Wazuh ログを収集する
以下でサポートされています。
Google SecOps
SIEM
概要
この Wazuh パーサーは、SYSLOG 形式と JSON 形式のログを取り込み、フィールドを共通形式に正規化し、Wazuh 固有のメタデータで拡充します。次に、event_type フィールドと rule_id フィールドに基づいて一連の条件ステートメントを使用し、未加工のログデータを適切な UDM イベントタイプとフィールドにマッピングして、Wazuh エコシステム内のさまざまなログ形式とエッジケースを処理します。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス。
- アクティブな Wazuh インスタンス。
- Wazuh 構成ファイルへの特権アクセス。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [Content Hub] > [Content Packs]
[SIEM 設定] > [フィード] でフィードを設定する
フィードを構成する手順は次のとおりです。
- [SIEM Settings] > [Feeds] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一のフィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Wazuh Logs)。
- [Source type] として [Webhook] を選択します。
- [ログタイプ] として [Wazuh] を選択します。
- [次へ] をクリックします。
- 省略可: 次の入力パラメータの値を指定します。
- Split delimiter: ログ行を区切るために使用される区切り文字(
\nなど)。
- Split delimiter: ログ行を区切るために使用される区切り文字(
- [次へ] をクリックします。
- [Finalize] 画面でフィードの設定を確認し、[Submit] をクリックします。
- [秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。
- 秘密鍵をコピーして保存します。この秘密鍵を再び表示することはできません。必要に応じて、新しい秘密鍵を再生成できますが、この操作により以前の秘密鍵は無効になります。
- [詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL をクライアント アプリケーション内で指定する必要があります。
- [完了] をクリックします。
コンテンツ ハブからフィードを設定する
次のフィールドに値を指定します。
Split delimiter: ログ行を区切るために使用される区切り文字(
\nなど)。詳細オプション
フィード名: フィードを識別する事前入力された値。
ソースタイプ: Google SecOps にログを収集するために使用される方法。
アセットの名前空間: フィードに関連付けられた名前空間。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
[秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。
秘密鍵をコピーして保存します。この秘密鍵を再び表示することはできません。必要に応じて、新しい秘密鍵を再生成できますが、この操作により以前の秘密鍵は無効になります。
[詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL をクライアント アプリケーション内で指定する必要があります。
Webhook フィード用の API キーを作成する
**Google Cloud コンソール > [認証情報] に移動します。
[認証情報を作成] をクリックして [API キー] を選択します。
API キーのアクセスを Google Security Operations API に制限します。
エンドポイント URL を指定する
- クライアント アプリケーション内で、Webhook フィードで提供される HTTPS エンドポイント URL を指定します。
次の形式でカスタム ヘッダーの一部として API キーと秘密鍵を指定して、認証を有効にします。
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET推奨事項: API キーは URL 内ではなくヘッダーとして指定してください。Webhook クライアントがカスタム ヘッダーをサポートしていない場合は、次の形式のクエリ パラメータを使用して API キーと秘密鍵を指定できます。
ENDPOINT_URL?key=API_KEY&secret=SECRET
以下を置き換えます。
ENDPOINT_URL: フィード エンドポイントの URL。API_KEY: Google Security Operations に対する認証に使用する API キー。SECRET: フィードの認証用に生成した秘密鍵。
Wazuh Cloud Webhook を構成する
Wazuh Cloud Webhook を構成するには、次の手順を行います。
- Wazuh Cloud にログインします。
- 左側のペインのメニューにある [サーバー管理] の下の [設定] に移動します。
- [構成を編集] をクリックします。
構成の
<integration>セクション内に次の統合ブロックを追加します。- セクションが存在しない場合は、
<integration>を使用してブロック全体をコピーして作成します。 - プレースホルダの値を実際の Google SecOps の詳細に置き換えます。
- セクションが存在しない場合は、
<integration>
<name>google-chronicle</name>
<hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
<alert_format>json</alert_format>
<level>0</level> <!-- Adjust the level as needed -->
</integration>
CHRONICLE_REGION: Google SecOps リージョン(us、europe-west1など)。GOOGLE_PROJECT_NUMBER: Google Cloud プロジェクト番号。LOCATION: Google SecOps リージョン(us、europe-west1など)。CUSTOMER_ID: Google SecOps のお客様 ID。FEED_ID: Google SecOps フィードの ID。API_KEY: Google SecOps をホストする Google Cloud の API キー。SECRET: Google SecOps フィードのシークレット。alert_format: Google SecOps との互換性のためにjsonに設定します。level: 転送する最小アラートレベルを指定します。0はすべてのアラートを送信します。
- [保存] ボタンをクリックします。
- [wazuh-manager を再起動] をクリックします。
Wazuh On-Premise Webhook を構成する
Wazuh On-Premise Webhook を構成する手順は次のとおりです。
- オンプレミスの Wazuh マネージャーにアクセスします。
/var/ossec/etc/ディレクトリに移動します。- テキスト エディタ(
nano、vimなど)を使用してossec.confファイルを開きます。 構成の
<integration>セクション内に次の統合ブロックを追加します。- セクションが存在しない場合は、
<integration>を使用してブロック全体をコピーして作成します。 - プレースホルダの値を実際の Google SecOps の詳細に置き換えます。
<integration> <name>google-chronicle</name> <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url> <alert_format>json</alert_format> <level>0</level> <!-- Adjust the level as needed --> </integration>CHRONICLE_REGION: Google SecOps リージョン(us、europe-west1など)。GOOGLE_PROJECT_NUMBER: Google Cloud プロジェクト番号。LOCATION: Google SecOps リージョン(us、europe-west1など)。CUSTOMER_ID: Google SecOps のお客様 ID。FEED_ID: Google SecOps フィードの ID。API_KEY: Google SecOps をホストする Google Cloud の API キー。SECRET: Google SecOps フィードのシークレット。alert_format: Google SecOps との互換性のためにjsonに設定します。level: 転送する最小アラートレベルを指定します。0はすべてのアラートを送信します。
- セクションが存在しない場合は、
Wazuh マネージャーを再起動して変更を適用します。
sudo systemctl restart wazuh-manager
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
Acct-Authentic |
event.idm.read_only_udm.security_result.authentication_mechanism |
Acct-Authentic フィールドから直接マッピングされます。 |
Acct-Status-Type |
event.idm.read_only_udm.security_result.detection_fields[].value |
Acct-Status-Type フィールドから直接マッピングされます。キーは「Acct-Status-Type」に設定されます。 |
agent.id |
event.idm.read_only_udm.intermediary.resource.id |
agent.id フィールドから直接マッピングされます。 |
agent.ip |
event.idm.read_only_udm.intermediary.ip、event.idm.read_only_udm.intermediary.asset.ip、event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip、event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip |
agent.ip フィールドから直接マッピングされます。イベントタイプによっては、プリンシパル/ターゲット IP にも使用されます。 |
agent.name |
event.idm.read_only_udm.security_result.about.hostname |
agent.name フィールドから直接マッピングされます。 |
application |
event.idm.read_only_udm.target.application |
Wazuh の application フィールドから直接マッピングされます。 |
audit-session-id |
event.idm.read_only_udm.network.session_id |
audit-session-id フィールドから直接マッピングされます。 |
ClientIP |
event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip |
ClientIP フィールドから直接マッピングされます。 |
ClientPort |
event.idm.read_only_udm.principal.port |
ClientPort フィールドから直接マッピングされ、整数に変換されます。 |
cmd |
event.idm.read_only_udm.target.process.command_line |
cmd フィールドから直接マッピングされます。 |
CommandLine |
event.idm.read_only_udm.target.process.command_line |
CommandLine フィールドから直接マッピングされます。 |
ConfigVersionId |
event.idm.read_only_udm.additional.fields[].value.number_value |
ConfigVersionId フィールドから直接マッピングされます。キーは「Config Version Id」に設定されます。 |
data.Account Number |
event.idm.read_only_udm.principal.user.userid |
特定のルール ID の data.Account Number フィールドから直接マッピングされます。 |
data.Control |
event.idm.read_only_udm.security_result.action_details |
特定のルール ID の data.Control フィールドから直接マッピングされます。 |
data.Message |
event.idm.read_only_udm.security_result.description |
特定のルール ID の data.Message フィールドから直接マッピングされます。 |
data.Profile |
event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname |
特定のルール ID の data.Profile フィールドから直接マッピングされます。 |
data.Region |
event.idm.read_only_udm.principal.location.name |
特定のルール ID の data.Region フィールドから直接マッピングされます。 |
data.Status |
event.idm.read_only_udm.security_result.action |
data.Status フィールドからマッピングされます。値が「Pass」または「AUDIT_SUCCESS」の場合、アクションは「ALLOW」に設定されます。値が「ERROR」、「AUDIT_FAILURE」、「FAIL」の場合、アクションは「BLOCK」に設定されます。 |
data.aws.awsRegion |
event.idm.read_only_udm.principal.location.name |
特定のルール ID の data.aws.awsRegion フィールドから直接マッピングされます。 |
data.aws.eventID |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
data.aws.eventID フィールドから直接マッピングされます。キーは「Event ID」に設定されます。 |
data.aws.eventName |
event.idm.read_only_udm.metadata.description |
特定のルール ID の data.aws.eventName フィールドから直接マッピングされます。 |
data.aws.eventSource |
event.idm.read_only_udm.metadata.url_back_to_product |
特定のルール ID の data.aws.eventSource フィールドから直接マッピングされます。 |
data.aws.eventType |
event.idm.read_only_udm.metadata.product_event_type |
特定のルール ID の data.aws.eventType フィールドから直接マッピングされます。 |
data.aws.requestID |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
data.aws.requestID フィールドから直接マッピングされます。キーは「Request ID」に設定されます。 |
data.aws.requestParameters.loadBalancerName |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
data.aws.requestParameters.loadBalancerName フィールドから直接マッピングされます。キーは「LoadBalancer Name」に設定されます。 |
data.aws.sourceIPAddress |
event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname |
特定のルール ID の data.aws.sourceIPAddress フィールドから直接マッピングされます。 |
data.aws.source_ip_address |
event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip |
data.aws.source_ip_address フィールドから直接マッピングされます。 |
data.aws.userIdentity.accountId |
event.idm.read_only_udm.principal.user.product_object_id |
特定のルール ID の data.aws.userIdentity.accountId フィールドから直接マッピングされます。 |
data.aws.userIdentity.principalId |
event.idm.read_only_udm.principal.user.userid |
特定のルール ID の data.aws.userIdentity.principalId フィールドから直接マッピングされます。 |
data.aws.userIdentity.sessionContext.sessionIssuer.arn |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
data.aws.userIdentity.sessionContext.sessionIssuer.arn フィールドから直接マッピングされます。キーは「ARN」に設定されます。 |
data.aws.userIdentity.sessionContext.sessionIssuer.userName |
event.idm.read_only_udm.principal.user.user_display_name |
特定のルール ID の data.aws.userIdentity.sessionContext.sessionIssuer.userName フィールドから直接マッピングされます。 |
data.command |
event.idm.read_only_udm.target.file.full_path |
data.command フィールドから直接マッピングされます。 |
data.docker.message |
event.idm.read_only_udm.security_result.description |
特定のイベントタイプでは、data.docker.message フィールドから直接マッピングされます。 |
data.dstuser |
event.idm.read_only_udm.target.user.userid |
data.dstuser フィールドから直接マッピングされます。 |
data.file |
event.idm.read_only_udm.target.file.full_path |
data.file フィールドから直接マッピングされます。 |
data.package |
event.idm.read_only_udm.target.asset.software[].name |
data.package フィールドから直接マッピングされます。 |
data.srcip |
event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip |
data.srcip フィールドから直接マッピングされます。 |
data.srcuser |
event.idm.read_only_udm.principal.user.userid |
data.srcuser フィールドから直接マッピングされます。 |
data.subject.account_domain |
event.idm.read_only_udm.target.administrative_domain |
特定のルール ID の data.subject.account_domain フィールドから直接マッピングされます。 |
data.subject.account_name |
event.idm.read_only_udm.target.user.user_display_name |
特定のルール ID の data.subject.account_name フィールドから直接マッピングされます。 |
data.subject.security_id |
event.idm.read_only_udm.target.user.windows_sid |
特定のルール ID の data.subject.security_id フィールドから直接マッピングされます。 |
data.title |
event.idm.read_only_udm.target.resource.name |
data.title フィールドから直接マッピングされます。 |
data.version |
event.idm.read_only_udm.target.asset.software[].version |
data.version フィールドから直接マッピングされます。 |
decoder.name |
event.idm.read_only_udm.about.resource.name、event.idm.read_only_udm.target.application |
decoder.name フィールドから直接マッピングされます。ターゲット アプリケーションにも使用されます。 |
decoder.parent |
event.idm.read_only_udm.about.resource.parent |
decoder.parent フィールドから直接マッピングされます。 |
Description |
event.idm.read_only_udm.metadata.description |
Description フィールドから直接マッピングされます。 |
Destination |
event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip、event.idm.read_only_udm.target.port |
解析してターゲットの IP とポートを抽出します。 |
DestinationIPAddress |
event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip |
DestinationIPAddress フィールドから直接マッピングされます。 |
DestinationPort |
event.idm.read_only_udm.target.port |
DestinationPort フィールドから直接マッピングされ、整数に変換されます。 |
device_ip_address |
event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip |
device_ip_address フィールドから直接マッピングされます。 |
feature |
event.idm.read_only_udm.metadata.product_event_type |
feature フィールドから直接マッピングされます。message_type と組み合わせられることもあります。 |
file_path |
event.idm.read_only_udm.target.file.full_path |
file_path フィールドから直接マッピングされます。 |
Framed-IP-Address |
event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip |
Framed-IP-Address フィールドから直接マッピングされます。 |
full_log |
event.idm.read_only_udm.principal.port、event.idm.read_only_udm.security_result.description、event.idm.read_only_udm.about.labels[].value |
解析され、ポート番号、セキュリティ結果の説明、サブジェクト ログオン ID が抽出されます。 |
Hashes |
event.idm.read_only_udm.target.process.file.sha256、event.idm.read_only_udm.target.process.file.md5 |
解析され、SHA256 と MD5 のハッシュが抽出されます。 |
hostname |
event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname |
hostname フィールドから直接マッピングされます。 |
Image |
event.idm.read_only_udm.target.process.file.full_path |
Image フィールドから直接マッピングされます。 |
IntegrityLevel |
event.idm.read_only_udm.additional.fields[].value.string_value |
IntegrityLevel フィールドから直接マッピングされます。キーは「Integrity Level」に設定されます。 |
kv_data |
event.idm.read_only_udm.target.process.file.full_path、event.idm.read_only_udm.target.process.pid、event.idm.read_only_udm.target.process.parent_process.file.full_path、event.idm.read_only_udm.target.process.parent_process.command_line、event.idm.read_only_udm.target.process.parent_process.product_specific_process_id、event.idm.read_only_udm.target.process.product_specific_process_id、event.idm.read_only_udm.metadata.description、event.idm.read_only_udm.additional.fields[].value.string_value |
解析され、プロセスの作成、ファイルハッシュ、説明に関連するさまざまなフィールドが抽出されます。 |
kv_log_data |
event.idm.read_only_udm.security_result.severity_details |
解析されてアラートレベルが抽出されます。 |
location |
event.idm.read_only_udm.target.file.full_path |
location フィールドから直接マッピングされます。 |
LogonGuid |
event.idm.read_only_udm.additional.fields[].value.string_value |
中かっこを削除した後、LogonGuid フィールドから直接マッピングされます。キーは「Logon Guid」に設定されます。 |
LogonId |
event.idm.read_only_udm.about.labels[].value、event.idm.read_only_udm.additional.fields[].value.string_value |
ログオフ イベントのサブジェクト ログオン ID に使用され、他のイベントに直接マッピングされます。キーは「Logon id」に設定されます。 |
log_description |
event.idm.read_only_udm.metadata.description |
log_description フィールドから直接マッピングされます。 |
log_message |
event.idm.read_only_udm.target.file.full_path、event.idm.read_only_udm.metadata.description |
解析されて、パスとログの説明が抽出されます。 |
manager.name |
event.idm.read_only_udm.about.user.userid、event.idm.read_only_udm.principal.user.userid |
manager.name フィールドから直接マッピングされます。プリンシパル ユーザー ID にも使用されます。 |
md5 |
event.idm.read_only_udm.target.process.file.md5 |
md5 フィールドから直接マッピングされます。 |
message |
event.idm.read_only_udm.metadata.product_event_type、event.idm.read_only_udm.metadata.description、event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip、event.idm.read_only_udm.target.process.command_line、event.idm.read_only_udm.network.http.method、event.idm.read_only_udm.network.http.response_code、event.idm.read_only_udm.principal.user.userid、event.idm.read_only_udm.principal.mac、event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip、event.idm.read_only_udm.target.port、event.idm.read_only_udm.principal.nat_ip、event.idm.read_only_udm.principal.nat_port、event.idm.read_only_udm.security_result.severity、event.idm.read_only_udm.network.session_id、event.idm.read_only_udm.security_result.detection_fields[].value、event.idm.read_only_udm.additional.fields[].value.number_value、event.idm.read_only_udm.target.url、event.idm.read_only_udm.target.application、event.idm.read_only_udm.principal.resource.attribute.labels[].value、event.idm.read_only_udm.security_result.rule_type、event.idm.read_only_udm.security_result.description、event.idm.read_only_udm.network.http.user_agent、event.idm.read_only_udm.principal.process.pid、event.idm.read_only_udm.principal.resource.attribute.labels[].value、event.idm.read_only_udm.security_result.severity_details |
ログ形式に応じてさまざまなフィールドを抽出するために、grok を使用して解析されます。 |
message_data |
event.idm.read_only_udm.metadata.description, event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.principal.port, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.target.port, event.idm.read_only_udm.network.sent_bytes, event.idm.read_only_udm.network.received_bytes, event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.metadata.event_type |
解析されて、メッセージ データ、IP アドレス、ポート、送受信バイト数、イベントタイプが抽出されます。 |
message_type |
event.idm.read_only_udm.metadata.product_event_type、event.idm.read_only_udm.metadata.description |
message_type フィールドから直接マッピングされます。feature と組み合わせられることもあります。説明にも使用される場合があります。 |
method |
event.idm.read_only_udm.network.http.method |
method フィールドから直接マッピングされます。 |
NAS-IP-Address |
event.idm.read_only_udm.principal.nat_ip |
NAS-IP-Address フィールドから直接マッピングされます。 |
NAS-Port |
event.idm.read_only_udm.principal.nat_port |
NAS-Port フィールドから直接マッピングされ、整数に変換されます。 |
NAS-Port-Type |
event.idm.read_only_udm.principal.resource.attribute.labels[].value |
NAS-Port-Type フィールドから直接マッピングされます。キーは「nas_port_type」に設定されます。 |
NetworkDeviceName |
event.idm.read_only_udm.intermediary.hostname |
バックスラッシュを削除した後、NetworkDeviceName フィールドから直接マッピングされます。 |
ParentCommandLine |
event.idm.read_only_udm.target.process.parent_process.command_line |
ParentCommandLine フィールドから直接マッピングされます。 |
ParentImage |
event.idm.read_only_udm.target.process.parent_process.file.full_path |
ParentImage フィールドから直接マッピングされます。 |
ParentProcessGuid |
event.idm.read_only_udm.target.process.parent_process.product_specific_process_id |
中かっこを削除して「ID:」を付加した後、ParentProcessGuid フィールドから直接マッピングされます。 |
ParentProcessId |
event.idm.read_only_udm.target.process.parent_process.pid |
ParentProcessId フィールドから直接マッピングされます。 |
predecoder.hostname |
event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname |
predecoder.hostname フィールドから直接マッピングされます。 |
ProcessGuid |
event.idm.read_only_udm.target.process.product_specific_process_id |
中かっこを削除して「ID:」を付加した後、ProcessGuid フィールドから直接マッピングされます。 |
ProcessId |
event.idm.read_only_udm.target.process.pid |
ProcessId フィールドから直接マッピングされます。 |
product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
product_event_type フィールドから直接マッピングされます。 |
response_code |
event.idm.read_only_udm.network.http.response_code |
response_code フィールドから直接マッピングされ、整数に変換されます。 |
rule.description |
event.idm.read_only_udm.metadata.event_type、event.idm.read_only_udm.security_result.summary |
イベントタイプを特定するために使用され、セキュリティ結果の概要に直接マッピングされます。 |
rule.id |
event.idm.read_only_udm.metadata.product_log_id、event.idm.read_only_udm.security_result.rule_id |
rule.id フィールドから直接マッピングされます。 |
rule.info |
event.idm.read_only_udm.target.url |
rule.info フィールドから直接マッピングされます。 |
rule.level |
event.idm.read_only_udm.security_result.severity_details |
重大度の詳細を設定するために使用されます。 |
r_cat_name |
event.idm.read_only_udm.metadata.event_type |
イベントタイプの特定に使用されます。 |
r_msg_id |
event.idm.read_only_udm.metadata.product_log_id |
r_msg_id フィールドから直接マッピングされます。 |
security_result.severity |
event.idm.read_only_udm.security_result.severity |
security_result.severity フィールドから直接マッピングされます。 |
ServerIP |
event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip |
ServerIP フィールドから直接マッピングされます。 |
ServerPort |
event.idm.read_only_udm.target.port |
ServerPort フィールドから直接マッピングされ、整数に変換されます。 |
sha256 |
event.idm.read_only_udm.target.process.file.sha256 |
sha256 フィールドから直接マッピングされます。 |
Source |
event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip、event.idm.read_only_udm.principal.port |
解析してプリンシパルの IP とポートを抽出します。 |
src_ip |
event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip |
src_ip フィールドから直接マッピングされます。 |
sr_description |
event.idm.read_only_udm.metadata.event_type、event.idm.read_only_udm.security_result.description |
イベントタイプを特定するために使用され、セキュリティ結果の説明に直接マッピングされます。 |
syscheck.md5_after |
event.idm.read_only_udm.target.process.file.md5 |
syscheck.md5_after フィールドから直接マッピングされます。 |
syscheck.md5_before |
event.idm.read_only_udm.src.process.file.md5 |
syscheck.md5_before フィールドから直接マッピングされます。 |
syscheck.path |
event.idm.read_only_udm.target.file.full_path |
syscheck.path フィールドから直接マッピングされます。 |
syscheck.sha1_after |
event.idm.read_only_udm.target.process.file.sha1 |
syscheck.sha1_after フィールドから直接マッピングされます。 |
syscheck.sha1_before |
event.idm.read_only_udm.src.process.file.sha1 |
syscheck.sha1_before フィールドから直接マッピングされます。 |
syscheck.sha256_after |
event.idm.read_only_udm.target.process.file.sha256 |
syscheck.sha256_after フィールドから直接マッピングされます。 |
syscheck.sha256_before |
event.idm.read_only_udm.src.process.file.sha256 |
syscheck.sha256_before フィールドから直接マッピングされます。 |
syscheck.size_after |
event.idm.read_only_udm.target.process.file.size |
syscheck.size_after フィールドから直接マッピングされ、符号なし整数に変換されます。 |
syscheck.size_before |
event.idm.read_only_udm.src.process.file.size |
syscheck.size_before フィールドから直接マッピングされ、符号なし整数に変換されます。 |
syscheck.uname_after |
event.idm.read_only_udm.principal.user.user_display_name |
syscheck.uname_after フィールドから直接マッピングされます。 |
target_url |
event.idm.read_only_udm.target.url |
target_url フィールドから直接マッピングされます。 |
timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
timestamp フィールドから直接マッピングされます。 |
Total_bytes_recv |
event.idm.read_only_udm.network.received_bytes |
Total_bytes_recv フィールドから直接マッピングされ、符号なし整数に変換されます。 |
Total_bytes_send |
event.idm.read_only_udm.network.sent_bytes |
Total_bytes_send フィールドから直接マッピングされ、符号なし整数に変換されます。 |
User-Name |
event.idm.read_only_udm.principal.user.userid、event.idm.read_only_udm.principal.mac |
MAC アドレスでない場合は、User-Name フィールドから直接マッピングされます。それ以外の場合は、MAC アドレスとして解析されます。 |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
user_agent フィールドから直接マッピングされます。 |
user_id |
event.idm.read_only_udm.principal.user.userid |
user_id フィールドから直接マッピングされます。 |
UserName |
event.idm.read_only_udm.principal.user.userid、event.idm.read_only_udm.principal.mac |
MAC アドレスでない場合は、UserName フィールドから直接マッピングされます。それ以外の場合は、MAC アドレスとして解析されます。 |
VserverServiceIP |
event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip |
VserverServiceIP フィールドから直接マッピングされます。 |
VserverServicePort |
event.idm.read_only_udm.target.port |
VserverServicePort フィールドから直接マッピングされ、整数に変換されます。 |
win.system.channel |
event.idm.read_only_udm.security_result.detection_fields[].value |
win.system.channel フィールドから直接マッピングされます。キーは「channel」に設定されます。 |
win.system.computer |
event.idm.read_only_udm.principal.resource.attribute.labels[].value |
win.system.computer フィールドから直接マッピングされます。キーは「computer」に設定されます。 |
win.system.eventID |
event.idm.read_only_udm.metadata.product_log_id |
win.system.eventID フィールドから直接マッピングされます。 |
win.system.message_description |
event.idm.read_only_udm.metadata.description |
win.system.message_description フィールドから直接マッピングされます。 |
win.system.processID |
event.idm.read_only_udm.principal.process.pid |
win.system.processID フィールドから直接マッピングされます。 |
win.system.providerGuid |
event.idm.read_only_udm.principal.resource.attribute.labels[].value |
win.system.providerGuid フィールドから直接マッピングされます。キーは「providerGuid」に設定されます。 |
win.system.providerName |
event.idm.read_only_udm.principal.resource.attribute.labels[].value |
win.system.providerName フィールドから直接マッピングされます。キーは「providerName」に設定されます。 |
win.system.severityValue |
event.idm.read_only_udm.security_result.severity、event.idm.read_only_udm.security_result.severity_details |
有効な重大度の値である場合、win.system.severityValue フィールドから直接マッピングされます。 |
win.system.systemTime |
event.idm.read_only_udm.security_result.detection_fields[].value |
win.system.systemTime フィールドから直接マッピングされます。キーは「systemTime」に設定されます。 |
win.system.threadID |
event.idm.read_only_udm.security_result.detection_fields[].value |
win.system.threadID フィールドから直接マッピングされます。キーは「threadID」に設定されます。 |
| なし | event.idm.read_only_udm.metadata.event_type |
デフォルト値として「GENERIC_EVENT」に設定され、さまざまなイベントタイプの特定のロジックによってオーバーライドされます。 |
| なし | event.idm.read_only_udm.extensions.auth.mechanism |
ログイン イベントの場合は「REMOTE」に設定されます。 |
| なし | event.idm.read_only_udm.extensions.auth.type |
ログイン/ログアウト イベントの場合は「PASSWORD」に設定されます。一部のイベントでは「MACHINE」にオーバーライドされます。 |
| なし | event.idm.read_only_udm.network.ip_protocol |
TCP ネットワーク接続の場合は「TCP」に設定します。 |
| なし | event.idm.read_only_udm.security_result.action |
ログイン イベントと成功イベントの場合は「ALLOW」、失敗イベントの場合は「BLOCK」に設定されます。 |
| なし | event.idm.read_only_udm.metadata.log_type |
「WAZUH」に設定します。 |
| なし | event.idm.read_only_udm.metadata.product_name |
「Wazuh」に設定します。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。