Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Wazuh

Compatível com:

Google SecOps SIEM

Visão geral

Esse analisador do Wazuh ingere registros formatados em SYSLOG e JSON, normaliza campos em um formato comum e os enriquece com metadados específicos do Wazuh. Em seguida, ele usa uma série de instruções condicionais com base nos campos event_type e rule_id para mapear os dados de registro brutos para o tipo e os campos de evento da UDM adequados, processando vários formatos de registro e casos extremos no ecossistema do Wazuh.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Instância do Google SecOps.
Uma instância ativa do Wazuh.
Acesso privilegiado aos arquivos de configuração do Wazuh.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

Configurações do SIEM > Feeds
Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Wazuh.
Selecione Webhook como o Tipo de origem.
Selecione Wazuh como o Tipo de registro.
Clique em Próxima.
Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.
Clique em Próxima.
Revise a configuração do feed na tela Finalizar e clique em Enviar.
Clique em Gerar chave secreta para autenticar o feed.
Copie e armazene a chave secreta. Não é possível ver essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas isso torna a anterior obsoleta.
Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
Clique em Concluído.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.

Opções avançadas
Nome do feed: um valor pré-preenchido que identifica o feed.
Tipo de origem: método usado para coletar registros no Google SecOps.
Namespace do recurso: namespace associado ao feed.
Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
Clique em Gerar chave secreta para autenticar o feed.
Copie e armazene a chave secreta. Não é possível ver essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas isso torna a anterior obsoleta.
Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.

Criar uma chave de API para o feed de webhook

Acesse **Google Cloud console > Credenciais.

Ir para Credenciais
Clique em Criar credenciais e, em seguida, selecione Chave de API.
Restrinja o acesso da chave de API à API Google Security Operations.

Especifique o URL do endpoint

No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed do webhook.
Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Recomendação: especifique a chave de API como um cabeçalho em vez de no URL. Se o cliente de webhook não aceitar cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```

Substitua:

ENDPOINT_URL: o URL do endpoint do feed.
API_KEY: a chave de API para autenticar no Google Security Operations.
SECRET: a chave secreta gerada para autenticar o feed.

Configurar o webhook do Wazuh Cloud

Conclua as etapas a seguir para configurar o webhook da nuvem do Wazuh:

Faça login no Wazuh Cloud.
Acesse Configurações, localizado no menu do painel à esquerda em Gerenciamento do servidor.
Clique em Editar configuração.
Adicione o seguinte bloco de integração na seção <integration> da configuração.
- Se a seção não existir, copie todo o bloco com <integration> para criar um.
- Substitua os valores de marcador pelos detalhes reais do Google SecOps:

<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>

CHRONICLE_REGION: sua região do Google SecOps (por exemplo, us, europe-west1).
GOOGLE_PROJECT_NUMBER: o número do seu projeto do Google Cloud.
LOCATION: sua região do Google SecOps (por exemplo, us, europe-west1).
CUSTOMER_ID: seu ID de cliente do Google SecOps.
FEED_ID: o ID do seu feed do Google SecOps.
API_KEY: a chave de API do Google Cloud que hospeda o Google SecOps.
SECRET: o segredo do seu feed do Google SecOps.
alert_format: defina como json para compatibilidade com o Google SecOps.
level: especifica o nível mínimo de alerta a ser encaminhado. O 0 envia todos os alertas.

Clique no botão Salvar.
Clique em Reiniciar wazuh-manager.

Configurar o webhook local do Wazuh

Siga estas etapas para configurar o webhook local do Wazuh:

Acesse seu gerenciador do Wazuh no local.
Acesse o diretório /var/ossec/etc/.
Abra o arquivo ossec.conf usando um editor de texto (por exemplo, nano, vim).
Adicione o seguinte bloco de integração na seção <integration> da configuração.
- Se a seção não existir, copie todo o bloco com <integration> para criar um.
- Substitua os valores de marcador pelos detalhes reais do Google SecOps:
```
<integration>
   <name>google-chronicle</name>
   <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
   <alert_format>json</alert_format>
   <level>0</level>  
</integration>
```
- CHRONICLE_REGION: sua região do Google SecOps (por exemplo, us, europe-west1).
- GOOGLE_PROJECT_NUMBER: o número do seu projeto do Google Cloud.
- LOCATION: sua região do Google SecOps (por exemplo, us, europe-west1).
- CUSTOMER_ID: seu ID de cliente do Google SecOps.
- FEED_ID: o ID do seu feed do Google SecOps.
- API_KEY: a chave de API do Google Cloud que hospeda o Google SecOps.
- SECRET: o segredo do seu feed do Google SecOps.
- alert_format: defina como json para compatibilidade com o Google SecOps.
- level: especifica o nível mínimo de alerta a ser encaminhado. O 0 envia todos os alertas.
Reinicie o gerenciador do Wazuh para aplicar as mudanças:
```
sudo systemctl restart wazuh-manager
```

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`Acct-Authentic`	`event.idm.read_only_udm.security_result.authentication_mechanism`	Mapeado diretamente do campo `Acct-Authentic`.
`Acct-Status-Type`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `Acct-Status-Type`. A chave é definida como "Acct-Status-Type".
`agent.id`	`event.idm.read_only_udm.intermediary.resource.id`	Mapeado diretamente do campo `agent.id`.
`agent.ip`	`event.idm.read_only_udm.intermediary.ip`, `event.idm.read_only_udm.intermediary.asset.ip`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `agent.ip`. Também usado para o IP principal/de destino em alguns casos com base no tipo de evento.
`agent.name`	`event.idm.read_only_udm.security_result.about.hostname`	Mapeado diretamente do campo `agent.name`.
`application`	`event.idm.read_only_udm.target.application`	Mapeado diretamente do campo `application` do Wazuh.
`audit-session-id`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente do campo `audit-session-id`.
`ClientIP`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `ClientIP`.
`ClientPort`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente do campo `ClientPort` e convertido em número inteiro.
`cmd`	`event.idm.read_only_udm.target.process.command_line`	Mapeado diretamente do campo `cmd`.
`CommandLine`	`event.idm.read_only_udm.target.process.command_line`	Mapeado diretamente do campo `CommandLine`.
`ConfigVersionId`	`event.idm.read_only_udm.additional.fields[].value.number_value`	Mapeado diretamente do campo `ConfigVersionId`. A chave é definida como "Config Version Id".
`data.Account Number`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `data.Account Number` para IDs de regra específicos.
`data.Control`	`event.idm.read_only_udm.security_result.action_details`	Mapeado diretamente do campo `data.Control` para IDs de regra específicos.
`data.Message`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente do campo `data.Message` para IDs de regra específicos.
`data.Profile`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `data.Profile` para IDs de regra específicos.
`data.Region`	`event.idm.read_only_udm.principal.location.name`	Mapeado diretamente do campo `data.Region` para IDs de regra específicos.
`data.Status`	`event.idm.read_only_udm.security_result.action`	Mapeado do campo `data.Status`. Se o valor for "Pass" ou "AUDIT_SUCCESS", a ação será definida como "ALLOW". Se o valor for "ERROR", "AUDIT_FAILURE" ou "FAIL", a ação será definida como "BLOCK".
`data.aws.awsRegion`	`event.idm.read_only_udm.principal.location.name`	Mapeado diretamente do campo `data.aws.awsRegion` para IDs de regra específicos.
`data.aws.eventID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente do campo `data.aws.eventID`. A chave é definida como "ID do evento".
`data.aws.eventName`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente do campo `data.aws.eventName` para IDs de regra específicos.
`data.aws.eventSource`	`event.idm.read_only_udm.metadata.url_back_to_product`	Mapeado diretamente do campo `data.aws.eventSource` para IDs de regra específicos.
`data.aws.eventType`	`event.idm.read_only_udm.metadata.product_event_type`	Mapeado diretamente do campo `data.aws.eventType` para IDs de regra específicos.
`data.aws.requestID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente do campo `data.aws.requestID`. A chave é definida como "ID da solicitação".
`data.aws.requestParameters.loadBalancerName`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente do campo `data.aws.requestParameters.loadBalancerName`. A chave é definida como "Nome do LoadBalancer".
`data.aws.sourceIPAddress`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `data.aws.sourceIPAddress` para IDs de regra específicos.
`data.aws.source_ip_address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `data.aws.source_ip_address`.
`data.aws.userIdentity.accountId`	`event.idm.read_only_udm.principal.user.product_object_id`	Mapeado diretamente do campo `data.aws.userIdentity.accountId` para IDs de regra específicos.
`data.aws.userIdentity.principalId`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `data.aws.userIdentity.principalId` para IDs de regra específicos.
`data.aws.userIdentity.sessionContext.sessionIssuer.arn`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente do campo `data.aws.userIdentity.sessionContext.sessionIssuer.arn`. A chave é definida como "ARN".
`data.aws.userIdentity.sessionContext.sessionIssuer.userName`	`event.idm.read_only_udm.principal.user.user_display_name`	Mapeado diretamente do campo `data.aws.userIdentity.sessionContext.sessionIssuer.userName` para IDs de regra específicos.
`data.command`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente do campo `data.command`.
`data.docker.message`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente do campo `data.docker.message` para tipos de eventos específicos.
`data.dstuser`	`event.idm.read_only_udm.target.user.userid`	Mapeado diretamente do campo `data.dstuser`.
`data.file`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente do campo `data.file`.
`data.package`	`event.idm.read_only_udm.target.asset.software[].name`	Mapeado diretamente do campo `data.package`.
`data.srcip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `data.srcip`.
`data.srcuser`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `data.srcuser`.
`data.subject.account_domain`	`event.idm.read_only_udm.target.administrative_domain`	Mapeado diretamente do campo `data.subject.account_domain` para IDs de regra específicos.
`data.subject.account_name`	`event.idm.read_only_udm.target.user.user_display_name`	Mapeado diretamente do campo `data.subject.account_name` para IDs de regra específicos.
`data.subject.security_id`	`event.idm.read_only_udm.target.user.windows_sid`	Mapeado diretamente do campo `data.subject.security_id` para IDs de regra específicos.
`data.title`	`event.idm.read_only_udm.target.resource.name`	Mapeado diretamente do campo `data.title`.
`data.version`	`event.idm.read_only_udm.target.asset.software[].version`	Mapeado diretamente do campo `data.version`.
`decoder.name`	`event.idm.read_only_udm.about.resource.name`, `event.idm.read_only_udm.target.application`	Mapeado diretamente do campo `decoder.name`. Também usado para aplicação de destino em alguns casos.
`decoder.parent`	`event.idm.read_only_udm.about.resource.parent`	Mapeado diretamente do campo `decoder.parent`.
`Description`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente do campo `Description`.
`Destination`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`	Analisado para extrair o IP e a porta de destino.
`DestinationIPAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `DestinationIPAddress`.
`DestinationPort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `DestinationPort` e convertido em número inteiro.
`device_ip_address`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `device_ip_address`.
`feature`	`event.idm.read_only_udm.metadata.product_event_type`	Mapeado diretamente do campo `feature`, às vezes combinado com `message_type`.
`file_path`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente do campo `file_path`.
`Framed-IP-Address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `Framed-IP-Address`.
`full_log`	`event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.about.labels[].value`	Analisado para extrair o número da porta, a descrição do resultado de segurança e o ID de logon do assunto.
`Hashes`	`event.idm.read_only_udm.target.process.file.sha256`, `event.idm.read_only_udm.target.process.file.md5`	Analisado para extrair hashes SHA256 e MD5.
`hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `hostname`.
`Image`	`event.idm.read_only_udm.target.process.file.full_path`	Mapeado diretamente do campo `Image`.
`IntegrityLevel`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `IntegrityLevel`. A chave é definida como "Nível de integridade".
`kv_data`	`event.idm.read_only_udm.target.process.file.full_path`, `event.idm.read_only_udm.target.process.pid`, `event.idm.read_only_udm.target.process.parent_process.file.full_path`, `event.idm.read_only_udm.target.process.parent_process.command_line`, `event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`, `event.idm.read_only_udm.target.process.product_specific_process_id`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Analisado para extrair vários campos relacionados à criação de processos, hashes de arquivos e descrição.
`kv_log_data`	`event.idm.read_only_udm.security_result.severity_details`	Analisado para extrair o nível do alerta.
`location`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente do campo `location`.
`LogonGuid`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `LogonGuid` após a remoção das chaves. A chave é definida como "Logon Guid".
`LogonId`	`event.idm.read_only_udm.about.labels[].value`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Usado para o ID de logon do assunto em eventos de logoff e mapeado diretamente para outros eventos. A chave é definida como "ID de logon".
`log_description`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente do campo `log_description`.
`log_message`	`event.idm.read_only_udm.target.file.full_path`, `event.idm.read_only_udm.metadata.description`	Analisado para extrair o caminho e a descrição do registro.
`manager.name`	`event.idm.read_only_udm.about.user.userid`, `event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `manager.name`. Também usado como ID do usuário principal em alguns casos.
`md5`	`event.idm.read_only_udm.target.process.file.md5`	Mapeado diretamente do campo `md5`.
`message`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.process.command_line`, `event.idm.read_only_udm.network.http.method`, `event.idm.read_only_udm.network.http.response_code`, `event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.principal.nat_ip`, `event.idm.read_only_udm.principal.nat_port`, `event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.network.session_id`, `event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.additional.fields[].value.number_value`, `event.idm.read_only_udm.target.url`, `event.idm.read_only_udm.target.application`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.rule_type`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.network.http.user_agent`, `event.idm.read_only_udm.principal.process.pid`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.severity_details`	Analisado usando grok para extrair vários campos, dependendo do formato do registro.
`message_data`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.network.sent_bytes`, `event.idm.read_only_udm.network.received_bytes`, `event.idm.read_only_udm.network.ip_protocol`, `event.idm.read_only_udm.metadata.event_type`	Analisados para extrair dados de mensagens, endereços IP, portas, bytes enviados/recebidos e tipo de evento.
`message_type`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`	Mapeado diretamente do campo `message_type`, às vezes combinado com `feature`. Também usado para descrição em alguns casos.
`method`	`event.idm.read_only_udm.network.http.method`	Mapeado diretamente do campo `method`.
`NAS-IP-Address`	`event.idm.read_only_udm.principal.nat_ip`	Mapeado diretamente do campo `NAS-IP-Address`.
`NAS-Port`	`event.idm.read_only_udm.principal.nat_port`	Mapeado diretamente do campo `NAS-Port` e convertido em número inteiro.
`NAS-Port-Type`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente do campo `NAS-Port-Type`. A chave é definida como "nas_port_type".
`NetworkDeviceName`	`event.idm.read_only_udm.intermediary.hostname`	Mapeado diretamente do campo `NetworkDeviceName` após a remoção das barras invertidas.
`ParentCommandLine`	`event.idm.read_only_udm.target.process.parent_process.command_line`	Mapeado diretamente do campo `ParentCommandLine`.
`ParentImage`	`event.idm.read_only_udm.target.process.parent_process.file.full_path`	Mapeado diretamente do campo `ParentImage`.
`ParentProcessGuid`	`event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`	Mapeado diretamente do campo `ParentProcessGuid` depois de remover as chaves e adicionar "ID:" no início.
`ParentProcessId`	`event.idm.read_only_udm.target.process.parent_process.pid`	Mapeado diretamente do campo `ParentProcessId`.
`predecoder.hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `predecoder.hostname`.
`ProcessGuid`	`event.idm.read_only_udm.target.process.product_specific_process_id`	Mapeado diretamente do campo `ProcessGuid` depois de remover as chaves e adicionar "ID:" no início.
`ProcessId`	`event.idm.read_only_udm.target.process.pid`	Mapeado diretamente do campo `ProcessId`.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Mapeado diretamente do campo `product_event_type`.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	Mapeado diretamente do campo `response_code` e convertido em número inteiro.
`rule.description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.summary`	Usado para determinar o tipo de evento e mapeado diretamente para o resumo do resultado de segurança.
`rule.id`	`event.idm.read_only_udm.metadata.product_log_id`, `event.idm.read_only_udm.security_result.rule_id`	Mapeado diretamente do campo `rule.id`.
`rule.info`	`event.idm.read_only_udm.target.url`	Mapeado diretamente do campo `rule.info`.
`rule.level`	`event.idm.read_only_udm.security_result.severity_details`	Usado para definir detalhes de gravidade.
`r_cat_name`	`event.idm.read_only_udm.metadata.event_type`	Usado para determinar o tipo de evento.
`r_msg_id`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo `r_msg_id`.
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Mapeado diretamente do campo `security_result.severity`.
`ServerIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `ServerIP`.
`ServerPort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `ServerPort` e convertido em número inteiro.
`sha256`	`event.idm.read_only_udm.target.process.file.sha256`	Mapeado diretamente do campo `sha256`.
`Source`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`	Analisado para extrair o IP e a porta principal.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `src_ip`.
`sr_description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.description`	Usado para determinar o tipo de evento e mapeado diretamente para a descrição do resultado de segurança.
`syscheck.md5_after`	`event.idm.read_only_udm.target.process.file.md5`	Mapeado diretamente do campo `syscheck.md5_after`.
`syscheck.md5_before`	`event.idm.read_only_udm.src.process.file.md5`	Mapeado diretamente do campo `syscheck.md5_before`.
`syscheck.path`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente do campo `syscheck.path`.
`syscheck.sha1_after`	`event.idm.read_only_udm.target.process.file.sha1`	Mapeado diretamente do campo `syscheck.sha1_after`.
`syscheck.sha1_before`	`event.idm.read_only_udm.src.process.file.sha1`	Mapeado diretamente do campo `syscheck.sha1_before`.
`syscheck.sha256_after`	`event.idm.read_only_udm.target.process.file.sha256`	Mapeado diretamente do campo `syscheck.sha256_after`.
`syscheck.sha256_before`	`event.idm.read_only_udm.src.process.file.sha256`	Mapeado diretamente do campo `syscheck.sha256_before`.
`syscheck.size_after`	`event.idm.read_only_udm.target.process.file.size`	Mapeado diretamente do campo `syscheck.size_after` e convertido em um número inteiro sem sinal.
`syscheck.size_before`	`event.idm.read_only_udm.src.process.file.size`	Mapeado diretamente do campo `syscheck.size_before` e convertido em um número inteiro sem sinal.
`syscheck.uname_after`	`event.idm.read_only_udm.principal.user.user_display_name`	Mapeado diretamente do campo `syscheck.uname_after`.
`target_url`	`event.idm.read_only_udm.target.url`	Mapeado diretamente do campo `target_url`.
`timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Mapeado diretamente do campo `timestamp`.
`Total_bytes_recv`	`event.idm.read_only_udm.network.received_bytes`	Mapeado diretamente do campo `Total_bytes_recv` e convertido em um número inteiro sem sinal.
`Total_bytes_send`	`event.idm.read_only_udm.network.sent_bytes`	Mapeado diretamente do campo `Total_bytes_send` e convertido em um número inteiro sem sinal.
`User-Name`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Mapeado diretamente do campo `User-Name` se não for um endereço MAC. Caso contrário, será analisado como um endereço MAC.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Mapeado diretamente do campo `user_agent`.
`user_id`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `user_id`.
`UserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Mapeado diretamente do campo `UserName` se não for um endereço MAC. Caso contrário, será analisado como um endereço MAC.
`VserverServiceIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `VserverServiceIP`.
`VserverServicePort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `VserverServicePort` e convertido em número inteiro.
`win.system.channel`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `win.system.channel`. A chave é definida como "channel".
`win.system.computer`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente do campo `win.system.computer`. A chave é definida como "computer".
`win.system.eventID`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo `win.system.eventID`.
`win.system.message_description`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente do campo `win.system.message_description`.
`win.system.processID`	`event.idm.read_only_udm.principal.process.pid`	Mapeado diretamente do campo `win.system.processID`.
`win.system.providerGuid`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente do campo `win.system.providerGuid`. A chave é definida como "providerGuid".
`win.system.providerName`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente do campo `win.system.providerName`. A chave é definida como "providerName".
`win.system.severityValue`	`event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.security_result.severity_details`	Mapeado diretamente do campo `win.system.severityValue` se for um valor de gravidade válido.
`win.system.systemTime`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `win.system.systemTime`. A chave é definida como "systemTime".
`win.system.threadID`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `win.system.threadID`. A chave é definida como "threadID".
N/A	`event.idm.read_only_udm.metadata.event_type`	Definido como "GENERIC_EVENT" como um valor padrão, substituído por uma lógica específica para diferentes tipos de eventos.
N/A	`event.idm.read_only_udm.extensions.auth.mechanism`	Definido como "REMOTE" para eventos de login.
N/A	`event.idm.read_only_udm.extensions.auth.type`	Definido como "PASSWORD" para eventos de login/logout, substituído por "MACHINE" em alguns eventos.
N/A	`event.idm.read_only_udm.network.ip_protocol`	Defina como "TCP" para conexões de rede TCP.
N/A	`event.idm.read_only_udm.security_result.action`	Defina como "ALLOW" para eventos de login e bem-sucedidos e "BLOCK" para eventos com falha.
N/A	`event.idm.read_only_udm.metadata.log_type`	Defina como "WAZUH".
N/A	`event.idm.read_only_udm.metadata.product_name`	Defina como "Wazuh".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.