Panduan penggunaan Model Data Terpadu

Dokumen ini memberikan deskripsi yang lebih mendetail tentang kolom dalam skema Model Data Terpadu (UDM) serta kolom yang wajib dan opsional, bergantung pada Jenis Peristiwa. Untuk evaluasi mesin aturan, awalan dimulai udm., sedangkan awalan normalizer berbasis konfigurasi (CBN) dimulai event.idm.read_only_udm.

Metadata Populasi Peristiwa

Bagian metadata peristiwa untuk peristiwa UDM menyimpan informasi umum tentang setiap peristiwa.

Metadata.event_type

  • Tujuan: Menentukan jenis peristiwa; jika peristiwa memiliki beberapa kemungkinan jenis, nilai ini harus menentukan jenis yang paling spesifik.
  • Wajib: Ya
  • Encoding: Harus salah satu jenis enumerasi event_type UDM yang telah ditentukan.
  • Nilai yang Mungkin: Nilai berikut ini mencantumkan semua nilai yang mungkin untuk event_type dalam UDM.

Acara email:

  • EMAIL_TRANSACTION
  • EMAIL_UNCATEGORIZED

Peristiwa file yang dijalankan di endpoint:

  • FILE_UNCATEGORIZED
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_READ (misalnya, membaca file sandi)
  • FILE_COPY (misalnya, menyalin file ke thumb drive)
  • FILE_OPEN (misalnya, membuka file dapat mengindikasikan adanya pelanggaran keamanan)

Peristiwa yang tidak termasuk dalam kategori lain, termasuk peristiwa Windows yang tidak dikategorikan.

  • GENERIC_EVENT

Peristiwa Mutex (objek pengecualian ganda):

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Telemetri jaringan, termasuk payload protokol mentah, seperti DHCP dan DNS, serta ringkasan protokol untuk protokol seperti HTTP, SMTP, dan FTP, serta peristiwa aliran dan koneksi dari Netflow dan firewall.

  • NETWORK_UNCATEGORIZED
  • NETWORK_FLOW (misalnya, statistik alur gabungan dari Netflow)
  • NETWORK_CONNECTION (misalnya, detail koneksi jaringan dari firewall)
  • NETWORK_FTP
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_HTTP
  • NETWORK_SMTP

Setiap peristiwa yang berkaitan dengan proses seperti peluncuran proses, proses yang menciptakan sesuatu yang berbahaya, proses yang dimasukkan ke dalam proses lain, perubahan kunci registry, pembuatan file berbahaya di disk, dll.

  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION
  • PROCESS_UNCATEGORIZED

Gunakan peristiwa REGISTRY, bukan peristiwa SETTING saat menangani peristiwa registry khusus Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Peristiwa berorientasi pemindaian. Mencakup pemindaian on demand dan deteksi perilaku yang dilakukan oleh produk keamanan endpoint (EDR, AV, DLP). Hanya digunakan saat melampirkan SecurityResult ke jenis peristiwa lain (seperti PROCESS_LAUNCH).

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_PROCESS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Peristiwa tugas terjadwal (Windows Task Scheduler, cron, dll.):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_MODIFICATION

Peristiwa layanan:

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_START
  • SERVICE_STOP

Menetapkan peristiwa, termasuk saat setelan sistem diubah di endpoint. Untuk menetapkan persyaratan peristiwa, lihat di sini.

  • SETTING_UNCATEGORIZED
  • SETTING_CREATION
  • SETTING_MODIFICATION
  • SETTING_DELETION

Pesan status dari produk keamanan untuk menunjukkan bahwa agen masih aktif dan untuk mengirim versi, sidik jari, atau jenis data lainnya.

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (menunjukkan produk masih aktif)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (pembaruan perangkat lunak atau sidik jari)

Peristiwa log audit sistem:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Peristiwa aktivitas autentikasi pengguna:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (misalnya, saat pengguna mengakses suatu situs secara fisik dengan badge)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS

Metadata.collected_timestamp

  • Tujuan: Mengenkode stempel waktu GMT saat peristiwa dikumpulkan oleh infrastruktur pengumpulan lokal vendor.
  • Encoding: RFC 3339, sebagaimana sesuai untuk format stempel waktu JSON atau Proto3.
  • Contoh:
    • RFC 3339: '2019-09-10T20:32:31-08:00'
    • Format Proto3: '2012-04-23T18:25:43.511Z'

Metadata.event_timestamp

  • Tujuan: Mengenkode stempel waktu GMT saat peristiwa dibuat.
  • Wajib: Ya
  • Encoding: RFC 3339, sebagaimana sesuai untuk format stempel waktu JSON atau Proto3.
  • Contoh:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Format Proto3: 2012-04-23T18:25:43.511Z

Metadata.description

  • Tujuan: Deskripsi acara yang dapat dibaca manusia.
  • Encoding: String alfanumerik, tanda baca diizinkan, maksimum 1024 byte
  • Contoh: File c:\bar\foo.exe diblokir agar tidak mengakses dokumen sensitif c:\documents\earnings.docx.

Metadata.product_event_type

  • Tujuan: Nama atau jenis peristiwa yang singkat, deskriptif, dapat dibaca manusia, dan spesifik per produk.
  • Encoding: String alfanumerik, tanda baca diizinkan, maksimum 64 byte.
  • Contoh:
    • Peristiwa Pembuatan Registry
    • ProcessRollUp
    • Eskalasi Akses Terdeteksi
    • Malware diblokir

Metadata.product_log_id

  • Tujuan: Mengenkode ID peristiwa khusus vendor untuk mengidentifikasi acara secara unik (GUID). Pengguna mungkin menggunakan ID ini untuk menelusuri acara yang dipermasalahkan di konsol milik vendor.
  • Encoding: Peka huruf besar/kecil, string alfanumerik, tanda baca diizinkan, maksimum 256 byte.
  • Contoh: ABcd1234-98766

Metadata.product_name

  • Tujuan: Menentukan nama produk.
  • Encoding: Peka huruf besar/kecil, string alfanumerik, tanda baca diizinkan, maksimum 256 byte.
  • Contoh:
    • Alap-alap
    • Perlindungan Endpoint Symantec

Metadata.product_version

  • Tujuan: Menentukan versi produk.
  • Encoding: String alfanumerik, titik, dan tanda pisah diizinkan, maksimal 32 byte
  • Contoh:
    • 1.2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • Tujuan: URL yang tertaut ke situs yang relevan, tempat Anda dapat melihat informasi lebih lanjut tentang acara spesifik ini (atau kategori peristiwa umum).
  • Encoding: URL RFC 3986 yang valid dengan parameter opsional seperti informasi port, dll. Harus memiliki awalan protokol sebelum URL (misalnya, https:// atau http://).
  • Contoh: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Tujuan: Menentukan nama vendor produk.
  • Encoding: Peka huruf besar/kecil, string alfanumerik, tanda baca diizinkan, maksimum 256 byte
  • Contoh:
    • CrowdStrike
    • Symantec

Metadata Populasi Kata benda

Di bagian ini, kata Noun adalah istilah menyeluruh yang digunakan untuk mewakili entitas; Noun, Noun, Noun, Noun, Noun, dan Noun. Entitas ini memiliki atribut yang sama, tetapi merepresentasikan objek yang berbeda dalam sebuah peristiwa. Untuk mengetahui informasi selengkapnya tentang entity dan hal yang diwakili masing-masing dalam peristiwa, lihat Memformat data log sebagai UDM.

Noun.asset_id

  • Tujuan: ID perangkat unik khusus vendor (misalnya, GUID yang dibuat saat menginstal software keamanan endpoint di perangkat baru yang digunakan untuk melacak perangkat unik tersebut dari waktu ke waktu).
  • Encoding: VendorName.ProductName:ID dengan VendorName.ProductName:ID tidak peka huruf besar/kecil* *nama vendor seperti "Carbon Black", VendorName.ProductName:ID adalah nama produk yang tidak peka huruf besar/kecil, seperti "Response" atau "Endpoint Protection", dan ID adalah ID pelanggan khusus vendor yang unik secara global dalam lingkungan pelanggannya (misalnya, GUID atau nilai unik yang mengidentifikasi perangkat unik). VendorName dan ECPC berupa alfanumerik dan panjangnya tidak lebih dari 32 karakter. ID dapat berisi maksimum 128 karakter dan dapat berisi karakter alfanumerik, tanda hubung, dan titik.
  • Contoh: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Tujuan: Alamat email
  • Encoding: Format alamat email standar.
  • Contoh: johns@test.altostrat.com

Noun.file

Noun.hostname

  • Tujuan: Kolom nama host atau nama domain klien. Jangan sertakan jika ada URL.
  • Encoding: Nama host RFC 1123 yang valid.
  • Contoh:
    • userwin10
    • www.altostrat.com

Noun.platform

  • Tujuan: Sistem operasi platform.
  • Encoding: Enum
  • Kemungkinan Nilai:
    • LINUX
    • MAC
    • WINDOWS
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • Tujuan: Level patch sistem operasi platform.
  • Encoding: String alfanumerik dengan tanda baca, maksimum 64 karakter.
  • Contoh: Build 17134.48

Noun.platform_version

  • Tujuan: Versi sistem operasi platform.
  • Encoding: String alfanumerik dengan tanda baca, maksimum 64 karakter.
  • Contoh: Microsoft Windows 10 versi 1803

Noun.process

Noun.ip

  • Tujuan:
    • Satu alamat IP yang terkait dengan koneksi jaringan.
    • Satu atau beberapa alamat IP yang terkait dengan perangkat peserta pada saat acara (misalnya, jika produk EDR mengetahui semua alamat IP yang terkait dengan perangkat, produk tersebut dapat mengenkode semua alamat ini dalam kolom IP).
  • Encoding: Alamat IPv4 atau IPv6 (RFC 5942) yang valid dienkode di ASCII.
  • Pengulangan:
    • Jika peristiwa menjelaskan koneksi jaringan tertentu (misalnya, srcip:srcport > dstip:dstport), vendor hanya boleh menyediakan satu alamat IP.
    • Jika peristiwa menjelaskan aktivitas umum yang terjadi di perangkat peserta tetapi bukan koneksi jaringan spesifik, vendor dapat memberikan semua alamat IP terkait untuk perangkat tersebut pada saat acara berlangsung.
  • Contoh:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • Tujuan: Nomor port jaringan sumber atau tujuan saat koneksi jaringan tertentu dijelaskan dalam suatu peristiwa.
  • Encoding: Nomor port TCP/IP yang valid dari 1 hingga 65.535.
  • Contoh:

    • 80
    • 443

Noun.mac

  • Tujuan: Satu atau beberapa alamat MAC yang dikaitkan dengan perangkat.
  • Encoding: Alamat MAC yang valid (EUI-48) di ASCII.
  • Pengulangan: Vendor mungkin memberikan semua alamat MAC terkait untuk perangkat pada saat peristiwa.
  • Contoh:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • Tujuan: Domain tempat perangkat berada (misalnya, domain Windows).
  • Encoding: String nama domain yang valid (maksimal 128 karakter).
  • Contoh: corp.altostrat.com

Noun.registry

Noun.url

  • Tujuan: URL Standar
  • Encoding: URL (RFC 3986). Harus memiliki awalan protokol yang valid (misalnya, https:// atau ftp://). Harus menyertakan domain dan jalur lengkap. Mungkin menyertakan parameter URL.
  • Contoh: https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

Populasi metadata Authentication

Authentication.AuthType

  • Tujuan: Jenis sistem yang dikaitkan dengan peristiwa autentikasi (Chronicle UDM).
  • Encoding: Jenis yang dihitung.
  • Kemungkinan Nilai:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE—Autentikasi mesin
    • FISIK—Autentikasi fisik (misalnya, pembaca badge)
    • SSO
    • TACACS—Protokol keluarga TACACS untuk autentikasi sistem berjaringan (misalnya, TACACS atau TACACS+)
    • VPN

Authentication.Authentication_Status

  • Tujuan: Menjelaskan status autentikasi pengguna atau kredensial tertentu.
  • Encoding: Jenis yang dihitung.
  • Kemungkinan Nilai:
    • UNKNOWN_AUTHENTICATION_STATUS—Status autentikasi default
    • AKTIF—Metode autentikasi dalam status aktif
    • DITANGGUHKAN—Metode autentikasi berada dalam status ditangguhkan atau dinonaktifkan
    • DELETED—Metode autentikasi telah dihapus
    • NO_ACTIVE_CREDENTIALS—Metode autentikasi tidak memiliki kredensial aktif.

Authentication.auth_details

  • Tujuan: Detail autentikasi yang ditentukan vendor.
  • Encoding: String.

Authentication.Mechanism

  • Tujuan: Mekanisme yang digunakan untuk autentikasi.
  • Encoding: Jenis yang dihitung.
  • Kemungkinan Nilai:
    • MECHANISM_UNSPECIFIED—Mekanisme autentikasi default.
    • BADGE_READER
    • BATCH—Autentikasi batch.
    • CACHED_INTERACTIVE—Autentikasi interaktif menggunakan kredensial yang di-cache.
    • HARDWARE_KEY
    • LOCAL
    • MECHANISM_OTHER—Beberapa mekanisme lain yang tidak didefinisikan di sini.
    • JARINGAN—Autentikasi jaringan.
    • NETWORK_CLEAR_TEXT—Autentikasi clear text jaringan.
    • NEW_CREDENTIALS—Autentikasi dengan kredensial baru.
    • OTP
    • REMOTE—Autentikasi jarak jauh
    • REMOTE_INTERACTIVE—RDP, layanan terminal, Virtual Network Computing (VNC), dll.
    • SERVICE—Autentikasi layanan.
    • UNLOCK—Autentikasi langsung membuka kunci interaktif manusia.
    • USERNAME_PASSWORD

Populasi metadata DHCP

Kolom metadata Dynamic Host Control Protocol (DHCP) merekam informasi log protokol pengelolaan jaringan DHCP.

Dhcp.client_hostname

  • Tujuan: Hostname untuk klien. Lihat RFC 2132, Opsi DHCP dan Ekstensi Vendor BOOTP, untuk informasi selengkapnya.
  • Encoding: String.

Dhcp.client_identifier

  • Tujuan: ID klien. Lihat RFC 2132, Opsi DHCP dan Ekstensi Vendor BOOTP, untuk informasi selengkapnya.
  • Encoding: Byte.

Dhcp.file

  • Tujuan: Nama file untuk boot image.
  • Encoding: String.

Dhcp.flags

  • Tujuan: Nilai untuk kolom tanda DHCP.
  • Encoding: Bilangan bulat tanpa tanda tangan 32-bit.

Dhcp.hlen

  • Tujuan: Panjang alamat hardware.
  • Encoding: Bilangan bulat tanpa tanda tangan 32-bit.

Dhcp.hops

  • Tujuan: Jumlah hop DHCP.
  • Encoding: Bilangan bulat tanpa tanda tangan 32-bit.

Dhcp.htype

  • Tujuan: Jenis alamat hardware.
  • Encoding: Bilangan bulat tanpa tanda tangan 32-bit.

Dhcp.lease_time_seconds

  • Tujuan: Waktu sewa yang diminta klien untuk alamat IP dalam hitungan detik. Lihat RFC 2132, Opsi DHCP dan Ekstensi Vendor BOOTP, untuk informasi selengkapnya.
  • Encoding: Bilangan bulat tanpa tanda tangan 32-bit.

Dhcp.opcode

  • Tujuan: Kode operasi BOOTP (lihat bagian 3 RFC 951).
  • Encoding: Jenis yang dihitung.
  • Kemungkinan Nilai:
    • UNKNOWN_OPCODE
    • PERMINTAAN BOOT
    • BALAS BOOT

Dhcp.requested_address

  • Tujuan: ID klien. Lihat RFC 2132, Opsi DHCP dan Ekstensi Vendor BOOTP, untuk informasi selengkapnya.
  • Encoding: Alamat IPv4 atau IPv6 (RFC 5942) yang valid dienkode di ASCII.

Dhcp.seconds

  • Tujuan: Detik-detik yang berlalu sejak klien memulai proses akuisisi/perpanjangan alamat.
  • Encoding: Bilangan bulat tanpa tanda tangan 32-bit.

Dhcp.sname

  • Tujuan: Nama server yang diminta oleh klien untuk melakukan booting.
  • Encoding: String.

Dhcp.transaction_id

  • Tujuan: ID transaksi klien.
  • Encoding: Bilangan bulat tanpa tanda tangan 32-bit.

Dhcp.type

  • Tujuan: Jenis pesan DHCP. Lihat RFC 1533 untuk informasi selengkapnya.
  • Encoding: Jenis yang dihitung.
  • Nilai yang mungkin:
    • UNKNOWN_MESSAGE_TYPE
    • DISCOVER
    • PENAWARAN
    • PERMINTAAN
    • TOLAK
    • ACK
    • NAK
    • RILIS
    • BERI TAHU
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • Tujuan: Alamat IP untuk hardware klien.
  • Encoding: Alamat IPv4 atau IPv6 (RFC 5942) yang valid dienkode di ASCII.

Dhcp.ciaddr

  • Tujuan: Alamat IP untuk klien.
  • Encoding: Alamat IPv4 atau IPv6 (RFC 5942) yang valid dienkode di ASCII.

Dhcp.giaddr

  • Tujuan: Alamat IP untuk agen relai.
  • Encoding: Alamat IPv4 atau IPv6 (RFC 5942) yang valid dienkode di ASCII.

Dhcp.siaddr

  • Tujuan: Alamat IP untuk server bootstrap berikutnya.
  • Encoding: Alamat IPv4 atau IPv6 (RFC 5942) yang valid dienkode di ASCII.

Dhcp.yiaddr

  • Tujuan: Alamat IP Anda.
  • Encoding: Alamat IPv4 atau IPv6 (RFC 5942) yang valid dienkode di ASCII.

Populasi metadata Opsi DHCP

Kolom metadata opsi DHCP mengambil informasi log opsi DHCP.

Option.code

  • Tujuan: Menyimpan kode opsi DHCP. Lihat RFC 1533, Opsi DHCP dan Ekstensi Vendor BOOTP, untuk informasi selengkapnya.
  • Encoding: Bilangan bulat 32-bit tanpa tanda tangan.

Option.data

  • Tujuan: Menyimpan data opsi DHCP. Lihat RFC 1533, Opsi DHCP dan Ekstensi Vendor BOOTP, untuk informasi selengkapnya.
  • Encoding: Byte.

Populasi metadata DNS

Kolom metadata DNS merekam informasi yang terkait dengan paket permintaan dan respons DNS. Mereka memiliki korespondensi satu ke satu dengan data yang ditemukan dalam datagram respons dan permintaan DNS.

Dns.authoritative

  • Tujuan: Setel ke true untuk server DNS otoritatif.
  • Encoding: Boolean.

Dns.id

  • Tujuan: Menyimpan ID kueri DNS.
  • Encoding: Bilangan bulat 32-bit.

Dns.response

  • Tujuan: Tetapkan ke true jika peristiwa adalah respons DNS.
  • Encoding: Boolean.

Dns.opcode

  • Tujuan: Menyimpan OpCode DNS yang digunakan untuk menentukan jenis kueri DNS (standar, terbalik, status server, dll.).
  • Encoding: Bilangan bulat 32-bit.

Dns.recursion_available

  • Tujuan: Tetapkan ke true jika pencarian DNS rekursif tersedia.
  • Encoding: Boolean.

Dns.recursion_desired

  • Tujuan: Tetapkan ke true jika pencarian DNS rekursif diminta.
  • Encoding: Boolean.

Dns.response_code

  • Tujuan: Menyimpan kode respons DNS seperti yang ditetapkan oleh RFC 1035, Domain Names - Implementation and Specification.
  • Encoding: Bilangan bulat 32-bit.

Dns.truncated

  • Tujuan: Tetapkan ke true jika ini adalah respons DNS yang terpotong.
  • Encoding: Boolean.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

Populasi metadata Pertanyaan DNS

Kolom metadata pertanyaan DNS merekam informasi yang terdapat dalam bagian pertanyaan pada pesan protokol domain.

Question.name

  • Tujuan: Menyimpan nama domain.
  • Encoding: String.

Question.class

  • Tujuan: Menyimpan kode yang menentukan class kueri.
  • Encoding: Bilangan bulat 32-bit.

Question.type

  • Tujuan: Menyimpan kode yang menentukan jenis kueri.
  • Encoding: Bilangan bulat 32-bit.

Populasi metadata Data Resource DNS

Kolom metadata data resource DNS merekam informasi yang terdapat dalam data resource pesan protokol domain.

ResourceRecord.binary_data

  • Tujuan: Menyimpan byte mentah dari string non-UTF8 yang mungkin disertakan sebagai bagian dari respons DNS. Kolom ini hanya boleh digunakan jika data respons yang ditampilkan oleh server DNS berisi data non-UTF8. Jika tidak, tempatkan respons DNS di kolom data di bawah ini. Jenis informasi ini harus disimpan di sini, bukan di ResourceRecord.data.
  • Encoding: Byte.

ResourceRecord.class

  • Tujuan: Menyimpan kode yang menentukan class data resource.
  • Encoding: Bilangan bulat 32-bit.

ResourceRecord.data

  • Tujuan: Menyimpan payload atau respons atas pertanyaan DNS untuk semua respons yang dienkode dalam format UTF-8. Misalnya, kolom data dapat menampilkan alamat IP mesin yang dirujuk oleh nama domain. Jika data resource ditujukan untuk jenis atau kelas yang berbeda, data tersebut mungkin berisi nama domain lain (ketika satu nama domain dialihkan ke nama domain lain). Data harus disimpan seperti dalam respons DNS.
  • Encoding: String.

ResourceRecord.name

  • Tujuan: Menyimpan nama pemilik data resource.
  • Encoding: String.

ResourceRecord.ttl

  • Tujuan: Menyimpan interval waktu saat data resource dapat di-cache sebelum sumber informasi harus dikueri lagi.
  • Encoding: Bilangan bulat 32-bit.

ResourceRecord.type

  • Tujuan: Menyimpan kode yang menentukan jenis data resource.
  • Encoding: Bilangan bulat 32-bit.

Populasi metadata Email

Sebagian besar kolom Metadata Email mengambil alamat email yang disertakan di header pesan dan harus sesuai dengan format alamat email standar (local-mailbox@domain) seperti yang ditetapkan di RFC 5322. Misalnya, frank@email.example.com.

Email.from

  • Tujuan: Menyimpan alamat email dari.
  • Encoding: String.

Email.reply_to

  • Tujuan: Menyimpan alamat email reply_to.
  • Encoding: String.

Email.to

  • Tujuan: Menyimpan alamat email ke.
  • Encoding: String.

Email.cc

  • Tujuan: Menyimpan alamat email cc.
  • Encoding: String.

Email.bcc

  • Tujuan: Menyimpan alamat email bcc.
  • Encoding: String.

Email.mail_id

  • Tujuan: Menyimpan ID email (atau pesan).
  • Encoding: String.
  • Contoh: 192544.132632@email.example.com

Email.subject

  • Tujuan: Menyimpan baris subjek email.
  • Encoding: String.
  • Contoh: "Harap baca pesan ini."

Metadata Populasi Ekstensi

Jenis peristiwa dengan metadata kelas satu yang belum dikategorikan oleh Chronicle UDM. Extensions.auth

  • Tujuan: Ekstensi ke metadata autentikasi.
  • Encoding: String.
  • Contoh:
    • Metadata sandbox (semua perilaku yang ditunjukkan oleh file, misalnya FireEye).
    • Data Kontrol Akses Jaringan (NAC).
    • Detail LDAP tentang pengguna (misalnya, peran, organisasi, dll.).

Extensions.auth.auth_details

  • Tujuan: Menentukan detail khusus vendor untuk jenis atau mekanisme autentikasi. Penyedia otentikasi sering menentukan tipe seperti via_mfa, via_ad, dan sebagainya yang memberikan informasi berguna tentang tipe otentikasi. Jenis ini masih dapat digeneralisasi dalam auth.type atau auth.mechanism untuk kegunaan dan kompatibilitas aturan lintas set data.
  • Encoding: String.
  • Contoh: via_mfa, via_ad.

Extensions.vulns

  • Tujuan: Ekstensi ke metadata kerentanan.
  • Encoding: String.
  • Contoh:
    • Data pemindaian kerentanan host.

Populasi metadata File

File.file_metadata

  • Tujuan: Metadata yang terkait dengan file.
  • Encoding: String.
  • Contoh:
    • Author
    • Nomor revisi
    • Nomor versi
    • Tanggal terakhir disimpan

File.full_path

  • Tujuan: Jalur lengkap yang mengidentifikasi lokasi file di sistem.
  • Encoding: String.
  • Contoh: \Program Files\Custom Utilitas\Test.exe

File.md5

  • Tujuan: Nilai hash MD5 untuk file.
  • Encoding: String, heksadesimal huruf kecil.
  • Contoh: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Tujuan: Jenis Multipurpose Internet Mail Extensions (MIME) untuk file.
  • Encoding: String.
  • Contoh:
    • PE
    • PDF
    • skrip powershell

File.sha1

  • Tujuan: Nilai hash SHA-1 untuk file.
  • Encoding: String, heksadesimal huruf kecil.
  • Contoh: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Tujuan: Nilai hash SHA-256 untuk file.
  • Encoding: String, heksadesimal huruf kecil.
  • Contoh:
    • d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • Tujuan: Ukuran file.
  • Encoding: Bilangan bulat tanpa tanda tangan 64-bit.
  • Contoh: 342135.

Populasi metadata FTP

Ftp.command

  • Tujuan: Menyimpan perintah FTP.
  • Encoding: String.
  • Contoh:
    • binary
    • delete
    • get
    • put

Populasi metadata Grup

Informasi tentang grup organisasi.

Group.creation_time

  • Tujuan: Waktu pembuatan grup.
  • Encoding: RFC 3339, sebagaimana sesuai untuk format stempel waktu JSON atau Proto3.

Group.email_addresses

  • Tujuan: Informasi kontak grup.
  • Encoding: Email.

Group.group_display_name

  • Tujuan: Nama tampilan grup.
  • Encoding: String.
  • Contoh:
    • Keuangan
    • HR
    • Pemasaran

Group.product_object_id

  • Tujuan: ID objek pengguna yang unik secara global untuk produk, seperti ID objek LDAP.
  • Encoding: String.

Group.windows_sid

  • Tujuan: Kolom atribut grup Microsoft Windows Security Identifier (SID).
  • Encoding: String.

Populasi metadata HTTP

Http.method

  • Tujuan: Menyimpan metode permintaan HTTP.
  • Encoding: String.
  • Contoh:
    • GET
    • HEAD
    • POST

Http.referral_url

  • Tujuan: Menyimpan URL untuk perujuk HTTP.
  • Encoding: URL RFC 3986 yang valid.
  • Contoh: https://www.altostrat.com

Http.response_code

  • Tujuan: Menyimpan kode status respons HTTP, yang menunjukkan apakah permintaan HTTP tertentu telah berhasil diselesaikan.
  • Encoding: Bilangan bulat 32-bit.
  • Contoh:
    • 400
    • 404

Http.useragent

  • Tujuan: Menyimpan header permintaan Agen Pengguna yang mencakup jenis aplikasi, sistem operasi, vendor software, atau versi software agen pengguna software yang meminta.
  • Encoding: String.
  • Contoh:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, seperti Gecko)
    • Chrome/41.0.2217.0
    • Safari/527,33

Metadata Populasi Lokasi

Location.city

  • Tujuan: Menyimpan nama kota.
  • Encoding: String.
  • Contoh:
    • Sunnyvale
    • Chicago
    • Málaga

Location.country_or_region

  • Tujuan: Menyimpan nama negara atau wilayah di dunia.
  • Encoding: String.
  • Contoh:
    • Amerika Serikat
    • Inggris Raya
    • Spanyol

Location.name

  • Tujuan: Menyimpan nama khusus perusahaan, seperti gedung atau kampus.
  • Encoding: String.
  • Contoh:
    • Kampus 7B
    • Gedung A2

Location.state

  • Tujuan: Menyimpan nama negara bagian, provinsi, atau wilayah.
  • Encoding: String.
  • Contoh:
    • California
    • Illinois
    • Ontario

Metadata Populasi Jaringan

Network.application_protocol

  • Tujuan: Menunjukkan protokol aplikasi jaringan.
  • Encoding: Jenis yang dihitung.
  • Kemungkinan Nilai:
    • UNKNOWN_APPLICATION_PROTOCOL
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Network.direction

  • Tujuan: Menunjukkan arah traffic jaringan.
  • Encoding: Jenis yang dihitung.
  • Kemungkinan Nilai:
    • UNKNOWN_DIRECTION
    • TIDAK TERBATAS
    • KELUAR
    • SIARAN TV

Network.email

  • Tujuan: Menentukan alamat email untuk pengirim/penerima.
  • Encoding: String.
  • Contoh: jcheng@company.example.com

Network.ip_protocol

  • Tujuan: Menunjukkan protokol IP.
  • Encoding: Jenis yang dihitung.
  • Kemungkinan Nilai:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP—Enhanced Interior Gateway Routing Protocol
    • ESP—Mengenkapsulasi Payload Keamanan
    • ETHERIP—Enkapsulasi Ethernet dalam IP
    • GRE—Enkapsulasi Pemilihan Rute Generik
    • ICMP—Protokol Pesan Kontrol Internet
    • IGMP—Protokol Pengelolaan Grup Internet
    • IP6IN4—Enkapsulasi IPv6
    • PIM—Protocol Independent Multicast
    • TCP—Protokol Kontrol Transmisi
    • UDP—Protokol Datagram Pengguna
    • VRRP—Protokol Redundansi Router Virtual

Network.received_bytes

  • Tujuan: Menentukan jumlah byte yang diterima.
  • Encoding: Bilangan bulat tanpa tanda tangan 64-bit.
  • Contoh: 12.453.654.768

Network.sent_bytes

  • Tujuan: Menentukan jumlah byte yang dikirim.
  • Encoding: Bilangan bulat tanpa tanda tangan 64-bit.
  • Contoh: 7.654.876

Network.session_duration

  • Tujuan: Menyimpan durasi sesi jaringan, biasanya ditampilkan dalam peristiwa lepas untuk sesi. Untuk menetapkan durasi, Anda dapat menetapkan network.session_duration.seconds = 1, (ketik int64) atau network.session_duration.nanos = 1 (ketik int32).
  • Encoding:
    • Bilangan bulat 32-bit—Untuk detik (network.session_duration.seconds).
    • Bilangan bulat 64-bit—Untuk nanodetik (network.session_duration.nanos).

Network.session_id

  • Tujuan: Menyimpan ID sesi jaringan.
  • Encoding: String.
  • Contoh: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Metadata Populasi Proses

Process.command_line

  • Tujuan: Menyimpan string command line untuk proses.
  • Encoding: String.
  • Contoh: Grup c:\windows\system32\net.exe

Process.product_specific_process_id

  • Tujuan: Menyimpan ID proses khusus produk.
  • Encoding: String.
  • Contoh: MySQL:78778 atau CS:90512

Process.parent_process.product_specific_process_id

  • Tujuan: Menyimpan ID proses khusus produk untuk proses induk.
  • Encoding: String.
  • Contoh: MySQL:78778 atau CS:90512

Process.file

  • Tujuan: Menyimpan nama file dari file yang digunakan oleh proses.
  • Encoding: String.
  • Contoh: report.xls

Process.parent_process

  • Tujuan: Menyimpan detail proses induk.
  • Encoding: Kata benda (Proses)

Process.pid

  • Tujuan: Menyimpan ID proses.
  • Encoding: String.
  • Contoh:
    • 308
    • 2002

Metadata populasi Registry

Registry.registry_key

  • Tujuan: Menyimpan kunci registry yang terkait dengan aplikasi atau komponen sistem.
  • Encoding: String.
  • Contoh: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Tujuan: Menyimpan nama nilai registry yang dikaitkan dengan aplikasi atau komponen sistem.
  • Encoding: String.
  • Contoh: TEMP

Registry.registry_value_data

  • Tujuan: Menyimpan data yang terkait dengan nilai registry.
  • Encoding: String.
  • Contoh: %USERPROFILE%\Setelan Lokal\Temp

Metadata Populasi Hasil Keamanan

Metadata Hasil Keamanan mencakup detail tentang risiko keamanan dan ancaman yang ditemukan oleh sistem keamanan, serta tindakan yang diambil untuk mengurangi risiko dan ancaman tersebut.

SecurityResult.about

  • Tujuan: Memberikan deskripsi hasil keamanan.
  • Encoding: Kata Benda.

SecurityResult.action

  • Tujuan: Menentukan tindakan keamanan.
  • Encoding: Jenis yang dihitung.
  • Nilai yang Mungkin: UDM Chronicle menentukan tindakan keamanan berikut:
    • IZINKAN
    • ALLOW_WITH_MODIFICATION—File atau email telah disemprot disinfektan atau ditulis ulang dan masih diteruskan.
    • BLOKIR
    • KARANTINA—Simpan untuk analisis nanti (bukan berarti memblokir).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Tujuan: Detail tindakan yang diambil akibat insiden keamanan yang diberikan oleh vendor. Tindakan keamanan sering kali paling baik diterjemahkan ke dalam kolom UDM Security_Result.action yang lebih umum. Namun, Anda mungkin perlu menulis aturan untuk deskripsi tindakan yang diberikan vendor secara tepat.
  • Encoding: String.
  • Contoh: Hapus, blokir, dekripsi, enkripsi.

SecurityResult.category

  • Tujuan: Menentukan kategori keamanan.
  • Encoding: Enum.
  • Nilai yang Mungkin: UDM Chronicle menentukan kategori keamanan berikut:
    • ACL_VIOLATION—Upaya akses tanpa izin, termasuk upaya akses ke file, layanan web, proses, objek web, dll.
    • AUTH_VIOLATION—Autentikasi gagal, misalnya sandi yang salah atau autentikasi 2 langkah yang buruk.
    • DATA_AT_REST—DLP: data sensor yang ditemukan saat nonaktif dalam pemindaian.
    • DATA_RESULTRUCTION—Mencoba menghancurkan/menghapus data.
    • DATA_EXFILTRATION—DLP: transmisi data sensor, menyalin ke thumb drive.
    • EKSPLLOIT—Percobaan tambahan, encoding protokol yang buruk, ROP, injeksi SQL, dll., baik berbasis jaringan maupun host.
    • EMAIL_PHISHING—Email phishing, pesan chat, dll.
    • EMAIL_SPAM—Email spam, pesan, dll.
    • EMAIL_SPOOFING—Alamat email sumber yang di-spoofing, dll.
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL—Jika saluran perintah dan kontrol diketahui.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS—Perintah dan kontrol, eksploitasi jaringan, aktivitas mencurigakan, potensi terowongan balik, dll.
    • NETWORK_SUSPICIOUS—Tidak terkait dengan keamanan, misalnya, URL tertaut ke perjudian, dll.
    • NETWORK_RECON—Pemindaian port yang terdeteksi oleh IDS, diperiksa oleh aplikasi web.
    • POLICY_VIOLATION—Pelanggaran kebijakan keamanan, termasuk firewall, proxy, dan pelanggaran aturan HIPS atau tindakan pemblokiran NAC.
    • SOFTWARE_MALICIOUS—Malware, spyware, rootkit, dll.
    • SOFTWARE_PUA—Aplikasi yang mungkin tidak diinginkan, seperti adware, dll.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • Tujuan: Menentukan keyakinan terkait peristiwa keamanan seperti yang diperkirakan oleh produk.
  • Encoding: Enum.
  • Nilai yang Mungkin: UDM Chronicle menentukan kategori keyakinan produk berikut:
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Tujuan: Detail tambahan terkait tingkat keyakinan terhadap peristiwa keamanan seperti yang diperkirakan oleh vendor produk.
  • Encoding: String.

SecurityResult.priority

  • Tujuan: Menentukan prioritas terkait peristiwa keamanan seperti yang diperkirakan oleh vendor produk.
  • Encoding: Enum.
  • Nilai yang Mungkin: UDM Chronicle menentukan kategori prioritas produk berikut:
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIUM_PRIORITY
    • HIGH_PRIORITY

SecurityResult.priority_details

  • Tujuan: Informasi khusus vendor tentang prioritas hasil keamanan.
  • Encoding: String.

SecurityResult.rule_id

  • Tujuan: ID untuk aturan keamanan.
  • Encoding: String.
  • Contoh:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Tujuan: Nama aturan keamanan.
  • Encoding: String.
  • Contoh: BlockInboundToOracle.

SecurityResult.severity

  • Tujuan: Tingkat keparahan peristiwa keamanan seperti yang diperkirakan oleh vendor produk menggunakan nilai yang ditentukan oleh Chronicle UDM.
  • Encoding: Enum.
  • Nilai yang Mungkin: UDM Chronicle menentukan tingkat keparahan produk berikut:
    • UNKNOWN_SEVERITY—Tidak berbahaya
    • INFORMASI—Tidak berbahaya
    • ERROR—Tidak berbahaya
    • RENDAH—Berbahaya
    • SEDANG—Berbahaya
    • TINGGI—Berbahaya

SecurityResult.severity_details

  • Tujuan: Tingkat keparahan peristiwa keamanan seperti yang diperkirakan oleh vendor produk.
  • Encoding: String.

SecurityResult.threat_name

  • Tujuan: Nama ancaman keamanan.
  • Encoding: String.
  • Contoh:
    • W32/File-A
    • Pemukul

SecurityResult.url_back_to_product

  • Tujuan: URL untuk mengarahkan Anda ke konsol produk sumber untuk peristiwa keamanan ini.
  • Encoding: String.

Metadata Populasi Pengguna

User.email_addresses

  • Tujuan: Menyimpan alamat email untuk pengguna.
  • Encoding: String Berulang.
  • Contoh: johnlocke@company.example.com

User.employee_id

  • Tujuan: Menyimpan ID karyawan sumber daya manusia untuk pengguna.
  • Encoding: String.
  • Contoh: 11223344.

User.first_name

  • Tujuan: Menyimpan nama depan untuk pengguna.
  • Encoding: String.
  • Contoh: Joni.

User.middle_name

  • Tujuan: Menyimpan nama tengah untuk pengguna.
  • Encoding: String.
  • Contoh: Anton.

User.last_name

  • Tujuan: Menyimpan nama belakang untuk pengguna.
  • Encoding: String.
  • Contoh: Locke.

User.group_identifiers

  • Tujuan: Menyimpan ID grup (GUID, LDAP OID, atau sejenisnya) yang terkait dengan pengguna.
  • Encoding: String Berulang.
  • Contoh: pengguna admin.

User.phone_numbers

  • Tujuan: Menyimpan nomor telepon untuk pengguna.
  • Encoding: String Berulang.
  • Contoh: 800-555-0101

User.title

  • Tujuan: Menyimpan jabatan untuk pengguna.
  • Encoding: String.
  • Contoh: Pengelola Hubungan Pelanggan.

User.user_display_name

  • Tujuan: Menyimpan nama tampilan untuk pengguna.
  • Encoding: String.
  • Contoh: John Locke.

User.userid

  • Tujuan: Menyimpan ID pengguna.
  • Encoding: String.
  • Contoh: jlocke.

User.windows_sid

  • Tujuan: Menyimpan ID keamanan (SID) Microsoft Windows yang terkait dengan pengguna.
  • Encoding: String.
  • Contoh: S-1-5-21-1180649209-123456789-3582944384-1064

Metadata Populasi Kerentanan

Vulnerability.about

  • Tujuan: Jika kerentanan berkaitan dengan kata benda tertentu (misalnya, dapat dieksekusi), tambahkan di sini.
  • Encoding: Kata Benda. Lihat Metadata Populasi Kata benda
  • Contoh: yang dapat dieksekusi.

Vulnerability.cvss_base_score

  • Tujuan: Skor dasar untuk Sistem Skor Kerentanan Umum (CVSS).
  • Encoding: Floating point.
  • Rentang: 0.0 hingga 10.0
  • Contoh: 8.5

Vulnerability.cvss_vector

  • Tujuan: Vektor untuk properti CVSS kerentanan. Skor CVSS terdiri dari metrik berikut:

    • Vektor Serangan (AV)
    • Kompleksitas Akses (AC)
    • Autentikasi (Au)
    • Dampak Kerahasiaan (C)
    • Dampak Integritas (I)
    • Dampak Ketersediaan (A)

    Untuk mengetahui informasi selengkapnya, lihat https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.

  • Encoding: String.

  • Contoh: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Tujuan: Versi CVSS untuk skor atau vektor kerentanan.
  • Encoding: String.
  • Contoh: 3.1

Vulnerability.description

  • Tujuan: Deskripsi kerentanan.
  • Encoding: String.

Vulnerability.first_found

  • Tujuan: Produk yang menyimpan histori pemindaian kerentanan harus diisi first_found saat kerentanan untuk aset ini pertama kali terdeteksi.
  • Encoding: String.

Vulnerability.last_found

  • Tujuan: Produk yang menyimpan histori pemindaian kerentanan harus mengisi last_found dengan waktu kerentanan untuk aset ini terdeteksi.
  • Encoding: String.

Vulnerability.name

  • Tujuan: Nama kerentanan.
  • Encoding: String.
  • Contoh: Versi OS yang tidak didukung terdeteksi.

Vulnerability.scan_end_time

  • Tujuan: Jika kerentanan ditemukan selama pemindaian aset, isi kolom ini dengan waktu pemindaian berakhir. Kosongkan kolom ini jika waktu berakhir tidak tersedia atau tidak berlaku.
  • Encoding: String.

Vulnerability.scan_start_time

  • Tujuan: Jika kerentanan ditemukan selama pemindaian aset, isi kolom ini dengan waktu pemindaian dimulai. Kosongkan kolom ini jika waktu mulai tidak tersedia atau tidak berlaku.
  • Encoding: String.

Vulnerability.severity

  • Tujuan: Tingkat keparahan kerentanan.
  • Encoding: Jenis yang dihitung.
  • Kemungkinan Nilai:
    • UNKNOWN_SEVERITY
    • RENDAH
    • SEDANG
    • TINGGI

Vulnerability.severity_details

  • Tujuan: Detail tingkat keparahan khusus vendor.
  • Encoding: String.

Populasi metadata pemberitahuan

idm.is_significant

  • Tujuan: Menentukan apakah pemberitahuan akan ditampilkan di Enterprise Insights.
  • Encoding: Boolean

idm.is_alert

  • Tujuan: Mengidentifikasi apakah peristiwa merupakan notifikasi.
  • Encoding: Boolean

Kolom wajib dan opsional berdasarkan Jenis Peristiwa

Bagian ini menjelaskan kolom wajib diisi versus opsional yang harus diisi, bergantung pada jenis peristiwa UDM. Untuk deskripsi kolom ini, lihat daftar kolom Model Data Terpadu.

EMAIL_TRANSACTION

Kolom yang wajib diisi:

  • metadata: Sertakan kolom yang wajib diisi.
  • principal: Isi dengan informasi tentang mesin tempat pesan email berasal. Misalnya, alamat IP pengirim.

Kolom opsional:

  • about: URL, IP, domain, dan lampiran file apa pun yang disematkan dalam isi email.
  • securityResult.about: URL, IP, dan file yang disematkan dalam isi email buruk.
  • network.email: Informasi pengirim/penerima email.
  • utama: Jika ada data mesin klien mengenai siapa yang mengirim email, isi detail server pada akun utama (misalnya, proses klien, nomor port, nama pengguna, dll.).
  • target: Jika ada data server email tujuan, isi detail server di target (misalnya, alamat IP).
  • perantara: Jika ada data server email atau data proxy email, isi detail server sebagai perantara.

Catatan:

  • Jangan pernah mengisi principal.email atau target.email.
  • Hanya isi kolom email di security_result.about atau network.email.
  • Hasil keamanan tingkat atas biasanya memiliki kata benda (opsional untuk spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ, dan FILE_OPEN

Kolom yang wajib diisi:

  • metadata: Sertakan kolom yang wajib diisi.
  • utama:
    • Minimal satu ID mesin.
    • (Opsional) Isi principal.process dengan informasi tentang proses yang mengakses file.
  • target:
    • Jika file bersifat jarak jauh (misalnya berbagi SMB), target harus menyertakan setidaknya satu ID mesin untuk mesin target. Jika tidak, semua ID mesin harus kosong.
    • Isi target.file dengan informasi file.

Opsional:

  • security_result: Jelaskan aktivitas berbahaya yang terdeteksi.
  • principal.user: Mengisi apakah informasi pengguna tentang proses tersebut tersedia atau tidak.

FILE_COPY

Kolom yang wajib diisi:

  • metadata: Sertakan kolom wajib diisi seperti yang dijelaskan.
  • utama:
    • Minimal satu ID mesin.
    • (Opsional) Isi principal.process dengan informasi tentang proses yang melakukan operasi penyalinan file.
  • src:
    • Isi src.file dengan informasi tentang file sumber.
    • Jika file bersifat jarak jauh (misalnya berbagi SMB), src harus menyertakan setidaknya satu ID mesin untuk mesin sumber yang menyimpan file sumber.
  • target:
    • Isi target.file dengan informasi tentang file target.
    • Jika file bersifat jarak jauh (misalnya berbagi SMB), kolom target harus menyertakan setidaknya satu ID mesin untuk mesin target yang menyimpan file target.

Kolom opsional:

  • security_result: Jelaskan aktivitas berbahaya yang terdeteksi.
  • principal.user: Mengisi apakah informasi pengguna tentang proses tersebut tersedia atau tidak.

MUTEX_CREATION

Kolom yang wajib diisi:

  • metadata: Sertakan kolom yang wajib diisi.
  • utama:
    • Minimal satu ID mesin.
    • Isi principal.process dengan informasi tentang proses yang membuat mutex.
  • target:
    • Isi target.resource.
    • Isi target.resource.type dengan MUTEX.
    • Isi target.resource.name dengan nama mutex yang dibuat.

Opsional:

  • security_result: Jelaskan aktivitas berbahaya yang terdeteksi.
  • principal.user: Mengisi apakah informasi pengguna tentang proses tersebut tersedia atau tidak.
Contoh UDM untuk MUTEX_CREATION

Contoh berikut mengilustrasikan cara memformat peristiwa berjenis MUTEX_CREATION untuk UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi ke dalam kategori UDM berikut:

  • metadata: Informasi latar belakang tentang peristiwa.
  • prinsip utama: Detail perangkat dan proses.
  • target: Informasi tentang mutex.

NETWORK_CONNECTION

Kolom yang wajib diisi:

  • metadata: event_Timestamp
  • principal: Menyertakan detail tentang mesin yang memulai koneksi jaringan (misalnya, sumber).
  • target: Menyertakan detail tentang mesin target jika berbeda dengan mesin utama.
  • network: Merekam detail tentang koneksi jaringan (port, protokol, dll.).

Kolom opsional:

  • principal.process dan target.process: Menyertakan informasi proses yang terkait dengan akun utama dan target koneksi jaringan (jika tersedia).
  • principal.user dan target.user: Menyertakan informasi pengguna yang terkait dengan akun utama dan target koneksi jaringan (jika tersedia).

NETWORK_HTTP

Jenis peristiwa NETWORK_HTTP mewakili koneksi jaringan HTTP dari akun utama ke server web target.

Kolom yang wajib diisi:

  • metadata: Sertakan kolom yang wajib diisi.
  • utama: Mewakili klien yang memulai permintaan web dan menyertakan minimal satu ID mesin (misalnya, nama host, IP, MAC, ID aset kepemilikan) atau ID pengguna (misalnya, nama pengguna). Jika koneksi jaringan tertentu dijelaskan dan nomor port klien tersedia, hanya satu alamat IP yang harus ditentukan beserta nomor port yang terkait dengan koneksi jaringan tersebut (meskipun ID mesin lainnya dapat diberikan untuk menggambarkan perangkat peserta dengan lebih baik). Jika tidak ada port sumber yang tersedia, setiap dan semua alamat IP dan MAC, ID aset, dan nilai nama host yang menjelaskan perangkat utama dapat ditentukan.
  • target: Menunjukkan server web, dan menyertakan informasi perangkat serta nomor port secara opsional. Jika nomor port target tersedia, tentukan hanya satu alamat IP selain nomor port yang terkait dengan koneksi jaringan tersebut (meskipun beberapa ID mesin lain dapat diberikan untuk target). Untuk target.url, isi dengan URL yang diakses.
  • network dan network.http: Mencakup detail tentang koneksi jaringan HTTP. Anda harus mengisi kolom berikut:
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Kolom opsional:

  • about: Mewakili entity lain yang ditemukan dalam transaksi HTTP (misalnya, file yang diupload atau didownload).
  • intermediary: Mewakili server proxy (jika berbeda dengan utama atau target).
  • metadata: Isi kolom metadata lainnya.
  • network: Mengisi kolom jaringan lainnya.
  • network.email: Jika koneksi jaringan HTTP berasal dari URL yang muncul di pesan email, isi network.email dengan detailnya.
  • observer: Mewakili sniffer pasif (jika ada).
  • security_result: Menambahkan satu atau beberapa item ke kolom security_result untuk menunjukkan aktivitas berbahaya yang terdeteksi.
Contoh UDM untuk NETWORK_HTTP

Contoh berikut menggambarkan cara peristiwa antivirus Sophos jenis NETWORK_HTTP akan dikonversi ke format Chronicle UDM.

Berikut adalah peristiwa antivirus Sophos asli:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Berikut adalah cara memformat informasi yang sama di Proto3 menggunakan sintaksis UDM Chronicle:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Chronicle-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi ke dalam kategori UDM berikut:

  • metadata: Informasi latar belakang tentang peristiwa.
  • prinsip utama: Perangkat keamanan yang mendeteksi peristiwa.
  • target: Perangkat yang menerima software berbahaya.
  • network: Informasi jaringan tentang host berbahaya.
  • security_result: Detail keamanan tentang software berbahaya.
  • tambahan: Informasi vendor yang saat ini berada di luar cakupan UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Kolom yang wajib diisi:

  • metadata: Sertakan kolom yang wajib diisi.
  • utama:
    • Minimal satu ID mesin.
    • Untuk peristiwa injeksi proses dan penghentian proses, jika tersedia, principal.process harus menyertakan informasi tentang proses yang memulai tindakan (misalnya, untuk peristiwa peluncuran proses, principal.process harus menyertakan detail tentang proses induk jika tersedia).
  • target:
    • target.process: Menyertakan informasi tentang proses yang sedang diinjeksi, dibuka, diluncurkan, atau dihentikan.
    • Jika proses target dilakukan dari jarak jauh, target harus menyertakan setidaknya satu ID mesin untuk perangkat target (misalnya, alamat IP, MAC, nama host, atau ID aset pihak ketiga).

Kolom opsional:

  • security_result: Jelaskan aktivitas berbahaya yang terdeteksi.
  • principal.user dan target.user: Mengisi proses yang memulai (utama) dan proses target jika informasi pengguna tersedia.
Contoh UDM untuk PROCESS_LAUNCH

Contoh berikut menggambarkan cara memformat peristiwa PROCESS_LAUNCH menggunakan sintaksis UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi ke dalam kategori UDM berikut:

  • metadata: Informasi latar belakang tentang peristiwa.
  • prinsip utama: Detail perangkat.
  • target: Detail proses.

PROCESS_MODULE_LOAD

Kolom yang wajib diisi:

  • metadata: Sertakan kolom yang wajib diisi.
  • utama:
    • Minimal satu ID mesin.
    • principal.process: Proses memuat modul.
  • target:
    • target.process: Menyertakan informasi tentang proses.
    • target.process.file: Modul dimuat (misalnya, DLL atau objek bersama).

Kolom opsional:

  • security_result: Jelaskan aktivitas berbahaya yang terdeteksi.
  • principal.user: Mengisi apakah informasi pengguna tentang proses tersebut tersedia atau tidak.
Contoh UDM untuk PROCESS_MODULE_LOAD

Contoh berikut menggambarkan cara memformat peristiwa PROCESS_MODULE_LOAD menggunakan sintaksis UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi ke dalam kategori UDM berikut:

  • metadata: Informasi latar belakang tentang peristiwa.
  • principal: Detail tentang perangkat dan proses yang memuat modul.
  • target: Detail proses dan modul.

PROCESS_PRIVILEGE_ESCALATION

Kolom yang wajib diisi:

  • metadata: Sertakan kolom yang wajib diisi.
  • utama:
    • Minimal satu ID mesin.
    • principal.process: Proses memuat modul.
    • principal.user: Pengguna memuat modul.

Kolom opsional:

  • security_result: Jelaskan aktivitas berbahaya yang terdeteksi.
Contoh UDM untuk PROCESS_PRIVILEGE_ESCALATION

Contoh berikut mengilustrasikan cara memformat peristiwa PROCESS_PRIVILEGE_ESCALATION menggunakan sintaksis UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi ke dalam kategori UDM berikut:

  • metadata: Informasi latar belakang tentang peristiwa.
  • principal: Detail tentang perangkat, pengguna, dan proses yang memuat modul.
  • target: Detail proses dan modul.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Kolom yang wajib diisi:

  • metadata: Sertakan kolom yang wajib diisi.
  • utama:
    • Minimal satu ID mesin.
    • Jika proses mode pengguna melakukan modifikasi registry, principal.process harus menyertakan informasi tentang proses yang mengubah registry.
    • Jika proses kernel melakukan modifikasi registry, utama tidak boleh menyertakan informasi proses.
  • target:
    • target.registry: Jika registry target bersifat jarak jauh, target harus menyertakan setidaknya satu ID untuk mesin target (misalnya, alamat IP, MAC, nama host, atau ID aset pihak ketiga).
    • target.registry.registry_key: Semua peristiwa registry harus menyertakan kunci registry yang terpengaruh.

Opsional:

  • security_result: Jelaskan aktivitas berbahaya yang terdeteksi. Misalnya, kunci registry yang buruk.
  • principal.user: Mengisi apakah informasi pengguna tentang proses tersebut tersedia atau tidak.
Contoh UDM untuk REGISTRY_MODIFICATION

Contoh berikut menggambarkan cara memformat peristiwa REGISTRY_MODIFICATION di Proto3 menggunakan sintaksis UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi ke dalam kategori UDM berikut:

  • metadata: Informasi latar belakang tentang peristiwa.
  • prinsip utama: Detail perangkat, pengguna, dan proses.
  • target: Entri registry yang terpengaruh oleh modifikasi.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Kolom yang wajib diisi:

  • extensions: Untuk SCAN_VULN_HOST dan SCAN_VULN_NETWORK, tentukan kerentanan menggunakan kolom extensions.vuln.
  • metadata: event_Timestamp
  • observer: Mengambil informasi tentang pemindai itu sendiri. Jika pemindai melakukannya dari jarak jauh, detail mesin harus diambil oleh kolom observer. Untuk pemindai lokal, biarkan kosong.
  • target: Mengambil informasi tentang mesin yang menyimpan objek yang dipindai. Jika file sedang dipindai, target.file harus mengambil informasi tentang file yang dipindai. Jika proses sedang dipindai, target.process harus menangkap informasi tentang proses pemindaian.

Kolom opsional:

  • target: Detail pengguna tentang objek target (misalnya, pembuat file atau pemilik proses) harus direkam di target.user.
  • security_result: Jelaskan aktivitas berbahaya yang terdeteksi.
Contoh UDM untuk SCAN_HOST

Contoh berikut mengilustrasikan cara memformat peristiwa berjenis SCAN_HOST untuk UDM Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi ke dalam kategori UDM berikut:

  • metadata: Informasi latar belakang tentang peristiwa.
  • target: Perangkat yang menerima software berbahaya.
  • observer: Perangkat yang mengamati dan melaporkan peristiwa yang dimaksud.
  • security_result: Detail keamanan tentang software berbahaya.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Kolom yang wajib diisi:

  • utama: Untuk semua peristiwa SCHEDULED_TASK, akun utama harus menyertakan ID mesin dan ID pengguna.
  • target: Target harus menyertakan resource yang valid dan jenis resource yang ditentukan sebagai "TASK".

Kolom opsional:

  • security_result: Jelaskan aktivitas berbahaya yang terdeteksi.
Contoh UDM untuk SCHEDULED_TASK_CREATION

Contoh berikut menggambarkan cara format peristiwa jenis SCHEDULED_TASK_CREATION yang dapat diformat untuk UDM Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi ke dalam kategori UDM berikut:

  • metadata: Informasi latar belakang tentang peristiwa.
  • prinsip utama: Perangkat yang menjadwalkan tugas mencurigakan.
  • target: Software yang ditargetkan oleh tugas mencurigakan.
  • perantara: Perantara yang terlibat dengan tugas mencurigakan.
  • security_result: Detail keamanan tentang tugas yang mencurigakan.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Kolom yang wajib diisi:

  • utama: Harus ada, tidak kosong, dan menyertakan ID mesin.
  • target: Harus ada, tidak kosong, dan menyertakan resource dengan jenis yang ditentukan sebagai SETTING
Contoh UDM untuk Jenis Peristiwa SETTING_MODIFICATION

Contoh berikut menggambarkan cara format peristiwa jenis SETTING_MODIFICATION untuk Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa tersebut telah dibagi ke dalam kategori UDM berikut:

  • metadata: Informasi latar belakang tentang peristiwa.
  • prinsip utama: Informasi tentang perangkat yang digunakan untuk memodifikasi setelan.
  • target: Detail resource.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Kolom yang wajib diisi:

  • target: Menyertakan ID pengguna dan menentukan proses atau aplikasi.
  • utama: Sertakan minimal satu ID mesin (ALAMAT IP atau MAC, nama host, atau ID aset).
Contoh UDM untuk SERVICE_UNSPECIFIED

Contoh berikut menggambarkan cara format peristiwa berjenis SERVICE_UNSPECIFIED untuk Chronicle UDM:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi ke dalam kategori UDM berikut:

  • metadata: Informasi latar belakang tentang peristiwa.
  • prinsip utama: Detail perangkat dan lokasi.
  • target: Nama host dan ID pengguna.
  • application: Nama aplikasi dan jenis resource.

STATUS_HEARTBEAT, STATUS_STARTNAIK, STATUS_SHUTDOWN, STATUS_UPDATE

Kolom yang wajib diisi:

  • metadata: Sertakan kolom yang wajib diisi.
  • utama: Minimal satu ID mesin (IP atau ALAMAT MAC, nama host, atau ID aset).
Contoh UDM untuk STATUS_HEARTBEAT

Contoh berikut mengilustrasikan cara memformat peristiwa berjenis STATUS_HEARTBEAT untuk Chronicle UDM:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi ke dalam kategori UDM berikut:

  • metadata: Informasi latar belakang tentang peristiwa.
  • prinsip utama: Detail perangkat dan lokasi.
  • perantara: Alamat IP perangkat.
  • security_result: Detail hasil keamanan.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Kolom yang wajib diisi:

  • utama: Menyertakan ID pengguna untuk pengguna yang melakukan operasi di log dan ID mesin untuk mesin tempat log disimpan atau (dalam kasus penghapusan total).
Contoh UDM untuk SYSTEM_AUDIT_LOG_WIPE

Contoh berikut menggambarkan cara memformat peristiwa berjenis SYSTEM_AUDIT_LOG_WIPE untuk Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi ke dalam kategori UDM berikut:

  • metadata: Informasi latar belakang tentang peristiwa.
  • prinsip utama: Detail perangkat dan pengguna.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Kolom yang wajib diisi:

  • metadata: Sertakan kolom yang wajib diisi.
  • utama: Jika akun pengguna diubah dari lokasi jarak jauh, isi akun utama dengan informasi tentang perangkat asal modifikasi pengguna.
  • target: Mengisi target.user dengan informasi tentang pengguna yang telah diubah.
  • intermediary: Untuk login SSO, perantara harus menyertakan minimal satu ID mesin untuk server SSO jika tersedia.

USER_COMMUNICATION

Kolom yang wajib diisi:

  • utama: Isi kolom principal.user dengan detail yang terkait dengan komunikasi yang dimulai oleh pengguna (pengirim), seperti pesan chat di Google Chat atau Slack, konferensi video atau suara di Zoom atau Google Meet, atau koneksi VoIP.

Kolom opsional:

  • target: (Direkomendasikan) Isi kolom target.user dengan informasi tentang pengguna target (penerima) resource komunikasi cloud. Isi kolom target.application dengan informasi tentang aplikasi komunikasi cloud target.

USER_CREATION, USER_DELETION

Kolom yang wajib diisi:

  • metadata: event_stempel waktu
  • principal: Menyertakan informasi tentang mesin tempat permintaan untuk membuat atau menghapus pengguna berasal. Untuk pembuatan atau penghapusan pengguna lokal, utama harus menyertakan minimal satu ID mesin untuk komputer asal.
  • target: Lokasi tempat pengguna dibuat. Juga harus menyertakan informasi pengguna (misalnya, target.user).

Kolom opsional:

  • utama: Detail pengguna dan proses untuk perangkat tempat permintaan pembuatan atau penghapusan pengguna dimulai.
  • target: Informasi tentang mesin target (jika berbeda dengan mesin utama).

USER_LOGIN, USER_LOGOUT

Kolom yang wajib diisi:

  • metadata: Sertakan kolom yang wajib diisi.
  • utama: Untuk aktivitas pengguna jarak jauh (misalnya, login jarak jauh), isi akun utama dengan informasi tentang mesin yang menjadi asal aktivitas pengguna. Untuk aktivitas pengguna lokal (misalnya, login lokal), jangan tetapkan utama.
  • target: Mengisi target.user dengan informasi tentang pengguna yang telah login atau logout. Jika akun utama tidak ditetapkan (misalnya, login lokal), target juga harus menyertakan setidaknya satu ID mesin yang mengidentifikasi mesin target. Untuk aktivitas pengguna komputer (misalnya, login jarak jauh, SSO, Layanan Cloud, VPN), target harus menyertakan informasi tentang aplikasi target, komputer target, atau server VPN target.
  • intermediary: Untuk login SSO, perantara harus menyertakan minimal satu ID mesin untuk server SSO jika tersedia.
  • network dan network.http: Jika login dilakukan melalui HTTP, Anda harus menempatkan semua detail yang tersedia di network.ip_protocol, network.application_protocol, dan network.http.
  • ekstensi autentikasi: Harus mengidentifikasi jenis sistem autentikasi yang terkait dengan peristiwa (misalnya, komputer, SSO, atau VPN) dan mekanisme yang digunakan (nama pengguna dan sandi, OTP, dll.).
  • security_result: Menambahkan kolom security_result untuk menunjukkan status login jika gagal. Tentukan security_result.category dengan nilai AUTH_VIOLATION jika autentikasi gagal.

USER_RESOURCE_ACCESS

Kolom yang wajib diisi:

  • Principal: Isi kolom principal.user dengan detail tentang upaya untuk mengakses resource cloud (misalnya, kasus Salesforce, kalender Office365, Dokumen Google, atau tiket ServiceNow).
  • target: Mengisi kolom target.resource dengan informasi tentang resource cloud target.

Kolom opsional:

  • target.application: (Direkomendasikan) Isi kolom target.application dengan informasi tentang aplikasi cloud target.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Kolom yang wajib diisi:

  • Principal: Isi kolom principal.user dengan detail yang terkait dengan pengguna yang dibuat dalam resource cloud (misalnya, kasus Salesforce, kalender Office365, Dokumen Google, atau tiket ServiceNow).
  • target: Mengisi kolom target.resource dengan informasi tentang resource cloud target.

Kolom opsional:

  • target.application: (Direkomendasikan) Isi kolom target.application dengan informasi tentang aplikasi cloud target.

USER_RESOURCE_UPDATE_CONTENT

Kolom yang wajib diisi:

  • Principal: Isi kolom principal.user dengan detail yang terkait dengan pengguna yang kontennya diperbarui dalam resource cloud (misalnya, kasus Salesforce, kalender Office365, Google Dokumen, atau tiket ServiceNow).
  • target: Mengisi kolom target.resource dengan informasi tentang resource cloud target.

Kolom opsional:

  • target.application: (Direkomendasikan) Isi kolom target.application dengan informasi tentang aplikasi cloud target.

USER_RESOURCE_UPDATE_PERMISSIONS

Kolom yang wajib diisi:

  • Principal: Isi kolom principal.user dengan detail yang terkait dengan pengguna yang izinnya diperbarui dalam resource cloud (misalnya, kasus Salesforce, kalender Office365, Google Dokumen, atau tiket ServiceNow).
  • target: Mengisi kolom target.resource dengan informasi tentang resource cloud target.

Kolom opsional:

  • target.application: (Direkomendasikan) Isi kolom target.application dengan informasi tentang aplikasi cloud target.

USER_UNCATEGORIZED

Kolom yang wajib diisi:

  • metadata: event_stempel waktu
  • principal: Menyertakan informasi tentang mesin tempat permintaan untuk membuat atau menghapus pengguna berasal. Untuk pembuatan atau penghapusan pengguna lokal, utama harus menyertakan minimal satu ID mesin untuk komputer asal.
  • target: Lokasi tempat pengguna dibuat. Juga harus menyertakan informasi pengguna (misalnya, target.user).

Kolom opsional:

  • utama: Detail pengguna dan proses untuk perangkat tempat permintaan pembuatan atau penghapusan pengguna dimulai.
  • target: Informasi tentang mesin target (jika berbeda dengan mesin utama).