé à partir du champ `data.Account Number` pour des ID de règle spécifiques.
`data.Control`	`event.idm.read_only_udm.security_result.action_details`	Directement mappé à partir du champ `data.Control` pour des ID de règle spécifiques.
`data.Message`	`event.idm.read_only_udm.security_result.description`	Directement mappé à partir du champ `data.Message` pour des ID de règle spécifiques.
`data.Profile`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Directement mappé à partir du champ `data.Profile` pour des ID de règle spécifiques.
`data.Region`	`event.idm.read_only_udm.principal.location.name`	Directement mappé à partir du champ `data.Region` pour des ID de règle spécifiques.
`data.Status`	`event.idm.read_only_udm.security_result.action`	Mappé à partir du champ `data.Status`. Si la valeur est "Pass" ou "AUDIT_SUCCESS", l'action est définie sur "ALLOW". Si la valeur est "ERROR", "AUDIT_FAILURE" ou "FAIL", l'action est définie sur "BLOCK".
`data.aws.awsRegion`	`event.idm.read_only_udm.principal.location.name`	Directement mappé à partir du champ `data.aws.awsRegion` pour des ID de règle spécifiques.
`data.aws.eventID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mappé directement à partir du champ `data.aws.eventID`. La clé est définie sur "ID de l'événement".
`data.aws.eventName`	`event.idm.read_only_udm.metadata.description`	Directement mappé à partir du champ `data.aws.eventName` pour des ID de règle spécifiques.
`data.aws.eventSource`	`event.idm.read_only_udm.metadata.url_back_to_product`	Directement mappé à partir du champ `data.aws.eventSource` pour des ID de règle spécifiques.
`data.aws.eventType`	`event.idm.read_only_udm.metadata.product_event_type`	Directement mappé à partir du champ `data.aws.eventType` pour des ID de règle spécifiques.
`data.aws.requestID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mappé directement à partir du champ `data.aws.requestID`. La clé est définie sur "ID de la demande".
`data.aws.requestParameters.loadBalancerName`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mappé directement à partir du champ `data.aws.requestParameters.loadBalancerName`. La clé est définie sur "LoadBalancer Name".
`data.aws.sourceIPAddress`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Directement mappé à partir du champ `data.aws.sourceIPAddress` pour des ID de règle spécifiques.
`data.aws.source_ip_address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappé directement à partir du champ `data.aws.source_ip_address`.
`data.aws.userIdentity.accountId`	`event.idm.read_only_udm.principal.user.product_object_id`	Directement mappé à partir du champ `data.aws.userIdentity.accountId` pour des ID de règle spécifiques.
`data.aws.userIdentity.principalId`	`event.idm.read_only_udm.principal.user.userid`	Directement mappé à partir du champ `data.aws.userIdentity.principalId` pour des ID de règle spécifiques.
`data.aws.userIdentity.sessionContext.sessionIssuer.arn`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mappé directement à partir du champ `data.aws.userIdentity.sessionContext.sessionIssuer.arn`. La clé est définie sur "ARN".
`data.aws.userIdentity.sessionContext.sessionIssuer.userName`	`event.idm.read_only_udm.principal.user.user_display_name`	Directement mappé à partir du champ `data.aws.userIdentity.sessionContext.sessionIssuer.userName` pour des ID de règle spécifiques.
`data.command`	`event.idm.read_only_udm.target.file.full_path`	Mappé directement à partir du champ `data.command`.
`data.docker.message`	`event.idm.read_only_udm.security_result.description`	Directement mappé à partir du champ `data.docker.message` pour des types d'événements spécifiques.
`data.dstuser`	`event.idm.read_only_udm.target.user.userid`	Mappé directement à partir du champ `data.dstuser`.
`data.file`	`event.idm.read_only_udm.target.file.full_path`	Mappé directement à partir du champ `data.file`.
`data.package`	`event.idm.read_only_udm.target.asset.software[].name`	Mappé directement à partir du champ `data.package`.
`data.srcip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappé directement à partir du champ `data.srcip`.
`data.srcuser`	`event.idm.read_only_udm.principal.user.userid`	Mappé directement à partir du champ `data.srcuser`.
`data.subject.account_domain`	`event.idm.read_only_udm.target.administrative_domain`	Directement mappé à partir du champ `data.subject.account_domain` pour des ID de règle spécifiques.
`data.subject.account_name`	`event.idm.read_only_udm.target.user.user_display_name`	Directement mappé à partir du champ `data.subject.account_name` pour des ID de règle spécifiques.
`data.subject.security_id`	`event.idm.read_only_udm.target.user.windows_sid`	Directement mappé à partir du champ `data.subject.security_id` pour des ID de règle spécifiques.
`data.title`	`event.idm.read_only_udm.target.resource.name`	Mappé directement à partir du champ `data.title`.
`data.version`	`event.idm.read_only_udm.target.asset.software[].version`	Mappé directement à partir du champ `data.version`.
`decoder.name`	`event.idm.read_only_udm.about.resource.name`, `event.idm.read_only_udm.target.application`	Mappé directement à partir du champ `decoder.name`. Également utilisé pour l'application cible dans certains cas.
`decoder.parent`	`event.idm.read_only_udm.about.resource.parent`	Mappé directement à partir du champ `decoder.parent`.
`Description`	`event.idm.read_only_udm.metadata.description`	Mappé directement à partir du champ `Description`.
`Destination`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`	Analysé pour extraire l'adresse IP et le port cibles.
`DestinationIPAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappé directement à partir du champ `DestinationIPAddress`.
`DestinationPort`	`event.idm.read_only_udm.target.port`	Mappé directement à partir du champ `DestinationPort` et converti en entier.
`device_ip_address`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappé directement à partir du champ `device_ip_address`.
`feature`	`event.idm.read_only_udm.metadata.product_event_type`	Directement mappé à partir du champ `feature`, parfois combiné à `message_type`.
`file_path`	`event.idm.read_only_udm.target.file.full_path`	Mappé directement à partir du champ `file_path`.
`Framed-IP-Address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappé directement à partir du champ `Framed-IP-Address`.
`full_log`	`event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.about.labels[].value`	Analysé pour extraire le numéro de port, la description du résultat de sécurité et l'ID de connexion du sujet.
`Hashes`	`event.idm.read_only_udm.target.process.file.sha256`, `event.idm.read_only_udm.target.process.file.md5`	Analysé pour extraire les hachages SHA256 et MD5.
`hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappé directement à partir du champ `hostname`.
`Image`	`event.idm.read_only_udm.target.process.file.full_path`	Mappé directement à partir du champ `Image`.
`IntegrityLevel`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `IntegrityLevel`. La clé est définie sur "Niveau d'intégrité".
`kv_data`	`event.idm.read_only_udm.target.process.file.full_path`, `event.idm.read_only_udm.target.process.pid`, `event.idm.read_only_udm.target.process.parent_process.file.full_path`, `event.idm.read_only_udm.target.process.parent_process.command_line`, `event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`, `event.idm.read_only_udm.target.process.product_specific_process_id`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Analysé pour extraire différents champs liés à la création de processus, aux hachages de fichiers et à la description.
`kv_log_data`	`event.idm.read_only_udm.security_result.severity_details`	Analysé pour extraire le niveau d'alerte.
`location`	`event.idm.read_only_udm.target.file.full_path`	Mappé directement à partir du champ `location`.
`LogonGuid`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `LogonGuid` après suppression des accolades. La clé est définie sur "Logon Guid".
`LogonId`	`event.idm.read_only_udm.about.labels[].value`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Utilisé pour l'ID de connexion du sujet dans les événements de déconnexion et directement mappé pour les autres événements. La clé est définie sur "ID de connexion".
`log_description`	`event.idm.read_only_udm.metadata.description`	Mappé directement à partir du champ `log_description`.
`log_message`	`event.idm.read_only_udm.target.file.full_path`, `event.idm.read_only_udm.metadata.description`	Analysé pour extraire le chemin d'accès et la description du journal.
`manager.name`	`event.idm.read_only_udm.about.user.userid`, `event.idm.read_only_udm.principal.user.userid`	Mappé directement à partir du champ `manager.name`. Également utilisé pour l'ID utilisateur principal dans certains cas.
`md5`	`event.idm.read_only_udm.target.process.file.md5`	Mappé directement à partir du champ `md5`.
`message`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.process.command_line`, `event.idm.read_only_udm.network.http.method`, `event.idm.read_only_udm.network.http.response_code`, `event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.principal.nat_ip`, `event.idm.read_only_udm.principal.nat_port`, `event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.network.session_id`, `event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.additional.fields[].value.number_value`, `event.idm.read_only_udm.target.url`, `event.idm.read_only_udm.target.application`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.rule_type`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.network.http.user_agent`, `event.idm.read_only_udm.principal.process.pid`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.severity_details`	Analysé à l'aide de grok pour extraire différents champs en fonction du format du journal.
`message_data`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.network.sent_bytes`, `event.idm.read_only_udm.network.received_bytes`, `event.idm.read_only_udm.network.ip_protocol`, `event.idm.read_only_udm.metadata.event_type`	Les données de message, les adresses IP, les ports, les octets envoyés/reçus et le type d'événement sont extraits.
`message_type`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`	Directement mappé à partir du champ `message_type`, parfois combiné à `feature`. Également utilisé pour la description dans certains cas.
`method`	`event.idm.read_only_udm.network.http.method`	Mappé directement à partir du champ `method`.
`NAS-IP-Address`	`event.idm.read_only_udm.principal.nat_ip`	Mappé directement à partir du champ `NAS-IP-Address`.
`NAS-Port`	`event.idm.read_only_udm.principal.nat_port`	Mappé directement à partir du champ `NAS-Port` et converti en entier.
`NAS-Port-Type`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mappé directement à partir du champ `NAS-Port-Type`. La clé est définie sur "nas_port_type".
`NetworkDeviceName`	`event.idm.read_only_udm.intermediary.hostname`	Directement mappé à partir du champ `NetworkDeviceName` après suppression des barres obliques inverses.
`ParentCommandLine`	`event.idm.read_only_udm.target.process.parent_process.command_line`	Mappé directement à partir du champ `ParentCommandLine`.
`ParentImage`	`event.idm.read_only_udm.target.process.parent_process.file.full_path`	Mappé directement à partir du champ `ParentImage`.
`ParentProcessGuid`	`event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`	Directement mappé à partir du champ `ParentProcessGuid` après suppression des accolades et ajout du préfixe "ID :".
`ParentProcessId`	`event.idm.read_only_udm.target.process.parent_process.pid`	Mappé directement à partir du champ `ParentProcessId`.
`predecoder.hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappé directement à partir du champ `predecoder.hostname`.
`ProcessGuid`	`event.idm.read_only_udm.target.process.product_specific_process_id`	Directement mappé à partir du champ `ProcessGuid` après suppression des accolades et ajout du préfixe "ID :".
`ProcessId`	`event.idm.read_only_udm.target.process.pid`	Mappé directement à partir du champ `ProcessId`.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Mappé directement à partir du champ `product_event_type`.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	Mappé directement à partir du champ `response_code` et converti en entier.
`rule.description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.summary`	Utilisé pour déterminer le type d'événement et directement mappé au récapitulatif des résultats de sécurité.
`rule.id`	`event.idm.read_only_udm.metadata.product_log_id`, `event.idm.read_only_udm.security_result.rule_id`	Mappé directement à partir du champ `rule.id`.
`rule.info`	`event.idm.read_only_udm.target.url`	Mappé directement à partir du champ `rule.info`.
`rule.level`	`event.idm.read_only_udm.security_result.severity_details`	Permet de définir les détails de la gravité.
`r_cat_name`	`event.idm.read_only_udm.metadata.event_type`	Utilisé pour déterminer le type d'événement.
`r_msg_id`	`event.idm.read_only_udm.metadata.product_log_id`	Mappé directement à partir du champ `r_msg_id`.
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Mappé directement à partir du champ `security_result.severity`.
`ServerIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappé directement à partir du champ `ServerIP`.
`ServerPort`	`event.idm.read_only_udm.target.port`	Mappé directement à partir du champ `ServerPort` et converti en entier.
`sha256`	`event.idm.read_only_udm.target.process.file.sha256`	Mappé directement à partir du champ `sha256`.
`Source`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`	Analysé pour extraire l'adresse IP et le port du compte principal.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappé directement à partir du champ `src_ip`.
`sr_description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.description`	Permet de déterminer le type d'événement et est directement associé à la description du résultat de sécurité.
`syscheck.md5_after`	`event.idm.read_only_udm.target.process.file.md5`	Mappé directement à partir du champ `syscheck.md5_after`.
`syscheck.md5_before`	`event.idm.read_only_udm.src.process.file.md5`	Mappé directement à partir du champ `syscheck.md5_before`.
`syscheck.path`	`event.idm.read_only_udm.target.file.full_path`	Mappé directement à partir du champ `syscheck.path`.
`syscheck.sha1_after`	`event.idm.read_only_udm.target.process.file.sha1`	Mappé directement à partir du champ `syscheck.sha1_after`.
`syscheck.sha1_before`	`event.idm.read_only_udm.src.process.file.sha1`	Mappé directement à partir du champ `syscheck.sha1_before`.
`syscheck.sha256_after`	`event.idm.read_only_udm.target.process.file.sha256`	Mappé directement à partir du champ `syscheck.sha256_after`.
`syscheck.sha256_before`	`event.idm.read_only_udm.src.process.file.sha256`	Mappé directement à partir du champ `syscheck.sha256_before`.
`syscheck.size_after`	`event.idm.read_only_udm.target.process.file.size`	Mappé directement à partir du champ `syscheck.size_after` et converti en entier non signé.
`syscheck.size_before`	`event.idm.read_only_udm.src.process.file.size`	Mappé directement à partir du champ `syscheck.size_before` et converti en entier non signé.
`syscheck.uname_after`	`event.idm.read_only_udm.principal.user.user_display_name`	Mappé directement à partir du champ `syscheck.uname_after`.
`target_url`	`event.idm.read_only_udm.target.url`	Mappé directement à partir du champ `target_url`.
`timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Mappé directement à partir du champ `timestamp`.
`Total_bytes_recv`	`event.idm.read_only_udm.network.received_bytes`	Mappé directement à partir du champ `Total_bytes_recv` et converti en entier non signé.
`Total_bytes_send`	`event.idm.read_only_udm.network.sent_bytes`	Mappé directement à partir du champ `Total_bytes_send` et converti en entier non signé.
`User-Name`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Directement mappé à partir du champ `User-Name` s'il ne s'agit pas d'une adresse MAC. Dans le cas contraire, il est analysé comme une adresse MAC.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Mappé directement à partir du champ `user_agent`.
`user_id`	`event.idm.read_only_udm.principal.user.userid`	Mappé directement à partir du champ `user_id`.
`UserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Directement mappé à partir du champ `UserName` s'il ne s'agit pas d'une adresse MAC. Dans le cas contraire, il est analysé comme une adresse MAC.
`VserverServiceIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappé directement à partir du champ `VserverServiceIP`.
`VserverServicePort`	`event.idm.read_only_udm.target.port`	Mappé directement à partir du champ `VserverServicePort` et converti en entier.
`win.system.channel`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `win.system.channel`. La clé est définie sur "channel".
`win.system.computer`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mappé directement à partir du champ `win.system.computer`. La clé est définie sur "computer".
`win.system.eventID`	`event.idm.read_only_udm.metadata.product_log_id`	Mappé directement à partir du champ `win.system.eventID`.
`win.system.message_description`	`event.idm.read_only_udm.metadata.description`	Mappé directement à partir du champ `win.system.message_description`.
`win.system.processID`	`event.idm.read_only_udm.principal.process.pid`	Mappé directement à partir du champ `win.system.processID`.
`win.system.providerGuid`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mappé directement à partir du champ `win.system.providerGuid`. La clé est définie sur "providerGuid".
`win.system.providerName`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mappé directement à partir du champ `win.system.providerName`. La clé est définie sur "providerName".
`win.system.severityValue`	`event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.security_result.severity_details`	Mappé directement à partir du champ `win.system.severityValue` s'il s'agit d'une valeur de gravité valide.
`win.system.systemTime`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `win.system.systemTime`. La clé est définie sur "systemTime".
`win.system.threadID`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `win.system.threadID`. La clé est définie sur "threadID".
N/A	`event.idm.read_only_udm.metadata.event_type`	Définissez la valeur sur "GENERIC_EVENT" par défaut, qui sera remplacée par une logique spécifique pour les différents types d'événements.
N/A	`event.idm.read_only_udm.extensions.auth.mechanism`	Définissez sa valeur sur "REMOTE" pour les événements de connexion.
N/A	`event.idm.read_only_udm.extensions.auth.type`	Définissez la valeur sur "PASSWORD" pour les événements de connexion/déconnexion. Elle est remplacée par "MACHINE" pour certains événements.
N/A	`event.idm.read_only_udm.network.ip_protocol`	Définissez la valeur sur "TCP" pour les connexions réseau TCP.
N/A	`event.idm.read_only_udm.security_result.action`	Définissez la valeur sur "ALLOW" pour les événements de connexion et de réussite, et sur "BLOCK" pour les événements d'échec.
N/A	`event.idm.read_only_udm.metadata.log_type`	Défini sur "WAZUH".
N/A	`event.idm.read_only_udm.metadata.product_name`	Défini sur "Wazuh".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.