Guida all'utilizzo di Unified Data Model

Questo documento fornisce una descrizione più dettagliata dei campi nello schema Unified Data Model (UDM) e di quelli obbligatori rispetto a quelli facoltativi, a seconda del tipo di evento. Per la valutazione del motore delle regole, il prefisso inizia con udm., mentre il prefisso del normalizzatore basato sulla configurazione (CBN) inizia con event.idm.read_only_udm.

Completamento dei metadati degli eventi

La sezione dei metadati degli eventi per gli eventi UDM memorizza informazioni generali su ogni evento.

Metadata.event_type

  • Finalità: specifica il tipo di evento. Se un evento ha più tipi possibili, questo valore deve specificare il tipo più specifico.
  • Obbligatorio:
  • Codifica: deve essere uno dei tipi enumerati event_type UDM predefiniti.
  • Valori possibili:di seguito sono elencati tutti i valori possibili per event_type nell'UDM.

Eventi di analisi:

  • ANALYST_ADD_COMMENT
  • ANALYST_UPDATE_PRIORITY
  • ANALYST_UPDATE_REASON
  • ANALYST_UPDATE_REPUTATION
  • ANALYST_UPDAATE_RISK_SCORE
  • ANALYST_UPDATE_ROOT_CAUSE
  • ANALYST_UPDATE_SEVERITY_SCORE
  • ANALYST_UPDATE_STATUS
  • ANALYST_UPDATE_VERDICT

Eventi del dispositivo:

  • DEVICE_CONFIG_UPDATE
  • DEVICE_FIRMWARE_UPDATE
  • DEVICE_PROGRAM_DOWNLOAD
  • DEVICE_PROGRAM_UPLOAD

Eventi email:

  • EMAIL_UNCATEGORIZED
  • EMAIL_TRANSACTION
  • EMAIL_URL_CLICK

Eventi non specificati:

  • EVENTTYPE_UNSPECIFIED

Eventi relativi ai file eseguiti su un endpoint:

  • FILE_UNCATEGORIZED
  • FILE_COPY (ad esempio, copia di un file su una chiavetta USB)
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_MOVE
  • FILE_OPEN (ad esempio, l'apertura di un file potrebbe indicare una violazione della sicurezza)
  • FILE_READ (ad esempio, lettura di un file di password)
  • FILE_SYNC

Eventi che non rientrano in nessun'altra categoria, inclusi gli eventi di Windows non classificati.

  • GENERIC_EVENT

Eventi di attività di gruppo:

  • GROUP_UNCATEGORIZED
  • GROUP_CREATION
  • GROUP_DELETION
  • GROUP_MODIFICATION

Eventi mutex (oggetto di mutua esclusione):

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Telemetria di rete, inclusi i payload di protocollo non elaborati, come DHCP e DNS, nonché riepiloghi dei protocolli per protocolli come HTTP, SMTP e FTP ed eventi di flusso e connessione da Netflow e firewall.

  • NETWORK_UNCATEGORIZED
  • NETWORK_CONNECTION (ad esempio, i dettagli della connessione di rete da un firewall)
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_FLOW (ad esempio, statistiche sui flussi aggregate da Netflow)
  • NETWORK_FTP
  • NETWORK_HTTP
  • NETWORK_SMTP

Eventuali eventi relativi a un processo, ad esempio l'avvio di un processo, la creazione di un elemento dannoso da parte di un processo, l'inserimento di un processo in un altro processo, la modifica di una chiave del Registro di sistema o la creazione di un file dannoso sul disco.

  • PROCESS_UNCATEGORIZED
  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION

Utilizza gli eventi REGISTRY anziché gli eventi SETTING quando hai a che fare con eventi di registro specifici di Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Eventi risorsa:

  • RESOURCE_CREATION
  • RESOURCE_DELETION
  • RESOURCE_PERMISSIONS_CHANGE
  • RESOURCE_READ
  • RESOURCE_WRITTEN

Eventi orientati alla scansione. Sono incluse le scansioni on demand e i rilevamenti di comportamento eseguiti dai prodotti di sicurezza degli endpoint (EDR, AV, DLP). Viene utilizzato solo quando si collega un SecurityResult a un altro tipo di evento (ad esempio PROCESS_LAUNCH).

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_NETWORK
  • SCAN_PROCESS
  • SCAN_PROCESS_BEHAVIORS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Eventi delle attività pianificate (Utilità di pianificazione di Windows, cron e così via):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_MODIFICATION

Eventi di servizio:

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_MODIFICATION
  • SERVICE_START
  • SERVICE_STOP

Eventi di impostazione, ad esempio quando un'impostazione di sistema viene modificata su un endpoint. Per informazioni su come impostare i requisiti degli eventi, consulta questa pagina.

  • SETTING_UNCATEGORIZED
  • SETTING_CREATION
  • SETTING_DELETION
  • SETTING_MODIFICATION

Messaggi di stato dei prodotti di sicurezza per indicare che gli agenti sono attivi e per inviare la versione, l'impronta o altri tipi di dati.

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indica che il prodotto è attivo)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (aggiornamento del software o dell'impronta)

Eventi del log di controllo del sistema:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Eventi relativi all'attività di autenticazione utente:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (ad esempio, quando un utente accede fisicamente a un sito)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS
  • USER_STATS

Metadata.collected_timestamp

  • Finalità:codifica il timestamp GMT quando l'evento è stato raccolto dall'infrastruttura di raccolta locale del fornitore.
  • Codifica: RFC 3339, a seconda del formato del timestamp JSON o Proto3.
  • Esempio:
    • RFC 3339: "2019-09-10T20:32:31-08:00"
    • Formato Proto3: "2012-04-23T18:25:43.511Z"

Metadata.event_timestamp

  • Finalità:codifica il timestamp GMT in cui è stato generato l'evento.
  • Obbligatorio:
  • Codifica: RFC 3339, a seconda del formato del timestamp JSON o Proto3.
  • Esempio:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Formato Proto3: 2012-04-23T18:25:43.511Z

Metadata.description

  • Finalità: descrizione leggibile dell'evento.
  • Codifica: stringa alfanumerica, punteggiatura consentita, massimo 1024 byte
  • Esempio: il file c:\bar\foo.exe non può accedere al documento sensibile c:\documents\earnings.docx.

Metadata.product_event_type

  • Finalità: nome o tipo di evento breve, descrittivo, leggibile e specifico per il prodotto.
  • Codifica:stringa alfanumerica, sono consentiti i segni di punteggiatura, massimo 64 byte.
  • Esempi:
    • Evento di creazione del registry
    • ProcessRollUp
    • È stata rilevata un'escalation dei privilegi
    • Malware bloccato

Metadata.product_log_id

  • Finalità: codifica un identificatore evento specifico del fornitore per identificare in modo univoco l'evento (un GUID). Gli utenti potrebbero utilizzare questo identificatore per cercare l'evento in questione nella console proprietaria del fornitore.
  • Codifica:stringa alfanumerica sensibile alle maiuscole, punteggiatura consentita, massimo 256 byte.
  • Esempio: ABcd1234-98766

Metadata.product_name

  • Finalità: specifica il nome del prodotto.
  • Codifica:stringa alfanumerica sensibile alle maiuscole, punteggiatura consentita, massimo 256 byte.
  • Esempi:
    • Falcon
    • Symantec Endpoint Protection

Metadata.product_version

  • Finalità: specifica la versione del prodotto.
  • Codifica: stringa alfanumerica, punti e trattini consentiti, massimo 32 byte
  • Esempi:
    • 1.2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • Finalità: URL che rimanda a un sito web pertinente in cui puoi visualizzare ulteriori informazioni su questo evento specifico (o sulla categoria di eventi generale).
  • Codifica:URL RFC 3986 valido con parametri facoltativi come informazioni sulla porta e così via. Deve avere un prefisso del protocollo prima dell'URL (ad esempio https:// o http://).
  • Esempio: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Finalità: specifica il nome del fornitore del prodotto.
  • Codifica: stringa alfanumerica sensibile alle maiuscole, punteggiatura consentita, massimo 256 byte
  • Esempi:
    • CrowdStrike
    • Symantec

Popolazione dei metadati dei nomi

In questa sezione, la parola Noun è un termine generale utilizzato per rappresentare le entità principal, src, target, intermediary, observer e about. Queste entità hanno attributi comuni, ma rappresentano oggetti diversi in un evento. Per saperne di più sulle entità e su cosa rappresentano in un evento, consulta Formattazione dei dati dei log come UDM.

Noun.asset_id

  • Finalità: identificatore univoco del dispositivo specifico del fornitore (ad esempio, un GUID generato durante l'installazione del software di sicurezza endpoint su un nuovo dispositivo e utilizzato per monitorare il dispositivo univoco nel tempo).
  • Codifica: VendorName.ProductName:ID dove VendorName è un nome del fornitore senza distinzione tra maiuscole e minuscole, come "Carbon Black", ProductName è un nome del prodotto senza distinzione tra maiuscole e minuscole, come "Response" o "Endpoint Protection", e ID è un identificatore cliente specifico del fornitore univoco a livello globale all'interno dell'ambiente del cliente (ad esempio, un GUID o un valore univoco che identifica un dispositivo univoco). VendorName e ProductName sono alfanumerici e non possono contenere più di 32 caratteri. L'ID può contenere un massimo di 128 caratteri e può includere caratteri alfanumerici, trattini e punti.
  • Esempio: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Finalità: indirizzo email
  • Codifica:formato dell'indirizzo email standard.
  • Esempio: johns@test.altostrat.com

Noun.file

Noun.hostname

  • Finalità: campo del nome host o del nome di dominio del client. Non includere se è presente un URL.
  • Codifica:nome host RFC 1123 valido.
  • Esempi:
    • userwin10
    • www.altostrat.com

Noun.platform

  • Finalità: sistema operativo della piattaforma.
  • Codifica: enum
  • Valori possibili:
    • LINUX
    • MAC
    • WINDOWS
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • Finalità: livello della patch del sistema operativo della piattaforma.
  • Codifica:stringa alfanumerica con punteggiatura, massimo 64 caratteri.
  • Esempio: build 17134.48

Noun.platform_version

  • Finalità: versione del sistema operativo della piattaforma.
  • Codifica:stringa alfanumerica con punteggiatura, massimo 64 caratteri.
  • Esempio: Microsoft Windows 10 versione 1803

Noun.process

Noun.ip

  • Finalità:
    • Un singolo indirizzo IP associato a una connessione di rete.
    • Uno o più indirizzi IP associati a un dispositivo del partecipante al momento dell'evento (ad esempio, se un prodotto EDR conosce tutti gli indirizzi IP associati a un dispositivo, può codificarli tutti all'interno dei campi IP).
  • Codifica:indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.
  • Ripetibilità:
    • Se un evento descrive una connessione di rete specifica (ad esempio, srcip:srcport > dstip:dstport), il fornitore deve fornire un solo indirizzo IP.
    • Se un evento descrive un'attività generale che si verifica sul dispositivo di un partecipante, ma non una connessione di rete specifica, il fornitore potrebbe fornire tutti gli indirizzi IP associati al dispositivo al momento dell'evento.
  • Esempi:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • Finalità: numero della porta di rete di origine o di destinazione quando una connessione di rete specifica è descritta all'interno di un evento.
  • Codifica:numero di porta TCP/IP valido compreso tra 1 e 65.535.

  • Esempi:

    • 80
    • 443

Noun.mac

  • Finalità: uno o più indirizzi MAC associati a un dispositivo.
  • Codifica: indirizzo MAC valido (EUI-48) in ASCII.
  • Ripetibilità: il fornitore potrebbe fornire tutti gli indirizzi MAC associati al dispositivo al momento dell'evento.
  • Esempi:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • Finalità: dominio a cui appartiene il dispositivo (ad esempio il dominio Windows).
  • Codifica: stringa del nome di dominio valido (massimo 128 caratteri).
  • Esempio: corp.altostrat.com

Noun.registry

Noun.url

  • Finalità: URL standard
  • Codifica:URL (RFC 3986). Deve avere un prefisso di protocollo valido (ad esempio https:// o ftp://). Deve includere il dominio e il percorso completi. Potrebbe includere i parametri dell'URL.
  • Esempio: https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

Completamento dei metadati di autenticazione

Authentication.AuthType

  • Finalità: tipo di sistema a cui è associato un evento di autenticazione (UDM di Google Security Operations).
  • Codifica: tipo enumerato.
  • Valori possibili:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE: autenticazione macchina
    • PHYSICAL: autenticazione fisica (ad esempio, un lettore di badge)
    • SSO
    • TACACS: protocollo della famiglia TACACS per l'autenticazione dei sistemi di rete (ad esempio TACACS o TACACS+).
    • VPN

Authentication.Authentication_Status

  • Finalità: descrive lo stato di autenticazione di un utente o di una credenziale specifica.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_AUTHENTICATION_STATUS: stato di autenticazione predefinito
    • ACTIVE: il metodo di autenticazione è in uno stato attivo
    • SUSPENDED: il metodo di autenticazione è in stato di sospensione o disabilitazione
    • DELETED: il metodo di autenticazione è stato eliminato
    • NO_ACTIVE_CREDENTIALS: il metodo di autenticazione non ha credenziali attive.

Authentication.auth_details

  • Finalità: dettagli di autenticazione definiti dal fornitore.
  • Codifica: stringa.

Authentication.Mechanism

  • Finalità: i meccanismi utilizzati per l'autenticazione.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • MECHANISM_UNSPECIFIED: meccanismo di autenticazione predefinito.
    • BADGE_READER
    • BATCH: autenticazione batch.
    • CACHED_INTERACTIVE: autenticazione interattiva con credenziali memorizzate nella cache.
    • HARDWARE_KEY
    • LOCALE
    • MECHANISM_OTHER: un altro meccanismo non definito qui.
    • NETWORK: autenticazione di rete.
    • NETWORK_CLEAR_TEXT: autenticazione della rete in testo non cifrato.
    • NEW_CREDENTIALS: autenticazione con nuove credenziali.
    • OTP
    • REMOTE: autenticazione da remoto
    • REMOTE_INTERACTIVE: RDP, servizi terminale, Virtual Network Computing (VNC) e così via.
    • SERVICE: autenticazione del servizio.
    • UNLOCK: autenticazione di sblocco interattiva con un operatore.
    • USERNAME_PASSWORD

Populazione dei metadati DHCP

I campi dei metadati del protocollo DHCP (Dynamic Host Control Protocol) acquisiscono le informazioni dei log del protocollo di gestione della rete DHCP.

Dhcp.client_hostname

  • Finalità: nome host del client. Per ulteriori informazioni, consulta RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: stringa.

Dhcp.client_identifier

  • Finalità: identificatore cliente. Per ulteriori informazioni, consulta RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: byte.

Dhcp.file

  • Finalità: nome del file dell'immagine di avvio.
  • Codifica: stringa.

Dhcp.flags

  • Finalità: valore per il campo Indicatori DHCP.
  • Codifica: numero intero non firmato a 32 bit.

Dhcp.hlen

  • Finalità: lunghezza dell'indirizzo hardware.
  • Codifica: numero intero non firmato a 32 bit.

Dhcp.hops

  • Finalità: conteggio degli hop DHCP.
  • Codifica: numero intero non firmato a 32 bit.

Dhcp.htype

  • Finalità: tipo di indirizzo hardware.
  • Codifica: numero intero non firmato a 32 bit.

Dhcp.lease_time_seconds

  • Finalità: tempo di lease richiesto dal client per un indirizzo IP in secondi. Per ulteriori informazioni, consulta RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: numero intero non firmato a 32 bit.

Dhcp.opcode

  • Finalità: codice operativo BOOTP (consulta la sezione 3 del documento RFC 951).
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_OPCODE
    • BOOTREQUEST
    • BOOTREPLY

Dhcp.requested_address

  • Finalità: identificatore cliente. Per ulteriori informazioni, consulta RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica:indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.seconds

  • Finalità: secondi trascorsi dall'inizio del processo di acquisizione/rinnovo dell'indirizzo da parte del cliente.
  • Codifica: numero intero non firmato a 32 bit.

Dhcp.sname

  • Finalità: nome del server da cui il client ha richiesto di eseguire l'avvio.
  • Codifica: stringa.

Dhcp.transaction_id

  • Finalità: ID transazione del cliente.
  • Codifica: numero intero non firmato a 32 bit.

Dhcp.type

  • Finalità: tipo di messaggio DHCP. Per ulteriori informazioni, consulta RFC 1533.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_MESSAGE_TYPE
    • DISCOVER
    • OFFERTA
    • RICHIEDI
    • RIFIUTO
    • ACK
    • NAK
    • RELEASE
    • INFORM
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • Scopo: indirizzo IP per l'hardware del client.
  • Codifica:indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.ciaddr

  • Scopo: indirizzo IP del client.
  • Codifica:indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.giaddr

  • Scopo: indirizzo IP per l'agente di inoltro.
  • Codifica:indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.siaddr

  • Scopo: indirizzo IP del prossimo server di bootstrap.
  • Codifica:indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.yiaddr

  • Scopo: il tuo indirizzo IP.
  • Codifica:indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Populazione dei metadati delle opzioni DHCP

I campi dei metadati delle opzioni DHCP acquisiscono le informazioni dei log delle opzioni DHCP.

Option.code

  • Finalità: memorizza il codice dell'opzione DHCP. Per ulteriori informazioni, consulta RFC 1533, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: numero intero non firmato a 32 bit.

Option.data

  • Finalità:memorizza i dati dell'opzione DHCP. Per ulteriori informazioni, consulta RFC 1533, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: byte.

Popolazione dei metadati DNS

I campi dei metadati DNS acquisiscono informazioni relative ai pacchetti di richiesta e risposta DNS. Hanno una corrispondenza uno a uno con i dati trovati nei datagrammi di richiesta e risposta DNS.

Dns.authoritative

  • Finalità:impostato su true per i server DNS autorevoli.
  • Codifica:booleano.

Dns.id

  • Finalità:memorizza l'identificatore della query DNS.
  • Codifica: numero intero a 32 bit.

Dns.response

  • Finalità:impostato su true se l'evento è una risposta DNS.
  • Codifica:booleano.

Dns.opcode

  • Finalità:memorizza l'opcode DNS utilizzato per specificare il tipo di query DNS (standard, inversa, stato del server e così via).
  • Codifica: numero intero a 32 bit.

Dns.recursion_available

  • Finalità: impostato su true se è disponibile una ricerca DNS ricorsiva.
  • Codifica:booleano.

Dns.recursion_desired

  • Finalità:impostato su true se viene richiesta una ricerca DNS ricorsiva.
  • Codifica:booleano.

Dns.response_code

  • Finalità: memorizza il codice di risposta DNS come definito da RFC 1035, Domain Names - Implementation and Specification.
  • Codifica: numero intero a 32 bit.

Dns.truncated

  • Finalità:impostato su true se si tratta di una risposta DNS troncata.
  • Codifica:booleano.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

Completamento dei metadati della domanda DNS

I campi dei metadati delle domande DNS acquisiscono le informazioni contenute nella sezione delle domande di un messaggio di protocollo di dominio.

Question.name

  • Finalità: memorizza il nome di dominio.
  • Codifica: stringa.

Question.class

  • Finalità:memorizza il codice che specifica la classe della query.
  • Codifica: numero intero a 32 bit.

Question.type

  • Finalità: memorizza il codice che specifica il tipo di query.
  • Codifica: numero intero a 32 bit.

Completamento dei metadati dei record di risorse DNS

I campi dei metadati dei record di risorse DNS acquisiscono le informazioni contenute nel record di risorse di un messaggio di protocollo di dominio.

ResourceRecord.binary_data

  • Finalità: memorizza i byte non elaborati di eventuali stringhe non UTF-8 che potrebbero essere incluse in una risposta DNS. Questo campo deve essere utilizzato solo se i dati di risposta restituiti dal server DNS contengono dati non UTF-8. In caso contrario, inserisci la risposta DNS nel campo dati di seguito. Questo tipo di informazioni deve essere archiviato qui anziché in ResourceRecord.data.

  • Codifica: byte.

ResourceRecord.class

  • Scopo:memorizza il codice che specifica la classe del record di risorse.
  • Codifica: numero intero a 32 bit.

ResourceRecord.data

  • Finalità:memorizza il payload o la risposta alla domanda DNS per tutte le risposte codificate in formato UTF-8. Ad esempio, il campo dati potrebbe restituire l'indirizzo IP della macchina a cui fa riferimento il nome di dominio. Se il record di risorse è di tipo o classe diverso, potrebbe contenere un altro nome di dominio (quando un nome di dominio viene reindirizzato a un altro nome di dominio). I dati devono essere archiviati così come sono nella risposta DNS.
  • Codifica: stringa.

ResourceRecord.name

  • Finalità: memorizza il nome del proprietario del record di risorse.
  • Codifica: stringa.

ResourceRecord.ttl

  • Finalità:memorizza l'intervallo di tempo per il quale il record della risorsa può essere memorizzato nella cache prima che venga eseguita nuovamente una query sull'origine delle informazioni.
  • Codifica: numero intero a 32 bit.

ResourceRecord.type

  • Finalità: memorizza il codice che specifica il tipo di record della risorsa.
  • Codifica: numero intero a 32 bit.

Popolazione dei metadati email

La maggior parte dei campi dei metadati email acquisisce gli indirizzi email inclusi nell'intestazione del messaggio e deve essere conforme al formato standard dell'indirizzo email (casella locale@dominio) come definito in RFC 5322. Ad esempio, frank@email.example.com.

Email.from

  • Finalità: memorizza l'indirizzo email da.
  • Codifica: stringa.

Email.reply_to

  • Finalità: memorizza l'indirizzo email reply_to.
  • Codifica: stringa.

Email.to

  • Finalità: memorizza gli indirizzi email A.
  • Codifica: stringa.

Email.cc

  • Finalità: memorizza gli indirizzi email Cc.
  • Codifica: stringa.

Email.bcc

  • Finalità: memorizza gli indirizzi email Ccn.
  • Codifica: stringa.

Email.mail_id

  • Finalità: memorizza l'ID della posta (o del messaggio).
  • Codifica: stringa.
  • Esempio: 192544.132632@email.example.com

Email.subject

  • Finalità: memorizza la riga dell'oggetto dell'email.
  • Codifica: stringa.
  • Esempio: "Leggi questo messaggio."

Metadati relativi alla popolazione delle estensioni

Tipi di eventi con metadati di prima classe non ancora classificati dall'UDM di Google Security Operations. Extensions.auth

  • Finalità: estensione ai metadati di autenticazione.
  • Codifica: stringa.
  • Esempi:
    • Metadati della sandbox (tutti i comportamenti mostrati da un file, ad esempio FireEye).
    • Dati del controllo dell'accesso alla rete (NAC).
    • Dettagli LDAP di un utente (ad esempio ruolo, organizzazione e così via).

Extensions.auth.auth_details

  • Finalità: specifica i dettagli specifici del fornitore per il tipo o il meccanismo di autenticazione. I fornitori di servizi di autenticazione spesso definiscono tipi come via_mfa o via_ad che forniscono informazioni utili sul tipo di autenticazione. Questi tipi possono comunque essere generalizzati in auth.type o auth.mechanism per la compatibilità delle regole tra set di dati e l'usabilità.
  • Codifica: stringa.
  • Esempi: via_mfa, via_ad.

Extensions.vulns

  • Scopo: estensione ai metadati delle vulnerabilità.
  • Codifica: stringa.
  • Esempio:
    • Dati dell'analisi delle vulnerabilità dell'host.

Populazione dei metadati dei file

File.file_metadata

  • Finalità: metadati associati al file.
  • Codifica: stringa.
  • Esempi:
    • Autore
    • Numero di revisione
    • Numero di versione
    • Data dell'ultimo salvataggio

File.full_path

  • Finalità: percorso completo che identifica la posizione del file sul sistema.
  • Codifica: stringa.
  • Esempio: \Program Files\Custom Utilities\Test.exe

File.md5

  • Finalità: valore hash MD5 del file.
  • Codifica: stringa, esadecimale minuscolo.
  • Esempio: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Finalità: tipo MIME (Multipurpose Internet Mail Extensions) del file.
  • Codifica: stringa.
  • Esempi:
    • PE
    • PDF
    • script PowerShell

File.sha1

  • Finalità: valore hash SHA-1 del file.
  • Codifica: stringa, esadecimale minuscolo.
  • Esempio: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Finalità: valore hash SHA-256 del file.
  • Codifica: stringa, esadecimale minuscolo.
  • Esempio:
    • d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • Finalità: dimensioni del file.
  • Codifica: numero intero non firmato a 64 bit.
  • Esempio: 342135.

Completamento dei metadati FTP

Ftp.command

  • Finalità: memorizza il comando FTP.
  • Codifica: stringa.
  • Esempi:
    • binario
    • delete
    • get
    • put

Popolazione dei metadati del gruppo

Informazioni su un gruppo di organizzazioni.

Group.creation_time

  • Finalità: ora di creazione del gruppo.
  • Codifica: RFC 3339, a seconda del formato del timestamp JSON o Proto3.

Group.email_addresses

  • Finalità: raggruppare i dati di contatto.
  • Codifica: email.

Group.group_display_name

  • Finalità: nome visualizzato del gruppo.
  • Codifica: stringa.
  • Esempi:
    • Finanza
    • HR
    • Marketing

Group.product_object_id

  • Finalità: identificatore dell'oggetto utente univoco a livello globale per il prodotto, ad esempio un identificatore dell'oggetto LDAP.
  • Codifica: stringa.

Group.windows_sid

  • Finalità: campo dell'attributo del gruppo di identificatori di sicurezza (SID) di Microsoft Windows.
  • Codifica: stringa.

Populazione dei metadati HTTP

Http.method

  • Finalità:memorizza il metodo di richiesta HTTP.
  • Codifica: stringa.
  • Esempi:
    • GET
    • HEAD
    • POST

Http.referral_url

  • Finalità: memorizza l'URL del referrer HTTP.
  • Codifica:URL RFC 3986 valido.
  • Esempio: https://www.altostrat.com

Http.response_code

  • Finalità:memorizza il codice di stato della risposta HTTP, che indica se una richiesta HTTP specifica è stata completata correttamente.
  • Codifica: numero intero a 32 bit.
  • Esempi:
    • 400
    • 404

Http.user_agent

  • Finalità:memorizza l'intestazione della richiesta User-Agent che include il tipo di applicazione, il sistema operativo, il fornitore di software o la versione del software dello user agent del software richiedente.
  • Codifica: stringa.
  • Esempi:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, come Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Metadati sulla popolazione della località

Location.city

  • Finalità: memorizza il nome della città.
  • Codifica: stringa.
  • Esempi:
    • Sunnyvale
    • Chicago
    • Malaga

Location.country_or_region

  • Finalità: memorizza il nome del paese o della regione del mondo.
  • Codifica: stringa.
  • Esempi:
    • Stati Uniti
    • Regno Unito
    • Spagna

Location.name

  • Finalità: memorizza il nome specifico dell'azienda, ad esempio un edificio o un campus.
  • Codifica: stringa.
  • Esempi:
    • Campus 7B
    • Edificio A2

Location.state

  • Finalità: memorizza il nome dello stato, della provincia o del territorio.
  • Codifica: stringa.
  • Esempi:
    • California
    • Illinois
    • Ontario

Popolazione dei metadati della rete

Network.application_protocol

  • Scopo:indica il protocollo di applicazione di rete.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_APPLICATION_PROTOCOL
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Network.direction

  • Finalità: indica la direzione del traffico di rete.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_DIRECTION
    • INBOUND
    • IN ENTRATA
    • BROADCAST

Network.email

  • Finalità: specifica l'indirizzo email del mittente/destinatario.
  • Codifica: stringa.
  • Esempio: jcheng@company.example.com

Network.ip_protocol

  • Finalità:indica il protocollo IP.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP (Enhanced Interior Gateway Routing Protocol)
    • ESP (Encapsulating Security Payload)
    • ETHERIP: incapsulamento Ethernet in IP
    • GRE (Generic Routing Encapsulation)
    • ICMP (Internet Control Message Protocol)
    • IGMP (Internet Group Management Protocol)
    • IP6IN4: incapsulamento IPv6
    • PIM (Protocol Independent Multicast)
    • TCP (Transmission Control Protocol)
    • UDP (User Datagram Protocol)
    • VRRP (Virtual Router Redundancy Protocol)

Network.received_bytes

  • Finalità: specifica il numero di byte ricevuti.
  • Codifica: numero intero non firmato a 64 bit.
  • Esempio: 12.453.654.768

Network.sent_bytes

  • Finalità: specifica il numero di byte inviati.
  • Codifica: numero intero non firmato a 64 bit.
  • Esempio: 7.654.876

Network.session_duration

  • Finalità:memorizza la durata della sessione di rete, in genere restituita in un evento di interruzione per la sessione. Per impostare la durata, puoi impostare network.session_duration.seconds = 1 (tipo int64) o network.session_duration.nanos = 1 (tipo int32).
  • Codifica:
    • Numero intero a 32 bit: per i secondi (network.session_duration.seconds).
    • Numero intero a 64 bit: per i nanosecondi (network.session_duration.nanos).

Network.session_id

  • Finalità: memorizza l'identificatore della sessione di rete.
  • Codifica: stringa.
  • Esempio: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Populazione dei metadati di elaborazione

Process.command_line

  • Finalità:memorizza la stringa della riga di comando per il processo.
  • Codifica: stringa.
  • Esempio: gruppo c:\windows\system32\net.exe

Process.product_specific_process_id

  • Finalità:memorizza l'ID processo specifico del prodotto.
  • Codifica: stringa.
  • Esempi: MySQL:78778 o CS:90512

Process.parent_process.product_specific_process_id

  • Finalità: memorizza l'ID processo specifico del prodotto per il processo principale.
  • Codifica: stringa.
  • Esempi: MySQL:78778 o CS:90512

Process.file

  • Finalità: memorizza il nome del file in uso dal processo.
  • Codifica: stringa.
  • Esempio: report.xls

Process.parent_process

  • Finalità: memorizza i dettagli del processo principale.
  • Codifica: sostantivo (processo)

Process.pid

  • Finalità:memorizza l'ID processo.
  • Codifica: stringa.
  • Esempi:
    • 308
    • 2002

Populazione dei metadati del registry

Registry.registry_key

  • Finalità: memorizza la chiave del registry associata a un componente di sistema o di un'applicazione.
  • Codifica: stringa.
  • Esempio: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Finalità: memorizza il nome del valore del Registro di sistema associato a un componente di sistema o di un'applicazione.
  • Codifica: stringa.
  • Esempio: TEMP

Registry.registry_value_data

  • Finalità: memorizza i dati associati a un valore del registro.
  • Codifica: stringa.
  • Esempio: %USERPROFILE%\Local Settings\Temp

Popolazione dei metadati del risultato di sicurezza

I metadati del risultato di sicurezza includono dettagli sui rischi e sulle minacce alla sicurezza rilevati da un sistema di sicurezza, nonché le azioni intraprese per mitigare questi rischi e queste minacce.

SecurityResult.about

  • Finalità: fornisci una descrizione del risultato di sicurezza.
  • Codifica: sostantivo.

SecurityResult.action

  • Finalità:specifica un'azione di sicurezza.
  • Codifica: tipo enumerato.
  • Valori possibili: l'UDM di Google Security Operations definisce le seguenti azioni di sicurezza:
    • CONSENTI
    • ALLOW_WITH_MODIFICATION: il file o l'email è stato disinfettato o riscritto ed è stato comunque inoltrato.
    • BLOCCA
    • QUARANTINE: archivia per analisi successive (non significa blocco).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Finalità: dettagli forniti dal fornitore sull'azione intrapresa a seguito dell'incidente di sicurezza. Le azioni di sicurezza si traducono spesso meglio nel campo UDM più generale Security_Result.action. Tuttavia, potrebbe essere necessario scrivere regole per la descrizione esatta dell'azione fornita dal fornitore.
  • Codifica: stringa.
  • Esempi: drop, block, decrypt, encrypt.

SecurityResult.category

  • Finalità: specifica una categoria di sicurezza.
  • Codifica: enum.
  • Valori possibili: l'UDM di Google Security Operations definisce le seguenti categorie di sicurezza:
    • ACL_VIOLATION: tentativo di accesso non autorizzato, incluso il tentativo di accesso a file, servizi web, processi, oggetti web e così via.
    • AUTH_VIOLATION: autenticazione non riuscita, ad esempio password o autenticazione a due fattori errate.
    • DATA_AT_REST - DLP: dati dei sensori trovati in stato at-rest in un'analisi.
    • DATA_DESTRUCTION: tenta di distruggere/eliminare i dati.
    • DATA_EXFILTRATION - DLP: trasmissione dei dati del sensore, copia su chiavetta USB.
    • EXPLOIT: tentativi di overflow, codifiche di protocollo errate, ROP, SQL injection e così via, sia di rete che basati su host.
    • MAIL_PHISHING: email di phishing, messaggi di chat e così via.
    • MAIL_SPAM: email, messaggio e così via di spam
    • MAIL_SPOOFING: indirizzo email di origine falsificato e così via.
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL: se il canale di comando e controllo è noto.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS: comando e controllo, exploit di rete, attività sospette, potenziale tunnel inverso e così via.
    • NETWORK_SUSPICIOUS: non correlato alla sicurezza, ad esempio l'URL è collegato a giochi e scommesse e così via.
    • NETWORK_RECON: scansione delle porte rilevata da un IDS, indagine da parte di un'applicazione web.
    • POLICY_VIOLATION: violazione delle norme di sicurezza, incluse violazioni delle regole di firewall, proxy e HIPS o azioni di blocco NAC.
    • SOFTWARE_MALICIOUS: malware, spyware, rootkit e così via.
    • SOFTWARE_PUA: app potenzialmente indesiderate, come adware e così via.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • Finalità: specifica un livello di confidenza in merito a un evento di sicurezza, come stimato dal prodotto.
  • Codifica: enum.
  • Valori possibili: l'UDM di Google Security Operations definisce le seguenti categorie di affidabilità del prodotto:
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Finalità: dettagli aggiuntivi relativi all'affidabilità di un evento di sicurezza, come stimato dal fornitore del prodotto.
  • Codifica: stringa.

SecurityResult.priority

  • Finalità: specifica una priorità in merito a un evento di sicurezza, come stimato dal fornitore del prodotto.
  • Codifica: enum.
  • Valori possibili: l'UDM di Google Security Operations definisce le seguenti categorie di priorità del prodotto:
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIUM_PRIORITY
    • HIGH_PRIORITY

SecurityResult.priority_details

  • Finalità: informazioni specifiche del fornitore sulla priorità del risultato di sicurezza.
  • Codifica: stringa.

SecurityResult.rule_id

  • Finalità: identificatore della regola di sicurezza.
  • Codifica: stringa.
  • Esempi:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Scopo: il nome della regola di sicurezza.
  • Codifica: stringa.
  • Esempio: BlockInboundToOracle.

SecurityResult.severity

  • Finalità: gravità di un evento di sicurezza stimata dal fornitore del prodotto utilizzando i valori definiti dall'UDM di Google Security Operations.
  • Codifica: enum.
  • Valori possibili: l'UDM di Google Security Operations definisce le seguenti severità del prodotto:
    • UNKNOWN_SEVERITY: non dannoso
    • INFORMATIVO: non dannoso
    • ERRORE: non dannoso
    • BASSO: dannoso
    • MEDIO: dannosa
    • ALTO: dannosa

SecurityResult.severity_details

  • Finalità: gravità di un evento di sicurezza stimata dal fornitore del prodotto.
  • Codifica: stringa.

SecurityResult.threat_name

  • Finalità: nome della minaccia alla sicurezza.
  • Codifica: stringa.
  • Esempi:
    • W32/File-A
    • Slammer

SecurityResult.url_back_to_product

  • Finalità: URL che ti reindirizza alla console del prodotto di origine per questo evento di sicurezza.
  • Codifica: stringa.

Populazione dei metadati utente

User.email_addresses

  • Finalità: memorizza gli indirizzi email dell'utente.
  • Codifica: stringa ripetuta.
  • Esempio:johnlocke@company.example.com

User.employee_id

  • Finalità: memorizza l'ID dipendente delle risorse umane per l'utente.
  • Codifica: stringa.
  • Esempio: 11223344.

User.first_name

  • Finalità: memorizza il nome dell'utente.
  • Codifica: stringa.
  • Esempio: John.

User.middle_name

  • Finalità: memorizza il secondo nome dell'utente.
  • Codifica: stringa.
  • Esempio: Anthony.

User.last_name

  • Finalità: memorizza il cognome dell'utente.
  • Codifica: stringa.
  • Esempio: Locke.

User.group_identifiers

  • Finalità: memorizza gli ID gruppo (GUID, OID LDAP o simili) associati a un utente.
  • Codifica: stringa ripetuta.
  • Esempio: utenti-amministratori.

User.phone_numbers

  • Finalità: memorizza i numeri di telefono dell'utente.
  • Codifica: stringa ripetuta.
  • Esempio: 800-555-0101

User.title

  • Finalità: memorizza la qualifica dell'utente.
  • Codifica: stringa.
  • Esempio: Customer Relationship Manager.

User.user_display_name

  • Finalità: memorizza il nome visualizzato dell'utente.
  • Codifica: stringa.
  • Esempio: John Locke.

User.userid

  • Finalità: memorizza l'ID utente.
  • Codifica: stringa.
  • Esempio: jlocke.

User.windows_sid

  • Finalità: memorizza l'ID di sicurezza (SID) di Microsoft Windows associato a un utente.
  • Codifica: stringa.
  • Esempio: S-1-5-21-1180649209-123456789-3582944384-1064

Popolazione dei metadati delle vulnerabilità

Vulnerability.about

  • Finalità: se la vulnerabilità riguarda un sostantivo specifico (ad esempio eseguibile), aggiungilo qui.
  • Codifica: sostantivo. Consulta Popolazione dei metadati dei nomi
  • Esempio: eseguibile.

Vulnerability.cvss_base_score

  • Finalità: punteggio di base per il Common Vulnerability Scoring System (CVSS).
  • Codifica: a virgola mobile.
  • Intervallo: da 0,0 a 10,0
  • Esempio: 8,5

Vulnerability.cvss_vector

  • Finalità: vettore per le proprietà CVSS della vulnerabilità. Un punteggio CVSS è composto dalle seguenti metriche:

    • Vettore di attacco (AV)
    • Access Complexity (AC)
    • Autenticazione (Au)
    • Impatto sulla riservatezza (C)
    • Impatto sull'integrità (I)
    • Impatto sulla disponibilità (A)

    Per ulteriori informazioni, visita la pagina https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.

  • Codifica: stringa.

  • Esempio: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Finalità: versione CVSS per il punteggio o il vettore di vulnerabilità.
  • Codifica: stringa.
  • Esempio: 3.1

Vulnerability.description

  • Finalità: descrizione della vulnerabilità.
  • Codifica: stringa.

Vulnerability.first_found

  • Finalità: i prodotti che mantengono una cronologia delle analisi delle vulnerabilità devono compilare first_found con la data e l'ora in cui la vulnerabilità per questa risorsa è stata rilevata per la prima volta.
  • Codifica: stringa.

Vulnerability.last_found

  • Finalità: i prodotti che mantengono una cronologia delle scansioni delle vulnerabilità devono compilare last_found con la data e l'ora in cui è stata rilevata l'ultima vulnerabilità per questo asset.
  • Codifica: stringa.

Vulnerability.name

  • Finalità: nome della vulnerabilità.
  • Codifica: stringa.
  • Esempio: è stata rilevata una versione del sistema operativo non supportata.

Vulnerability.scan_end_time

  • Finalità:se la vulnerabilità è stata scoperta durante una scansione delle risorse, compila questo campo con l'ora di fine della scansione. Lascia vuoto questo campo se l'ora di fine non è disponibile o non è applicabile.
  • Codifica: stringa.

Vulnerability.scan_start_time

  • Finalità:se la vulnerabilità è stata scoperta durante una scansione degli asset, compila questo campo con l'ora di inizio della scansione. Lascia vuoto questo campo se l'ora di inizio non è disponibile o non è applicabile.
  • Codifica: stringa.

Vulnerability.severity

  • Finalità: gravità della vulnerabilità.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_SEVERITY
    • BASSO
    • MEDIO
    • ALTO

Vulnerability.severity_details

  • Finalità: dettagli sulla gravità specifici del fornitore.
  • Codifica: stringa.

Popolazione dei metadati degli avvisi

idm.is_significant

  • Finalità: specifica se visualizzare l'avviso in Enterprise Insights.
  • Codifica: booleano

idm.is_alert

  • Finalità: identifica se l'evento è un avviso.
  • Codifica: booleano

Campi obbligatori e facoltativi in base al tipo di evento

Questa sezione descrive i campi obbligatori e facoltativi da compilare in base al tipo di evento UDM. Per una descrizione di questi campi, consulta l'elenco dei campi del modello di dati unificato.

EMAIL_TRANSACTION

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal: da compilare con le informazioni sulla macchina da cui ha avuto origine il messaggio email. Ad esempio, l'indirizzo IP del mittente.

Campi facoltativi:

  • about: URL, IP, domini e eventuali allegati incorporati nel corpo dell'email.
  • securityResult.about: URL, IP e file non validi incorporati nel corpo dell'email.
  • network.email: informazioni sul mittente/destinatario email.
  • principal: se sono disponibili dati della macchina client su chi ha inviato l'email, compila i dettagli del server in principal (ad esempio, il processo client, i numeri di porta, il nome utente e così via).
  • target: se sono presenti dati del server email di destinazione, compila i dettagli del server in target (ad esempio l'indirizzo IP).
  • intermediario: se sono presenti dati del server di posta o del proxy di posta, compila i dettagli del server in intermediario.

Note:

  • Non compilare mai principal.email o target.email.
  • Compila il campo email solo in security_result.about o network.email.
  • I risultati di sicurezza di primo livello hanno generalmente un insieme di sostantivi (facoltativo per lo spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ e FILE_OPEN

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore della macchina.
    • (Facoltativo) Compila principal.process con informazioni sul processo che accede al file.
  • target:
    • Se il file è remoto (ad esempio una condivisione SMB), la destinazione deve includere almeno un identificatore della macchina di destinazione, altrimenti tutti gli identificatori della macchina devono essere vuoti.
    • Compila target.file con le informazioni sul file.

Facoltativamente,

  • security_result: descrive l'attività dannosa rilevata.
  • principal.user: da compilare se sono disponibili informazioni sull'utente relative al processo.

FILE_COPY

Campi obbligatori:

  • metadata: includi i campi obbligatori come descritto.
  • principal:
    • Almeno un identificatore della macchina.
    • (Facoltativo) Compila principal.process con informazioni sul processo che esegue l'operazione di copia del file.
  • src:
    • Compila src.file con le informazioni sul file di origine.
    • Se il file è remoto (ad esempio una condivisione SMB), src deve includere almeno un identificatore della macchina di origine che memorizza il file di origine.
  • target:
    • Compila target.file con le informazioni sul file di destinazione.
    • Se il file è remoto (ad esempio una condivisione SMB), il campo target deve includere almeno un identificatore della macchina di destinazione che contiene il file di destinazione.

Campi facoltativi:

  • security_result: descrive l'attività dannosa rilevata.
  • principal.user: da compilare se sono disponibili informazioni sull'utente relative al processo.

MUTEX_CREATION

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore della macchina.
    • Compila principal.process con le informazioni sul processo che crea il mutex.
  • target:
    • Compila target.resource.
    • Compila target.resource.type con MUTEX.
    • Compila target.resource.name con il nome del mutex creato.

Facoltativamente,

  • security_result: descrive l'attività dannosa rilevata.
  • principal.user: da compilare se sono disponibili informazioni sull'utente relative al processo.
Esempio di UDM per MUTEX_CREATION

L'esempio seguente illustra come viene formattato un evento di tipo MUTEX_CREATION per l'UDM di Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • principal: dettagli del dispositivo e della procedura.
  • target: informazioni sul mutex.

NETWORK_CONNECTION

Campi obbligatori:

  • metadata: event_timestamp
  • principal: includi i dettagli della macchina che ha avviato la connessione di rete (ad esempio, l'origine).
  • target: includi i dettagli della macchina di destinazione, se diversa dalla macchina principale.
  • network: acquisisci i dettagli sulla connessione di rete (porte, protocollo e così via).

Campi facoltativi:

  • principal.process e target.process: includono le informazioni relative al processo associato al principale e al target della connessione di rete (se disponibili).
  • principal.user e target.user: includi le informazioni utente associate al principale e al target della connessione di rete (se disponibili).

NETWORK_HTTP

Il tipo di evento NETWORK_HTTP rappresenta una connessione di rete HTTP da un'entità a un server web di destinazione.

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal: rappresenta il client che avvia la richiesta web e include almeno un identificatore della macchina (ad esempio nome host, IP, MAC, identificatore di asset proprietario) o un identificatore utente (ad esempio nome utente). Se viene descritta una connessione di rete specifica ed è disponibile un numero di porta client, deve essere specificato un solo indirizzo IP insieme al numero di porta associato alla connessione di rete (anche se è possibile fornire altri identificatori di macchine per descrivere meglio il dispositivo del partecipante). Se non è disponibile alcuna porta di origine, è possibile specificare tutti gli indirizzi IP e MAC, gli identificatori delle risorse e i valori del nome host che descrivono il dispositivo principale.
  • target: rappresenta il server web e include informazioni sul dispositivo e, facoltativamente, un numero di porta. Se è disponibile un numero di porta di destinazione, specifica solo un indirizzo IP oltre al numero di porta associato alla connessione di rete (anche se è possibile fornire più identificatori di macchine per la destinazione). Per target.url, inserisci l'URL a cui è stato eseguito l'accesso.
  • network e network.http: includono i dettagli sulla connessione di rete HTTP. Devi compilare i seguenti campi:
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Campi facoltativi:

  • about: rappresenta altre entità trovate nella transazione HTTP (ad esempio un file caricato o scaricato).
  • intermediary: rappresenta un server proxy (se diverso dal principale o dal target).
  • metadata: compila gli altri campi dei metadati.
  • network: compila altri campi della rete.
  • network.email: se la connessione di rete HTTP ha avuto origine da un URL visualizzato in un messaggio email, compila network.email con i dettagli.
  • observer: rappresenta uno sniffer passivo (se presente).
  • security_result: aggiungi uno o più elementi al campo security_result per rappresentare l'attività dannosa rilevata.
Esempio di UDM per NETWORK_HTTP

L'esempio seguente illustra come un evento antivirus Sophos di tipo NETWORK_HTTP viene convertito nel formato UDM di Google Security Operations.

Di seguito è riportato l'evento antivirus Sophos originale:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Ecco come formattare le stesse informazioni in Proto3 utilizzando la sintassi UDM di Google Security Operations:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Google Security Operations-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • principal: dispositivo di sicurezza che ha rilevato l'evento.
  • target: il dispositivo che ha ricevuto il software dannoso.
  • network: informazioni di rete sull'host dannoso.
  • security_result: dettagli sulla sicurezza del software dannoso.
  • additional: informazioni sul fornitore attualmente non incluse nell'ambito dell'UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore della macchina.
    • Per gli eventi di inserimento e di terminazione del processo, se disponibili, principal.process deve includere informazioni sul processo che avvia l'azione (ad esempio, per un evento di lancio del processo, principal.process deve includere i dettagli sul processo principale, se disponibile).
  • target:
    • target.process: include informazioni sul processo che viene inserito, aperto, avviato o terminato.
    • Se il processo di destinazione è remoto, target deve includere almeno un identificatore della macchina di destinazione (ad esempio un indirizzo IP, un indirizzo MAC, un nome host o un identificatore della risorsa di terze parti).

Campi facoltativi:

  • security_result: descrive l'attività dannosa rilevata.
  • principal.user e target.user: compila il processo di istruzione (principale) e il processo di destinazione se le informazioni sull'utente sono disponibili.
Esempio di UDM per PROCESS_LAUNCH

L'esempio seguente illustra come formattare un evento PROCESS_LAUNCH utilizzando la sintassi UDM di Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • principal: dettagli del dispositivo.
  • target: dettagli del processo.

PROCESS_MODULE_LOAD

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore della macchina.
    • principal.process: elabora il caricamento del modulo.
  • target:
    • target.process: include informazioni sul processo.
    • target.process.file: modulo caricato (ad esempio la DLL o l'oggetto condiviso).

Campi facoltativi:

  • security_result: descrive l'attività dannosa rilevata.
  • principal.user: da compilare se sono disponibili informazioni sull'utente relative al processo.
Esempio di UDM per PROCESS_MODULE_LOAD

L'esempio seguente illustra come formattare un evento PROCESS_MODULE_LOAD utilizzando la sintassi UDM di Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • principal: dettagli sul dispositivo e sul processo di caricamento del modulo.
  • target: dettagli del processo e del modulo.

PROCESS_PRIVILEGE_ESCALATION

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore della macchina.
    • principal.process: elabora il caricamento del modulo.
    • principal.user: utente che carica il modulo.

Campi facoltativi:

  • security_result: descrive l'attività dannosa rilevata.
Esempio di UDM per PROCESS_PRIVILEGE_ESCALATION

L'esempio seguente illustra come formattare un evento PROCESS_PRIVILEGE_ESCALATION utilizzando la sintassi UDM di Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • principal: dettagli sul dispositivo, sull'utente e sul processo di caricamento del modulo.
  • target: dettagli del processo e del modulo.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore della macchina.
    • Se la modifica del Registro di sistema viene eseguita da un processo in modalità utente, principal.process deve includere informazioni sul processo che modifica il Registro di sistema.
    • Se la modifica del registro viene eseguita da un processo del kernel, il principale non deve includere informazioni sul processo.
  • target:
    • target.registry: se il registry di destinazione è remoto, il target deve includere almeno un identificatore per la macchina di destinazione (ad esempio un indirizzo IP, un MAC, un nome host o un identificatore della risorsa di terze parti).
    • target.registry.registry_key: tutti gli eventi del registry devono includere la chiave del registry interessata.

Facoltativamente,

  • security_result: descrivi l'attività dannosa rilevata. Ad esempio, una chiave del Registro di sistema non valida.
  • principal.user: da compilare se sono disponibili informazioni sull'utente relative al processo.
Esempio di UDM per REGISTRY_MODIFICATION

L'esempio seguente illustra come formattare un evento REGISTRY_MODIFICATION in Proto3 utilizzando la sintassi UDM di Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • principal: dettagli su dispositivo, utente e processo.
  • target: voce del Registro di sistema interessata dalla modifica.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Campi obbligatori:

  • extensions: per SCAN_VULN_HOST e SCAN_VULN_NETWORK, definisci la vulnerabilità utilizzando il campo extensions.vuln.
  • metadata: event_timestamp
  • observer: acquisisci informazioni sullo scanner stesso. Se lo scanner è remoto, i dettagli della macchina devono essere acquisiti dal campo osservatore. Per un scanner locale, lascia vuoto.
  • target: acquisisci informazioni sulla macchina che tiene l'oggetto sottoposto a scansione. Se è in corso la scansione di un file, target.file deve acquisire informazioni sul file scansionato. Se è in corso la scansione di un processo, target.process deve acquisire informazioni sul processo sottoposto a scansione.

Campi facoltativi:

  • target: i dettagli dell'utente relativi all'oggetto target (ad esempio, il creatore del file o il proprietario del processo) devono essere acquisiti in target.user.
  • security_result: descrive l'attività dannosa rilevata.
Esempio di UDM per SCAN_HOST

L'esempio seguente illustra come viene formattato un evento di tipo SCAN_HOST per l'UDM di Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • target: il dispositivo che ha ricevuto il software dannoso.
  • observer: il dispositivo che osserva e genera report sull'evento in questione.
  • security_result: dettagli sulla sicurezza del software dannoso.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Campi obbligatori:

  • principal: per tutti gli eventi SCHEDULED_TASK, principal deve includere un identificativo della macchina e un identificativo utente.
  • target: il target deve includere una risorsa valida e un tipo di risorsa definito come "TASK".

Campi facoltativi:

  • security_result: descrive l'attività dannosa rilevata.
Esempio di UDM per SCHEDULED_TASK_CREATION

L'esempio seguente illustra come un evento di tipo SCHEDULED_TASK_CREATION potrebbe essere formattato per l'UDM di Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • principal: il dispositivo che ha pianificato l'attività sospetta.
  • target: il software preso di mira dall'attività sospetta.
  • intermediary: intermediario coinvolto nell'attività sospetta.
  • security_result: dettagli sulla sicurezza dell'attività sospetta.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Campi obbligatori:

  • principal: deve essere presente, non vuoto e includere un identificatore della macchina.
  • target: deve essere presente, non vuoto e includere una risorsa con il tipo specificato come SETTING
Esempio di UDM per il tipo di evento SETTING_MODIFICATION

L'esempio seguente illustra come viene formattato un evento di tipo SETTING_MODIFICATION per l'UDM di Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • principal: informazioni sul dispositivo su cui è avvenuta la modifica dell'impostazione.
  • target: dettagli della risorsa.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Campi obbligatori:

  • target: includi l'identificatore utente e specifica il processo o l'applicazione.
  • principal: includi almeno un identificatore della macchina (indirizzo IP o MAC, nome host o identificatore della risorsa).
Esempio di UDM per SERVICE_UNSPECIFIED

L'esempio seguente illustra come un evento di tipo SERVICE_UNSPECIFIED viene formattato per l'UDM di Google Security Operations:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • principal: dettagli del dispositivo e della posizione.
  • target: nome host e identificatore utente.
  • application: nome dell'applicazione e tipo di risorsa.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal: almeno un identificatore della macchina (indirizzo IP o MAC, nome host o identificatore della risorsa).
Esempio di UDM per STATUS_HEARTBEAT

L'esempio seguente illustra come viene formattato un evento di tipo STATUS_HEARTBEAT per l'UDM di Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • principal: dettagli del dispositivo e della posizione.
  • intermediary: indirizzo IP del dispositivo.
  • security_result: dettagli del risultato di sicurezza.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Campi obbligatori:

  • principal: includi un identificatore utente per l'utente che ha eseguito l'operazione sul log e un identificatore della macchina in cui il log è o è stato (in caso di reset dei dati di fabbrica) archiviato.
Esempio di UDM per SYSTEM_AUDIT_LOG_WIPE

L'esempio seguente illustra come viene formattato un evento di tipo SYSTEM_AUDIT_LOG_WIPE per l'UDM di Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • principal: dettagli del dispositivo e dell'utente.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal: se l'account utente viene modificato da una posizione remota, compila principal con le informazioni sulla macchina da cui ha avuto origine la modifica dell'utente.
  • target: compila target.user con le informazioni sull'utente che è stato modificato.
  • intermediary: per gli accessi SSO, intermediary deve includere almeno un identificatore macchina per il server SSO, se disponibile.

USER_COMMUNICATION

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati alla comunicazione avviata dall'utente (mittente), ad esempio un messaggio di chat in Google Chat o Slack, una conferenza video o vocale in Zoom o Google Meet o una connessione VoIP.

Campi facoltativi:

  • target: (consigliato) compila il campo target.user con informazioni sull'utente di destinazione (destinatario) della risorsa di comunicazione cloud. Compila il campo target.application con informazioni sull'applicazione di comunicazione cloud di destinazione.

USER_CREATION, USER_DELETION

Campi obbligatori:

  • metadata: event_timestamp
  • principal: include informazioni sulla macchina da cui è stata originata la richiesta di creazione o eliminazione dell'utente. Per la creazione o l'eliminazione di un utente locale, principal deve includere almeno un identificatore della macchina di origine.
  • target: località in cui viene creato l'utente. Deve includere anche le informazioni dell'utente (ad esempio target.user).

Campi facoltativi:

  • principal: dettagli dell'utente e della procedura per il computer in cui è stata avviata la richiesta di creazione o eliminazione dell'utente.
  • target: informazioni sulla macchina di destinazione (se diversa dalla macchina principale).

USER_LOGIN, USER_LOGOUT

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal: per l'attività utente da remoto (ad esempio, l'accesso remoto), compila principal con le informazioni sulla macchina da cui ha avuto origine l'attività utente. Per l'attività utente locale (ad esempio l'accesso locale), non imposta principal.
  • target: compila target.user con le informazioni sull'utente che ha eseguito l'accesso o la disconnessione. Se il principale non è impostato (ad esempio, accesso locale), target deve includere anche almeno un identificatore della macchina che identifica la macchina di destinazione. Per l'attività utente da macchina a macchina (ad esempio accesso remoto, SSO, servizio cloud, VPN), il target deve includere informazioni sull'applicazione, sulla macchina o sul server VPN di destinazione.
  • intermediary: per gli accessi SSO, intermediary deve includere almeno un identificatore macchina per il server SSO, se disponibile.
  • network e network.http: se l'accesso avviene tramite HTTP, devi inserire tutti i dettagli disponibili in network.ip_protocol, network.application_protocol e network.http.
  • Estensione authentication: deve identificare il tipo di sistema di autenticazione correlato all'evento (ad esempio, macchina, SSO o VPN) e il meccanismo utilizzato (nome utente e password, OTP e così via).
  • security_result: aggiungi un campo security_result per rappresentare lo stato di accesso se non va a buon fine. Specifica security_result.category con il valore AUTH_VIOLATION se l'autenticazione non va a buon fine.

USER_RESOURCE_ACCESS

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli dei tentativi di accesso a una risorsa cloud (ad esempio una richiesta Salesforce, un calendario Office365, un documento Google o un ticket ServiceNow).
  • target: compila il campo target.resource con informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) Compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati all'utente creato all'interno di una risorsa cloud (ad esempio una richiesta Salesforce, un calendario di Office 365, un documento Google o un ticket ServiceNow).
  • target: compila il campo target.resource con informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) Compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_UPDATE_CONTENT

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati all'utente di cui sono stati aggiornati i contenuti all'interno di una risorsa cloud (ad esempio una richiesta Salesforce, un calendario Office365, un documento Google o un ticket ServiceNow).
  • target: compila il campo target.resource con informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) Compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_UPDATE_PERMISSIONS

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati all'utente le cui autorizzazioni sono state aggiornate all'interno di una risorsa cloud (ad esempio una richiesta Salesforce, un calendario di Office 365, un documento Google o un ticket ServiceNow).
  • target: compila il campo target.resource con informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) Compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_UNCATEGORIZED

Campi obbligatori:

  • metadata: event_timestamp
  • principal: include informazioni sulla macchina da cui è stata originata la richiesta di creazione o eliminazione dell'utente. Per la creazione o l'eliminazione di un utente locale, principal deve includere almeno un identificatore della macchina di origine.
  • target: località in cui viene creato l'utente. Deve includere anche le informazioni dell'utente (ad esempio target.user).

Campi facoltativi:

  • principal: dettagli dell'utente e della procedura per il computer in cui è stata avviata la richiesta di creazione o eliminazione dell'utente.
  • target: informazioni sulla macchina di destinazione (se diversa dalla macchina principale).