Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Wazuh

Supportato in:

Google secops SIEM

Panoramica

Questo parser Wazuh acquisisce log formattati in SYSLOG e JSON, normalizza i campi in un formato comune e li arricchisce con metadati specifici di Wazuh. Utilizza poi una serie di istruzioni condizionali basate sui campi event_type e rule_id per mappare i dati dei log non elaborati ai campi e al tipo di evento UDM appropriati, gestendo vari formati di log e casi limite all'interno dell'ecosistema Wazuh.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google SecOps.
Istanza Wazuh attiva.
Accesso privilegiato ai file di configurazione di Wazuh.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

Impostazioni SIEM > Feed
Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log Wazuh.
Seleziona Webhook come Tipo di origine.
Seleziona Wazuh come Tipo di log.
Fai clic su Avanti.
(Facoltativo) Specifica i valori per i seguenti parametri di input:
- Delimitatore di suddivisione: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
Fai clic su Avanti.
Controlla la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
Copia e memorizza la chiave segreta. Non puoi visualizzare di nuovo questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Devi specificare questo URL dell'endpoint nell'applicazione client.
Fai clic su Fine.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

Delimitatore di suddivisione: il delimitatore utilizzato per separare le righe di log, ad esempio \n.

Opzioni avanzate
Nome feed: un valore precompilato che identifica il feed.
Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
Copia e memorizza la chiave segreta. Non puoi visualizzare di nuovo questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Devi specificare questo URL dell'endpoint nell'applicazione client.

Crea una chiave API per il feed webhook

Vai alla **Google Cloud console > Credenziali.

Vai a credenziali
Fai clic su Crea credenziali e poi seleziona Chiave API.
Limita l'accesso della chiave API all'API Google Security Operations.

Specifica l'URL dell'endpoint

Nella tua applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.
Attiva l'autenticazione specificando la chiave API e la chiave segreta come parte dell'intestazione personalizzata nel seguente formato:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Consiglio: specifica la chiave API come intestazione anziché nell'URL. Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```

Sostituisci quanto segue:

ENDPOINT_URL: l'URL dell'endpoint del feed.
API_KEY: la chiave API per l'autenticazione a Google Security Operations.
SECRET: la chiave segreta che hai generato per autenticare il feed.

Configura il webhook di Wazuh Cloud

Per configurare il webhook di Wazuh Cloud:

Accedi a Wazuh Cloud.
Vai a Impostazioni, nel menu del riquadro a sinistra in Gestione server.
Fai clic su Modifica configurazione.
Aggiungi il seguente blocco di integrazione all'interno della sezione <integration> della configurazione.
- Se la sezione non esiste, copia l'intero blocco con <integration> per crearne una.
- Sostituisci i valori segnaposto con i dettagli effettivi di Google SecOps:

<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>

CHRONICLE_REGION: la tua regione Google SecOps (ad esempio us, europe-west1).
GOOGLE_PROJECT_NUMBER: il numero del tuo progetto Google Cloud.
LOCATION: la tua regione Google SecOps (ad esempio us, europe-west1).
CUSTOMER_ID: il tuo ID cliente Google SecOps.
FEED_ID: l'ID del tuo feed Google SecOps.
API_KEY: la chiave API del tuo Google Cloud che ospita Google SecOps.
SECRET: il segreto del tuo feed Google SecOps.
alert_format: impostato su json per la compatibilità con Google SecOps.
level: specifica il livello di avviso minimo da inoltrare. 0 invia tutti gli avvisi.

Fai clic sul pulsante Salva.
Fai clic su Riavvia wazuh-manager.

Configura il webhook on-premise di Wazuh

Per configurare il webhook on-premise di Wazuh:

Accedi al tuo Wazuh Manager on-premise.
Vai alla directory /var/ossec/etc/.
Apri il file ossec.conf utilizzando un editor di testo (ad esempio, nano, vim).
Aggiungi il seguente blocco di integrazione all'interno della sezione <integration> della configurazione.
- Se la sezione non esiste, copia l'intero blocco con <integration> per crearne una.
- Sostituisci i valori segnaposto con i dettagli effettivi di Google SecOps:
```
<integration>
   <name>google-chronicle</name>
   <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
   <alert_format>json</alert_format>
   <level>0</level>  
</integration>
```
- CHRONICLE_REGION: la tua regione Google SecOps (ad esempio us, europe-west1).
- GOOGLE_PROJECT_NUMBER: il numero del tuo progetto Google Cloud.
- LOCATION: la tua regione Google SecOps (ad esempio us, europe-west1).
- CUSTOMER_ID: il tuo ID cliente Google SecOps.
- FEED_ID: l'ID del tuo feed Google SecOps.
- API_KEY: la chiave API del tuo Google Cloud che ospita Google SecOps.
- SECRET: il segreto del tuo feed Google SecOps.
- alert_format: impostato su json per la compatibilità con Google SecOps.
- level: specifica il livello di avviso minimo da inoltrare. 0 invia tutti gli avvisi.
Riavvia il gestore Wazuh per applicare le modifiche:
```
sudo systemctl restart wazuh-manager
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`Acct-Authentic`	`event.idm.read_only_udm.security_result.authentication_mechanism`	Mappato direttamente dal campo `Acct-Authentic`.
`Acct-Status-Type`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappato direttamente dal campo `Acct-Status-Type`. La chiave è impostata su "Acct-Status-Type".
`agent.id`	`event.idm.read_only_udm.intermediary.resource.id`	Mappato direttamente dal campo `agent.id`.
`agent.ip`	`event.idm.read_only_udm.intermediary.ip`, `event.idm.read_only_udm.intermediary.asset.ip`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappato direttamente dal campo `agent.ip`. Utilizzato anche per l'IP principale/di destinazione in alcuni casi in base al tipo di evento.
`agent.name`	`event.idm.read_only_udm.security_result.about.hostname`	Mappato direttamente dal campo `agent.name`.
`application`	`event.idm.read_only_udm.target.application`	Mappato direttamente dal campo `application` di Wazuh.
`audit-session-id`	`event.idm.read_only_udm.network.session_id`	Mappato direttamente dal campo `audit-session-id`.
`ClientIP`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappato direttamente dal campo `ClientIP`.
`ClientPort`	`event.idm.read_only_udm.principal.port`	Mappato direttamente dal campo `ClientPort` e convertito in numero intero.
`cmd`	`event.idm.read_only_udm.target.process.command_line`	Mappato direttamente dal campo `cmd`.
`CommandLine`	`event.idm.read_only_udm.target.process.command_line`	Mappato direttamente dal campo `CommandLine`.
`ConfigVersionId`	`event.idm.read_only_udm.additional.fields[].value.number_value`	Mappato direttamente dal campo `ConfigVersionId`. La chiave è impostata su "Config Version Id".
`data.Account Number`	`event.idm.read_only_udm.principal.user.userid`	Mappato direttamente dal campo `data.Account Number` per ID regola specifici.
`data.Control`	`event.idm.read_only_udm.security_result.action_details`	Mappato direttamente dal campo `data.Control` per ID regola specifici.
`data.Message`	`event.idm.read_only_udm.security_result.description`	Mappato direttamente dal campo `data.Message` per ID regola specifici.
`data.Profile`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappato direttamente dal campo `data.Profile` per ID regola specifici.
`data.Region`	`event.idm.read_only_udm.principal.location.name`	Mappato direttamente dal campo `data.Region` per ID regola specifici.
`data.Status`	`event.idm.read_only_udm.security_result.action`	Mappato dal campo `data.Status`. Se il valore è "Pass" o "AUDIT_SUCCESS", l'azione è impostata su "ALLOW". Se il valore è "ERROR", "AUDIT_FAILURE" o "FAIL", l'azione è impostata su "BLOCK".
`data.aws.awsRegion`	`event.idm.read_only_udm.principal.location.name`	Mappato direttamente dal campo `data.aws.awsRegion` per ID regola specifici.
`data.aws.eventID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mappato direttamente dal campo `data.aws.eventID`. La chiave è impostata su "ID evento".
`data.aws.eventName`	`event.idm.read_only_udm.metadata.description`	Mappato direttamente dal campo `data.aws.eventName` per ID regola specifici.
`data.aws.eventSource`	`event.idm.read_only_udm.metadata.url_back_to_product`	Mappato direttamente dal campo `data.aws.eventSource` per ID regola specifici.
`data.aws.eventType`	`event.idm.read_only_udm.metadata.product_event_type`	Mappato direttamente dal campo `data.aws.eventType` per ID regola specifici.
`data.aws.requestID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mappato direttamente dal campo `data.aws.requestID`. La chiave è impostata su "ID richiesta".
`data.aws.requestParameters.loadBalancerName`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mappato direttamente dal campo `data.aws.requestParameters.loadBalancerName`. La chiave è impostata su "Nome del bilanciatore del carico".
`data.aws.sourceIPAddress`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappato direttamente dal campo `data.aws.sourceIPAddress` per ID regola specifici.
`data.aws.source_ip_address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappato direttamente dal campo `data.aws.source_ip_address`.
`data.aws.userIdentity.accountId`	`event.idm.read_only_udm.principal.user.product_object_id`	Mappato direttamente dal campo `data.aws.userIdentity.accountId` per ID regola specifici.
`data.aws.userIdentity.principalId`	`event.idm.read_only_udm.principal.user.userid`	Mappato direttamente dal campo `data.aws.userIdentity.principalId` per ID regola specifici.
`data.aws.userIdentity.sessionContext.sessionIssuer.arn`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mappato direttamente dal campo `data.aws.userIdentity.sessionContext.sessionIssuer.arn`. La chiave è impostata su "ARN".
`data.aws.userIdentity.sessionContext.sessionIssuer.userName`	`event.idm.read_only_udm.principal.user.user_display_name`	Mappato direttamente dal campo `data.aws.userIdentity.sessionContext.sessionIssuer.userName` per ID regola specifici.
`data.command`	`event.idm.read_only_udm.target.file.full_path`	Mappato direttamente dal campo `data.command`.
`data.docker.message`	`event.idm.read_only_udm.security_result.description`	Mappato direttamente dal campo `data.docker.message` per tipi di evento specifici.
`data.dstuser`	`event.idm.read_only_udm.target.user.userid`	Mappato direttamente dal campo `data.dstuser`.
`data.file`	`event.idm.read_only_udm.target.file.full_path`	Mappato direttamente dal campo `data.file`.
`data.package`	`event.idm.read_only_udm.target.asset.software[].name`	Mappato direttamente dal campo `data.package`.
`data.srcip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappato direttamente dal campo `data.srcip`.
`data.srcuser`	`event.idm.read_only_udm.principal.user.userid`	Mappato direttamente dal campo `data.srcuser`.
`data.subject.account_domain`	`event.idm.read_only_udm.target.administrative_domain`	Mappato direttamente dal campo `data.subject.account_domain` per ID regola specifici.
`data.subject.account_name`	`event.idm.read_only_udm.target.user.user_display_name`	Mappato direttamente dal campo `data.subject.account_name` per ID regola specifici.
`data.subject.security_id`	`event.idm.read_only_udm.target.user.windows_sid`	Mappato direttamente dal campo `data.subject.security_id` per ID regola specifici.
`data.title`	`event.idm.read_only_udm.target.resource.name`	Mappato direttamente dal campo `data.title`.
`data.version`	`event.idm.read_only_udm.target.asset.software[].version`	Mappato direttamente dal campo `data.version`.
`decoder.name`	`event.idm.read_only_udm.about.resource.name`, `event.idm.read_only_udm.target.application`	Mappato direttamente dal campo `decoder.name`. In alcuni casi viene utilizzato anche per l'applicazione di destinazione.
`decoder.parent`	`event.idm.read_only_udm.about.resource.parent`	Mappato direttamente dal campo `decoder.parent`.
`Description`	`event.idm.read_only_udm.metadata.description`	Mappato direttamente dal campo `Description`.
`Destination`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`	Analizzato per estrarre IP e porta di destinazione.
`DestinationIPAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappato direttamente dal campo `DestinationIPAddress`.
`DestinationPort`	`event.idm.read_only_udm.target.port`	Mappato direttamente dal campo `DestinationPort` e convertito in numero intero.
`device_ip_address`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappato direttamente dal campo `device_ip_address`.
`feature`	`event.idm.read_only_udm.metadata.product_event_type`	Mappato direttamente dal campo `feature`, a volte combinato con `message_type`.
`file_path`	`event.idm.read_only_udm.target.file.full_path`	Mappato direttamente dal campo `file_path`.
`Framed-IP-Address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappato direttamente dal campo `Framed-IP-Address`.
`full_log`	`event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.about.labels[].value`	Analizzato per estrarre il numero di porta, la descrizione del risultato di sicurezza e l'ID di accesso del soggetto.
`Hashes`	`event.idm.read_only_udm.target.process.file.sha256`, `event.idm.read_only_udm.target.process.file.md5`	Analizzato per estrarre gli hash SHA256 e MD5.
`hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappato direttamente dal campo `hostname`.
`Image`	`event.idm.read_only_udm.target.process.file.full_path`	Mappato direttamente dal campo `Image`.
`IntegrityLevel`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappato direttamente dal campo `IntegrityLevel`. La chiave è impostata su "Livello di integrità".
`kv_data`	`event.idm.read_only_udm.target.process.file.full_path`, `event.idm.read_only_udm.target.process.pid`, `event.idm.read_only_udm.target.process.parent_process.file.full_path`, `event.idm.read_only_udm.target.process.parent_process.command_line`, `event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`, `event.idm.read_only_udm.target.process.product_specific_process_id`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Analizzato per estrarre vari campi relativi alla creazione del processo, agli hash dei file e alla descrizione.
`kv_log_data`	`event.idm.read_only_udm.security_result.severity_details`	Analizzato per estrarre il livello di avviso.
`location`	`event.idm.read_only_udm.target.file.full_path`	Mappato direttamente dal campo `location`.
`LogonGuid`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappato direttamente dal campo `LogonGuid` dopo la rimozione delle parentesi graffe. La chiave è impostata su "Logon Guid".
`LogonId`	`event.idm.read_only_udm.about.labels[].value`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Utilizzato per l'ID di accesso del soggetto negli eventi di disconnessione e mappato direttamente per altri eventi. La chiave è impostata su "ID accesso".
`log_description`	`event.idm.read_only_udm.metadata.description`	Mappato direttamente dal campo `log_description`.
`log_message`	`event.idm.read_only_udm.target.file.full_path`, `event.idm.read_only_udm.metadata.description`	Analizzato per estrarre il percorso e la descrizione del log.
`manager.name`	`event.idm.read_only_udm.about.user.userid`, `event.idm.read_only_udm.principal.user.userid`	Mappato direttamente dal campo `manager.name`. In alcuni casi viene utilizzato anche per l'ID utente principale.
`md5`	`event.idm.read_only_udm.target.process.file.md5`	Mappato direttamente dal campo `md5`.
`message`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.process.command_line`, `event.idm.read_only_udm.network.http.method`, `event.idm.read_only_udm.network.http.response_code`, `event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.principal.nat_ip`, `event.idm.read_only_udm.principal.nat_port`, `event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.network.session_id`, `event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.additional.fields[].value.number_value`, `event.idm.read_only_udm.target.url`, `event.idm.read_only_udm.target.application`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.rule_type`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.network.http.user_agent`, `event.idm.read_only_udm.principal.process.pid`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.severity_details`	Analizzato utilizzando grok per estrarre vari campi a seconda del formato del log.
`message_data`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.network.sent_bytes`, `event.idm.read_only_udm.network.received_bytes`, `event.idm.read_only_udm.network.ip_protocol`, `event.idm.read_only_udm.metadata.event_type`	Analizzati per estrarre dati dei messaggi, indirizzi IP, porte, byte inviati/ricevuti e tipo di evento.
`message_type`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`	Mappato direttamente dal campo `message_type`, a volte combinato con `feature`. In alcuni casi viene utilizzato anche per la descrizione.
`method`	`event.idm.read_only_udm.network.http.method`	Mappato direttamente dal campo `method`.
`NAS-IP-Address`	`event.idm.read_only_udm.principal.nat_ip`	Mappato direttamente dal campo `NAS-IP-Address`.
`NAS-Port`	`event.idm.read_only_udm.principal.nat_port`	Mappato direttamente dal campo `NAS-Port` e convertito in numero intero.
`NAS-Port-Type`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mappato direttamente dal campo `NAS-Port-Type`. La chiave è impostata su "nas_port_type".
`NetworkDeviceName`	`event.idm.read_only_udm.intermediary.hostname`	Mappato direttamente dal campo `NetworkDeviceName` dopo la rimozione delle barre rovesciate.
`ParentCommandLine`	`event.idm.read_only_udm.target.process.parent_process.command_line`	Mappato direttamente dal campo `ParentCommandLine`.
`ParentImage`	`event.idm.read_only_udm.target.process.parent_process.file.full_path`	Mappato direttamente dal campo `ParentImage`.
`ParentProcessGuid`	`event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`	Mappato direttamente dal campo `ParentProcessGuid` dopo aver rimosso le parentesi graffe e aggiunto il prefisso "ID:".
`ParentProcessId`	`event.idm.read_only_udm.target.process.parent_process.pid`	Mappato direttamente dal campo `ParentProcessId`.
`predecoder.hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappato direttamente dal campo `predecoder.hostname`.
`ProcessGuid`	`event.idm.read_only_udm.target.process.product_specific_process_id`	Mappato direttamente dal campo `ProcessGuid` dopo aver rimosso le parentesi graffe e aggiunto il prefisso "ID:".
`ProcessId`	`event.idm.read_only_udm.target.process.pid`	Mappato direttamente dal campo `ProcessId`.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Mappato direttamente dal campo `product_event_type`.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	Mappato direttamente dal campo `response_code` e convertito in numero intero.
`rule.description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.summary`	Utilizzato per determinare il tipo di evento e mappato direttamente al riepilogo dei risultati di sicurezza.
`rule.id`	`event.idm.read_only_udm.metadata.product_log_id`, `event.idm.read_only_udm.security_result.rule_id`	Mappato direttamente dal campo `rule.id`.
`rule.info`	`event.idm.read_only_udm.target.url`	Mappato direttamente dal campo `rule.info`.
`rule.level`	`event.idm.read_only_udm.security_result.severity_details`	Utilizzato per impostare i dettagli della gravità.
`r_cat_name`	`event.idm.read_only_udm.metadata.event_type`	Utilizzato per determinare il tipo di evento.
`r_msg_id`	`event.idm.read_only_udm.metadata.product_log_id`	Mappato direttamente dal campo `r_msg_id`.
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Mappato direttamente dal campo `security_result.severity`.
`ServerIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappato direttamente dal campo `ServerIP`.
`ServerPort`	`event.idm.read_only_udm.target.port`	Mappato direttamente dal campo `ServerPort` e convertito in numero intero.
`sha256`	`event.idm.read_only_udm.target.process.file.sha256`	Mappato direttamente dal campo `sha256`.
`Source`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`	Analizzato per estrarre l'IP e la porta dell'entità.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappato direttamente dal campo `src_ip`.
`sr_description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.description`	Utilizzato per determinare il tipo di evento e mappato direttamente alla descrizione del risultato di sicurezza.
`syscheck.md5_after`	`event.idm.read_only_udm.target.process.file.md5`	Mappato direttamente dal campo `syscheck.md5_after`.
`syscheck.md5_before`	`event.idm.read_only_udm.src.process.file.md5`	Mappato direttamente dal campo `syscheck.md5_before`.
`syscheck.path`	`event.idm.read_only_udm.target.file.full_path`	Mappato direttamente dal campo `syscheck.path`.
`syscheck.sha1_after`	`event.idm.read_only_udm.target.process.file.sha1`	Mappato direttamente dal campo `syscheck.sha1_after`.
`syscheck.sha1_before`	`event.idm.read_only_udm.src.process.file.sha1`	Mappato direttamente dal campo `syscheck.sha1_before`.
`syscheck.sha256_after`	`event.idm.read_only_udm.target.process.file.sha256`	Mappato direttamente dal campo `syscheck.sha256_after`.
`syscheck.sha256_before`	`event.idm.read_only_udm.src.process.file.sha256`	Mappato direttamente dal campo `syscheck.sha256_before`.
`syscheck.size_after`	`event.idm.read_only_udm.target.process.file.size`	Mappato direttamente dal campo `syscheck.size_after` e convertito in numero intero senza segno.
`syscheck.size_before`	`event.idm.read_only_udm.src.process.file.size`	Mappato direttamente dal campo `syscheck.size_before` e convertito in numero intero senza segno.
`syscheck.uname_after`	`event.idm.read_only_udm.principal.user.user_display_name`	Mappato direttamente dal campo `syscheck.uname_after`.
`target_url`	`event.idm.read_only_udm.target.url`	Mappato direttamente dal campo `target_url`.
`timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Mappato direttamente dal campo `timestamp`.
`Total_bytes_recv`	`event.idm.read_only_udm.network.received_bytes`	Mappato direttamente dal campo `Total_bytes_recv` e convertito in numero intero senza segno.
`Total_bytes_send`	`event.idm.read_only_udm.network.sent_bytes`	Mappato direttamente dal campo `Total_bytes_send` e convertito in numero intero senza segno.
`User-Name`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Mappato direttamente dal campo `User-Name` se non è un indirizzo MAC. In caso contrario, viene analizzato come indirizzo MAC.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Mappato direttamente dal campo `user_agent`.
`user_id`	`event.idm.read_only_udm.principal.user.userid`	Mappato direttamente dal campo `user_id`.
`UserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Mappato direttamente dal campo `UserName` se non è un indirizzo MAC. In caso contrario, viene analizzato come indirizzo MAC.
`VserverServiceIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappato direttamente dal campo `VserverServiceIP`.
`VserverServicePort`	`event.idm.read_only_udm.target.port`	Mappato direttamente dal campo `VserverServicePort` e convertito in numero intero.
`win.system.channel`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappato direttamente dal campo `win.system.channel`. La chiave è impostata su "channel".
`win.system.computer`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mappato direttamente dal campo `win.system.computer`. La chiave è impostata su "computer".
`win.system.eventID`	`event.idm.read_only_udm.metadata.product_log_id`	Mappato direttamente dal campo `win.system.eventID`.
`win.system.message_description`	`event.idm.read_only_udm.metadata.description`	Mappato direttamente dal campo `win.system.message_description`.
`win.system.processID`	`event.idm.read_only_udm.principal.process.pid`	Mappato direttamente dal campo `win.system.processID`.
`win.system.providerGuid`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mappato direttamente dal campo `win.system.providerGuid`. La chiave è impostata su "providerGuid".
`win.system.providerName`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mappato direttamente dal campo `win.system.providerName`. La chiave è impostata su "providerName".
`win.system.severityValue`	`event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.security_result.severity_details`	Mappato direttamente dal campo `win.system.severityValue` se è un valore di gravità valido.
`win.system.systemTime`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappato direttamente dal campo `win.system.systemTime`. La chiave è impostata su "systemTime".
`win.system.threadID`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappato direttamente dal campo `win.system.threadID`. La chiave è impostata su "threadID".
N/D	`event.idm.read_only_udm.metadata.event_type`	Impostato su "GENERIC_EVENT" come valore predefinito, sostituito da una logica specifica per i diversi tipi di eventi.
N/D	`event.idm.read_only_udm.extensions.auth.mechanism`	Imposta "REMOTE" per gli eventi di accesso.
N/D	`event.idm.read_only_udm.extensions.auth.type`	Impostato su "PASSWORD" per gli eventi di accesso/uscita, sostituito da "MACHINE" per alcuni eventi.
N/D	`event.idm.read_only_udm.network.ip_protocol`	Imposta "TCP" per le connessioni di rete TCP.
N/D	`event.idm.read_only_udm.security_result.action`	Imposta "CONSENTI" per gli eventi di accesso e riusciti e "BLOCCA" per gli eventi non riusciti.
N/D	`event.idm.read_only_udm.metadata.log_type`	Imposta su "WAZUH".
N/D	`event.idm.read_only_udm.metadata.product_name`	Imposta su "Wazuh".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.