Guia de utilização do UDM

Este documento fornece uma descrição detalhada dos campos no esquema do modelo de dados unificado (UDM). Lista os campos obrigatórios e opcionais para cada tipo de evento.

Formatos de nomes de campos da UDM

  • Para a avaliação do motor de regras, o prefixo começa com udm.
  • Para o normalizador baseado na configuração (CBN), o prefixo começa com event.idm.read_only_udm.

Preenchimento dos metadados dos eventos

A secção de metadados de eventos para eventos da UDM armazena informações gerais sobre cada evento.

Metadata.event_type

  • Finalidade: especifica o tipo do evento. Se um evento tiver vários tipos possíveis, este valor tem de especificar o tipo mais específico.
  • Obrigatório: sim
  • Codificação: tem de ser um dos tipos enumerados event_type predefinidos da UDM.
  • Valores possíveis: a lista seguinte apresenta todos os valores possíveis para event_type no UDM.

Eventos de analistas:

  • ANALYST_ADD_COMMENT
  • ANALYST_UPDATE_PRIORITY
  • ANALYST_UPDATE_REASON
  • ANALYST_UPDATE_REPUTATION
  • ANALYST_UPDATE_RISK_SCORE
  • ANALYST_UPDATE_ROOT_CAUSE
  • ANALYST_UPDATE_SEVERITY_SCORE
  • ANALYST_UPDATE_STATUS
  • ANALYST_UPDATE_VERDICT

Eventos do dispositivo:

  • DEVICE_CONFIG_UPDATE
  • DEVICE_FIRMWARE_UPDATE
  • DEVICE_PROGRAM_DOWNLOAD
  • DEVICE_PROGRAM_UPLOAD

Eventos de email:

  • EMAIL_UNCATEGORIZED
  • EMAIL_TRANSACTION
  • EMAIL_URL_CLICK

Eventos não especificados:

  • EVENTTYPE_UNSPECIFIED

Eventos de ficheiros realizados num ponto final:

  • FILE_UNCATEGORIZED
  • FILE_COPY (por exemplo, copiar um ficheiro para uma pen USB)
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_MOVE
  • FILE_OPEN (por exemplo, a abertura de um ficheiro pode indicar uma violação de segurança)
  • FILE_READ (por exemplo, ler um ficheiro de palavras-passe)
  • FILE_SYNC

Eventos que não se enquadram em nenhuma outra categoria, incluindo eventos do Windows sem categoria.

  • GENERIC_EVENT

Eventos de atividades em grupo:

  • GROUP_UNCATEGORIZED
  • GROUP_CREATION
  • GROUP_DELETION
  • GROUP_MODIFICATION

Eventos Mutex (objeto de exclusão mútua):

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Telemetria de rede, incluindo payloads de protocolos não processados, como DHCP e DNS, bem como resumos de protocolos para protocolos como HTTP, SMTP e FTP, e eventos de fluxo e ligação de Netflow e firewalls.

  • NETWORK_UNCATEGORIZED
  • NETWORK_CONNECTION (por exemplo, detalhes da ligação de rede de uma firewall)
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_FLOW (por exemplo, estatísticas de fluxo agregadas do Netflow)
  • NETWORK_FTP
  • NETWORK_HTTP
  • NETWORK_SMTP

Quaisquer eventos relacionados com um processo, como o lançamento de um processo, um processo que cria algo malicioso, um processo que se injeta noutro processo, uma alteração de uma chave da base de dados de registo ou a criação de um ficheiro malicioso no disco.

  • PROCESS_UNCATEGORIZED
  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION

Use os eventos REGISTRY em vez dos eventos SETTING quando lidar com eventos de registo específicos do Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Eventos de recursos:

  • RESOURCE_CREATION
  • RESOURCE_DELETION
  • RESOURCE_PERMISSIONS_CHANGE
  • RESOURCE_READ
  • RESOURCE_WRITTEN

Eventos orientados para a análise. Inclui análises a pedido e deteções comportamentais realizadas por produtos de segurança de pontos finais (EDR, AV, DLP). Usado apenas quando anexa um SecurityResult a outro tipo de evento (como PROCESS_LAUNCH).

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_NETWORK
  • SCAN_PROCESS
  • SCAN_PROCESS_BEHAVIORS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Eventos de tarefas agendadas (agendador de tarefas do Windows, cron, etc.):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_MODIFICATION

Eventos de serviço:

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_MODIFICATION
  • SERVICE_START
  • SERVICE_STOP

Definir eventos, incluindo quando uma definição do sistema é alterada num ponto final. Para configurar requisitos de eventos, consulte Definições – campos obrigatórios.

  • SETTING_UNCATEGORIZED
  • SETTING_CREATION
  • SETTING_DELETION
  • SETTING_MODIFICATION

Mensagens de estado de produtos de segurança para indicar que os agentes estão ativos e para enviar a versão, a impressão digital ou outros tipos de dados.

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indica que o produto está ativo)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (atualização de software ou de impressões digitais)

Eventos do registo de auditoria do sistema:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Eventos de atividade de autenticação de utilizadores:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (por exemplo, quando um utilizador usa o seu cartão de identificação para entrar num local)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS
  • USER_STATS

Metadata.collected_timestamp

  • Finalidade: codifica a data/hora GMT em que o evento foi recolhido pela infraestrutura de recolha local do fornecedor.
  • Codificação: RFC 3339, conforme adequado para o formato de data/hora JSON ou Proto3.
  • Exemplo:
    • RFC 3339: "2019-09-10T20:32:31-08:00"
    • Formato Proto3: "2012-04-23T18:25:43.511Z"

Metadata.event_timestamp

  • Finalidade: codifica a data/hora GMT em que o evento foi gerado.
  • Obrigatório: sim
  • Codificação: RFC 3339, conforme adequado para o formato de data/hora JSON ou Proto3.
  • Exemplo:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Formato Proto3: 2012-04-23T18:25:43.511Z

Metadata.description

  • Finalidade: descrição legível do evento.
  • Codificação: string alfanumérica, pontuação permitida, máximo de 1024 bytes
  • Exemplo: o ficheiro c:\bar\foo.exe foi bloqueado no acesso ao documento sensível c:\documents\earnings.docx.

Metadata.product_event_type

  • Objetivo: nome ou tipo de evento curto, descritivo, legível e específico do produto.
  • Codificação: string alfanumérica, pontuação permitida, máximo de 64 bytes.
  • Exemplos:
    • Evento de criação de registo
    • ProcessRollUp
    • Escalamento de privilégios detetado
    • Software malicioso bloqueado

Metadata.product_log_id

  • Finalidade: codifica um identificador de evento específico do fornecedor para identificar o evento de forma exclusiva (um GUID). Os utilizadores podem usar este identificador para pesquisar o evento em questão na consola proprietária do fornecedor.
  • Codificação: string alfanumérica sensível a maiúsculas e minúsculas, pontuação permitida, máximo de 256 bytes.
  • Exemplo: ABcd1234-98766

Metadata.product_name

  • Finalidade: especifica o nome do produto.
  • Codificação: string alfanumérica sensível a maiúsculas e minúsculas, pontuação permitida, máximo de 256 bytes.
  • Exemplos:
    • Falcão
    • Symantec Endpoint Protection

Metadata.product_version

  • Purpose: especifica a versão do produto.
  • Codificação: string alfanumérica, são permitidos pontos e travessões, máximo de 32 bytes
  • Exemplos:
    • 1.2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • Finalidade: URL com link para um Website relevante onde pode ver mais informações sobre este evento específico (ou a categoria de evento geral).
  • Codificação: URL RFC 3986 válido com parâmetros opcionais, como informações de porta, etc. Tem de ter um prefixo de protocolo antes do URL (por exemplo, https:// ou http://).
  • Exemplo: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Finalidade: especifica o nome do fornecedor do produto.
  • Codificação: string alfanumérica sensível a maiúsculas e minúsculas, pontuação permitida, máximo de 256 bytes
  • Exemplos:
    • CrowdStrike
    • Symantec

Preenchimento de metadados de substantivos

Nesta secção, a palavra Substantivo é um termo geral usado para representar as entidades: principal, src, target, intermediary, observer e about. Estas entidades têm atributos comuns, mas representam objetos diferentes num evento. Para mais informações sobre as entidades e o que cada uma representa num evento, consulte o artigo Formatar dados de registo como UDM.

Noun.asset_id

  • Finalidade: identificador exclusivo do dispositivo específico do fornecedor (por exemplo, um GUID gerado quando instala software de segurança de ponto final num novo dispositivo que é usado para monitorizar esse dispositivo exclusivo ao longo do tempo).
  • Codificação: VendorName.ProductName:ID, em que VendorName é um nome do fornecedor* *que não distingue maiúsculas de minúsculas, como "Carbon Black", ProductName é um nome do produto que não distingue maiúsculas de minúsculas, como "Response" ou "Endpoint Protection", e ID é um identificador do cliente específico do fornecedor que é globalmente único no ambiente do cliente (por exemplo, um GUID ou um valor único que identifica um dispositivo único). VendorName e ProductName são alfanuméricos e não têm mais de 32 carateres. O ID pode ter um máximo de 128 carateres e pode incluir carateres alfanuméricos, travessões e pontos.
  • Exemplo: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Finalidade: endereço de email
  • Codificação: formato de endereço de email padrão.
  • Exemplo: johns@test.altostrat.com

Noun.file

Noun.hostname

  • Finalidade: campo de nome do anfitrião ou nome do domínio do cliente. Não inclua se estiver presente um URL.
  • Codificação: nome de anfitrião RFC 1123 válido.
  • Exemplos:
    • userwin10
    • www.altostrat.com

Noun.platform

  • Finalidade: sistema operativo da plataforma.
  • Codificação: enum
  • Valores possíveis:
    • LINUX
    • MAC
    • WINDOWS
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • Finalidade: nível do patch do sistema operativo da plataforma.
  • Codificação: string alfanumérica com pontuação, máximo de 64 carateres.
  • Exemplo: compilação 17134.48

Noun.platform_version

  • Finalidade: versão do sistema operativo da plataforma.
  • Codificação: string alfanumérica com pontuação, máximo de 64 carateres.
  • Exemplo: Microsoft Windows 10 versão 1803

Noun.process

Noun.ip

  • Finalidade:
    • Endereço IP único associado a uma ligação de rede.
    • Um ou mais endereços IP associados a um dispositivo participante no momento do evento (por exemplo, se um produto EDR conhecer todos os endereços IP associados a um dispositivo, pode codificá-los todos nos campos IP).
  • Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.
  • Repetibilidade:
    • Se um evento estiver a descrever uma ligação de rede específica (por exemplo, srcip:srcport > dstip:dstport), o fornecedor tem de fornecer apenas um único endereço IP.
    • Se um evento estiver a descrever a atividade geral que ocorre num dispositivo participante, mas não uma ligação de rede específica, o fornecedor pode fornecer todos os endereços IP associados ao dispositivo no momento do evento.
  • Exemplos:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • Finalidade: número da porta de rede de origem ou de destino quando uma ligação de rede específica é descrita num evento.
  • Codificação: número de porta TCP/IP válido de 1 a 65 535.

  • Exemplos:

    • 80
    • 443

Noun.mac

  • Finalidade: um ou mais endereços MAC associados a um dispositivo.
  • Codificação: endereço MAC válido (EUI-48) em ASCII.
  • Repetibilidade: o fornecedor pode fornecer todos os endereços MAC associados ao dispositivo no momento do evento.
  • Exemplos:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • Finalidade: domínio ao qual o dispositivo pertence (por exemplo, o domínio Windows).
  • Codificação: string de nome do domínio válida (máximo de 128 carateres).
  • Exemplo: corp.altostrat.com

Noun.registry

Noun.url

  • Finalidade: URL padrão
  • Codificação: URL (RFC 3986). Tem de ter um prefixo de protocolo válido (por exemplo, https:// ou ftp://). Tem de incluir o domínio e o caminho completos. Pode incluir os parâmetros do URL.
  • Exemplo: https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

Preenchimento dos metadados de autenticação

Authentication.AuthType

  • Finalidade: tipo de sistema ao qual um evento de autenticação está associado (UDM do Google Security Operations).
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE: autenticação da máquina
    • FÍSICA: autenticação física (por exemplo, um leitor de emblemas)
    • SSO
    • TACACS: protocolo da família TACACS para autenticação de sistemas em rede (por exemplo, TACACS ou TACACS+)
    • VPN

Authentication.Authentication_Status

  • Finalidade: descreve o estado de autenticação de um utilizador ou de uma credencial específica.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_AUTHENTICATION_STATUS: estado de autenticação predefinido
    • ACTIVE: o método de autenticação está num estado ativo
    • SUSPENSO: o método de autenticação está num estado suspenso ou desativado
    • DELETED: o método de autenticação foi eliminado
    • NO_ACTIVE_CREDENTIALS: o método de autenticação não tem credenciais ativas.

Authentication.auth_details

  • Finalidade: detalhes de autenticação definidos pelo fornecedor.
  • Codificação: string.

Authentication.Mechanism

  • Finalidade: mecanismos usados para autenticação.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • MECHANISM_UNSPECIFIED: mecanismo de autenticação predefinido.
    • BADGE_READER
    • BATCH: autenticação em lote.
    • CACHED_INTERACTIVE: autenticação interativa através de credenciais em cache.
    • HARDWARE_KEY
    • LOCAL
    • MECHANISM_OTHER: outro mecanismo que não está definido aqui.
    • REDE: autenticação de rede.
    • NETWORK_CLEAR_TEXT: autenticação de texto não cifrado de rede.
    • NEW_CREDENTIALS: autenticação com novas credenciais.
    • OTP
    • REMOTO: autenticação remota
    • REMOTE_INTERACTIVE: RDP, serviços de terminal, Virtual Network Computing (VNC), etc.
    • SERVICE: autenticação de serviço.
    • UNLOCK: autenticação de desbloqueio direto com interação humana.
    • USERNAME_PASSWORD

Preenchimento de metadados de DHCP

Os campos de metadados do protocolo de controlo dinâmico de anfitrião (DHCP) capturam informações de registo do protocolo de gestão de rede DHCP.

Dhcp.client_hostname

  • Finalidade: nome do anfitrião para o cliente. Consulte a RFC 2132, DHCP Options and BOOTP Vendor Extensions, para mais informações.
  • Codificação: string.

Dhcp.client_identifier

  • Finalidade: identificador do cliente. Consulte a RFC 2132, DHCP Options and BOOTP Vendor Extensions, para mais informações.
  • Codificação: bytes.

Dhcp.file

  • Finalidade: nome do ficheiro da imagem de arranque.
  • Codificação: string.

Dhcp.flags

  • Finalidade: valor do campo de flags DHCP.
  • Codificação: número inteiro não assinado de 32 bits.

Dhcp.hlen

  • Finalidade: comprimento da morada de hardware.
  • Codificação: número inteiro não assinado de 32 bits.

Dhcp.hops

  • Finalidade: contagem de saltos de DHCP.
  • Codificação: número inteiro não assinado de 32 bits.

Dhcp.htype

  • Finalidade: tipo de endereço de hardware.
  • Codificação: número inteiro não assinado de 32 bits.

Dhcp.lease_time_seconds

  • Finalidade: tempo de concessão pedido pelo cliente para um endereço IP em segundos. Consulte a RFC 2132, DHCP Options and BOOTP Vendor Extensions, para mais informações.
  • Codificação: número inteiro não assinado de 32 bits.

Dhcp.opcode

  • Finalidade: código de operação BOOTP (consulte a secção 3 do RFC 951).
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_OPCODE
    • BOOTREQUEST
    • BOOTREPLY

Dhcp.requested_address

  • Finalidade: identificador do cliente. Consulte a RFC 2132, DHCP Options and BOOTP Vendor Extensions, para mais informações.
  • Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Dhcp.seconds

  • Objetivo: segundos decorridos desde que o cliente iniciou o processo de aquisição/renovação de endereços.
  • Codificação: número inteiro não assinado de 32 bits.

Dhcp.sname

  • Finalidade: nome do servidor a partir do qual o cliente pediu o arranque.
  • Codificação: string.

Dhcp.transaction_id

  • Finalidade: ID da transação do cliente.
  • Codificação: número inteiro não assinado de 32 bits.

Dhcp.type

  • Finalidade: tipo de mensagem DHCP. Consulte a RFC 1533 para mais informações.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_MESSAGE_TYPE
    • DISCOVER
    • OFERTA
    • PEDIR
    • RECUSAR
    • ACK
    • NAK
    • LANÇAMENTO
    • INFORM
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • Finalidade: endereço IP do hardware do cliente.
  • Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Dhcp.ciaddr

  • Finalidade: endereço IP do cliente.
  • Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Dhcp.giaddr

  • Finalidade: endereço IP do agente de transmissão.
  • Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Dhcp.siaddr

  • Finalidade: endereço IP do próximo servidor de arranque.
  • Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Dhcp.yiaddr

  • Finalidade: o seu endereço IP.
  • Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Preenchimento de metadados da opção DHCP

Os campos de metadados da opção DHCP capturam as informações de registo da opção DHCP.

Option.code

  • Finalidade: armazena o código da opção DHCP. Consulte o RFC 1533, DHCP Options and BOOTP Vendor Extensions, para mais informações.
  • Codificação: número inteiro de 32 bits não assinado.

Option.data

  • Finalidade: armazena os dados da opção DHCP. Consulte o RFC 1533, DHCP Options and BOOTP Vendor Extensions, para mais informações.
  • Codificação: bytes.

Preenchimento de metadados de DNS

Os campos de metadados do DNS captam informações relacionadas com pacotes de pedidos e respostas do DNS. Têm uma correspondência individual com os dados encontrados nos datagramas de pedido e resposta de DNS.

Dns.authoritative

  • Finalidade: definido como verdadeiro para servidores DNS autorizados.
  • Codificação: booleano.

Dns.id

  • Finalidade: armazena o identificador de consulta DNS.
  • Codificação: número inteiro de 32 bits.

Dns.response

  • Purpose: defina como true se o evento for uma resposta DNS.
  • Codificação: booleano.

Dns.opcode

  • Finalidade: armazena o OpCode DNS usado para especificar o tipo de consulta DNS (padrão, inverso, estado do servidor, etc.).
  • Codificação: número inteiro de 32 bits.

Dns.recursion_available

  • Finalidade: definido como verdadeiro se estiver disponível uma pesquisa de DNS recursiva.
  • Codificação: booleano.

Dns.recursion_desired

  • Purpose: definido como verdadeiro se for pedida uma procura de DNS recursiva.
  • Codificação: booleano.

Dns.response_code

  • Finalidade: armazena o código de resposta DNS, conforme definido pela RFC 1035, Domain Names - Implementation and Specification.
  • Codificação: número inteiro de 32 bits.

Dns.truncated

  • Purpose: Set to true if this is a truncated DNS response.
  • Codificação: booleano.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

Preenchimento de metadados de perguntas DNS

Os campos de metadados de perguntas de DNS capturam as informações contidas na secção de perguntas de uma mensagem de protocolo de domínio.

Question.name

  • Finalidade: armazena o nome do domínio.
  • Codificação: string.

Question.class

  • Purpose: armazena o código que especifica a classe da consulta.
  • Codificação: número inteiro de 32 bits.

Question.type

  • Purpose: armazena o código que especifica o tipo de consulta.
  • Codificação: número inteiro de 32 bits.

Preenchimento dos metadados dos registos de recursos de DNS

Os campos de metadados do registo de recursos de DNS captam as informações contidas no registo de recursos de uma mensagem de protocolo de domínio.

ResourceRecord.binary_data

  • Finalidade: armazena os bytes não processados de quaisquer strings não UTF8 que possam ser incluídas como parte de uma resposta DNS. Este campo só pode ser usado se os dados de resposta devolvidos pelo servidor DNS contiverem dados que não sejam UTF8. Caso contrário, coloque a resposta de DNS no campo de dados abaixo. Este tipo de informações tem de ser armazenado aqui e não em ResourceRecord.data.

  • Codificação: bytes.

ResourceRecord.class

  • Purpose: armazena o código que especifica a classe do registo de recurso.
  • Codificação: número inteiro de 32 bits.

ResourceRecord.data

  • Finalidade: armazena a carga útil ou a resposta à pergunta de DNS para todas as respostas codificadas no formato UTF-8. Por exemplo, o campo de dados pode devolver o endereço IP da máquina à qual o nome de domínio se refere. Se o registo de recursos for de um tipo ou classe diferente, pode conter outro nome do domínio (quando um nome do domínio é redirecionado para outro nome do domínio). Os dados têm de ser armazenados tal como estão na resposta DNS.
  • Codificação: string.

ResourceRecord.name

  • Finalidade: armazena o nome do proprietário do registo de recurso.
  • Codificação: string.

ResourceRecord.ttl

  • Finalidade: armazena o intervalo de tempo durante o qual o registo de recursos pode ser colocado em cache antes de a origem das informações ter de ser consultada novamente.
  • Codificação: número inteiro de 32 bits.

ResourceRecord.type

  • Purpose: armazena o código que especifica o tipo de registo de recurso.
  • Codificação: número inteiro de 32 bits.

Preenchimento de metadados de email

A maioria dos campos de metadados de email captam os endereços de email incluídos no cabeçalho da mensagem e devem estar em conformidade com o formato de endereço de email padrão (local-mailbox@domain), conforme definido na RFC 5322. Por exemplo, frank@email.example.com.

Email.from

  • Finalidade: armazena o endereço de email from.
  • Codificação: string.

Email.reply_to

  • Finalidade: armazena o endereço de email reply_to.
  • Codificação: string.

Email.to

  • Finalidade: armazena os endereços de email para.
  • Codificação: string.

Email.cc

  • Finalidade: armazena os endereços de email em cc.
  • Codificação: string.

Email.bcc

  • Finalidade: armazena os endereços de email bcc.
  • Codificação: string.

Email.mail_id

  • Finalidade: armazena o ID do correio (ou da mensagem).
  • Codificação: string.
  • Exemplo: 192544.132632@email.example.com

Email.subject

  • Finalidade: armazena a linha de assunto do email.
  • Codificação: string.
  • Exemplo: "Lê esta mensagem."

Preenchimento dos metadados de extensões

Tipos de eventos com metadados de primeira classe que ainda não estão categorizados pelo UDM do Google SecOps. Extensions.auth

  • Finalidade: extensão aos metadados de autenticação.
  • Codificação: string.
  • Exemplos:
    • Metadados do sandbox (todos os comportamentos apresentados por um ficheiro, por exemplo, FireEye).
    • Dados de controlo de acesso à rede (NAC).
    • Detalhes do LDAP sobre um utilizador (por exemplo, função, organização, etc.).

Extensions.auth.auth_details

  • Finalidade: especifique os detalhes específicos do fornecedor para o tipo ou o mecanismo de autenticação. Os fornecedores de autenticação definem frequentemente tipos como via_mfa ou via_ad que fornecem informações úteis sobre o tipo de autenticação. Estes tipos podem continuar a ser generalizados em auth.type ou auth.mechanism para fins de usabilidade e compatibilidade com regras de vários conjuntos de dados.
  • Codificação: string.
  • Exemplos: via_mfa, via_ad.

Extensions.vulns

  • Finalidade: extensão aos metadados de vulnerabilidade.
  • Codificação: string.
  • Exemplo:
    • Alojamento de dados de análise de vulnerabilidades de anfitriões.

Preenchimento dos metadados dos ficheiros

File.file_metadata

  • Finalidade: metadados associados ao ficheiro.
  • Codificação: string.
  • Exemplos:
    • Autor
    • Número da revisão
    • Número da versão
    • Data da última gravação

File.full_path

  • Finalidade: caminho completo que identifica a localização do ficheiro no sistema.
  • Codificação: string.
  • Exemplo: \Program Files\Custom Utilities\Test.exe

File.md5

  • Finalidade: valor hash MD5 do ficheiro.
  • Codificação: string, hexadecimal em minúsculas.
  • Exemplo: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Finalidade: tipo Multipurpose Internet Mail Extensions (MIME) do ficheiro.
  • Codificação: string.
  • Exemplos:
    • PE
    • PDF
    • script do PowerShell

File.sha1

  • Finalidade: valor hash SHA-1 do ficheiro.
  • Codificação: string, hexadecimal em minúsculas.
  • Exemplo: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Finalidade: valor hash SHA-256 do ficheiro.
  • Codificação: string, hexadecimal em minúsculas.
  • Exemplo:
    • d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • Finalidade: tamanho do ficheiro.
  • Codificação: número inteiro sem sinal de 64 bits.
  • Exemplo: 342135.

Preenchimento de metadados de FTP

Ftp.command

  • Finalidade: armazena o comando FTP.
  • Codificação: string.
  • Exemplos:
    • binário
    • eliminar
    • receber
    • põe

Preenchimento dos metadados do grupo

Informações sobre um grupo organizacional.

Group.creation_time

  • Finalidade: hora de criação do grupo.
  • Codificação: RFC 3339, conforme adequado para o formato de data/hora JSON ou Proto3.

Group.email_addresses

  • Finalidade: agrupar informações de contacto.
  • Codificação: email.

Group.group_display_name

  • Finalidade: nome a apresentar do grupo.
  • Codificação: string.
  • Exemplos:
    • Finanças
    • RH
    • Marketing

Group.product_object_id

  • Finalidade: identificador de objeto de utilizador exclusivo a nível global para o produto, como um identificador de objeto LDAP.
  • Codificação: string.

Group.windows_sid

  • Finalidade: campo de atributo do grupo do identificador de segurança (SID) do Microsoft Windows.
  • Codificação: string.

Preenchimento de metadados HTTP

Http.method

  • Finalidade: armazena o método de pedido HTTP.
  • Codificação: string.
  • Exemplos:
    • GET
    • TÍTULO
    • POST

Http.referral_url

  • Finalidade: armazena o URL do referenciador HTTP.
  • Codificação: URL RFC 3986 válido.
  • Exemplo: https://www.altostrat.com

Http.response_code

  • Finalidade: armazena o código de estado da resposta HTTP, que indica se um pedido HTTP específico foi concluído com êxito.
  • Codificação: número inteiro de 32 bits.
  • Exemplos:
    • 400
    • 404

Http.user_agent

  • Finalidade: armazena o cabeçalho do pedido de User-Agent, que inclui o tipo de aplicação, o sistema operativo, o fornecedor de software ou a versão do software do agente do utilizador do software requerente.
  • Codificação: string.
  • Exemplos:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, como o Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Preenchimento dos metadados de localização

Location.city

  • Finalidade: armazena o nome da cidade.
  • Codificação: string.
  • Exemplos:
    • Sunnyvale
    • Chicago
    • Málaga

Location.country_or_region

  • Finalidade: armazena o nome do país ou da região do mundo.
  • Codificação: string.
  • Exemplos:
    • Estados Unidos
    • Reino Unido
    • Espanha

Location.name

  • Finalidade: armazena o nome específico da empresa, como um edifício ou um campus.
  • Codificação: string.
  • Exemplos:
    • Campus 7B
    • Edifício A2

Location.state

  • Finalidade: armazena o nome do estado, da província ou do território.
  • Codificação: string.
  • Exemplos:
    • Califórnia
    • Illinois
    • Ontário

Preenchimento dos metadados da rede

Network.application_protocol

  • Finalidade: indica o protocolo de aplicação de rede.
  • Codificação: tipo enumerado.

  • Valores possíveis:

    • UNKNOWN_APPLICATION_PROTOCOL
    • AFP
    • APPC
    • AMQP
    • ATOM
    • BEEP
    • BITCOIN
    • BIT_TORRENT
    • CFDP
    • CIP
    • COAP
    • COTP
    • DCERPC
    • DDS
    • DEVICE_NET
    • DHCP
    • DICOM
    • DNP3
    • DNS
    • E_DONKEY
    • ENRP
    • FAST_TRACK
    • FINGER
    • FREENET
    • FTAM
    • GOOSE
    • GOPHER
    • GRPC
    • HL7
    • H323
    • HTTP
    • HTTPS
    • IEC104
    • IRCP
    • KADEMLIA
    • KRB5
    • LDAP
    • LPD
    • MIME
    • MMS
    • MODBUS
    • MQTT
    • NETCONF
    • NFS
    • NIS
    • NNTP
    • NTCIP
    • NTP
    • OSCAR
    • PNRP
    • PTP
    • QUIC
    • RDP
    • RELP
    • RIP
    • RLOGIN
    • RPC
    • RTMP
    • PTTR
    • RTPS
    • RTSP
    • SAP
    • SDP
    • SIP
    • SLP
    • SMB
    • SMTP
    • SNMP
    • SNTP
    • SSH
    • SSMS
    • STYX
    • SV
    • TCAP
    • TDS
    • TOR
    • TSP
    • VTP
    • WHOIS
    • WEB_DAV
    • X400
    • X500
    • XMPP

Network.direction

  • Finalidade: indica a direção do tráfego de rede.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_DIRECTION
    • INBOUND
    • OUTBOUND
    • TRANSMISSÃO

Network.email

  • Finalidade: especifica o endereço de email do remetente/destinatário.
  • Codificação: string.
  • Exemplo: jcheng@company.example.com

Network.ip_protocol

  • Finalidade: indica o protocolo IP.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP: Enhanced Interior Gateway Routing Protocol
    • ESP: Encapsulating Security Payload
    • ETHERIP: encapsulamento de Ethernet em IP
    • GRE: Generic Routing Encapsulation
    • ICMP: protocolo de mensagens de controlo da Internet
    • IGMP: Protocolo de gestão de grupos da Internet
    • IP6IN4: encapsulamento IPv6
    • PIM: Protocol Independent Multicast
    • TCP: Protocolo de controlo de transmissão
    • UDP: Protocolo UDP
    • VRRP: protocolo de redundância de routers virtuais

Network.received_bytes

  • Finalidade: especifica o número de bytes recebidos.
  • Codificação: número inteiro sem sinal de 64 bits.
  • Exemplo: 12 453 654 768

Network.sent_bytes

  • Finalidade: especifica o número de bytes enviados.
  • Codificação: número inteiro sem sinal de 64 bits.
  • Exemplo: 7 654 876

Network.session_duration

  • Finalidade: armazena a duração da sessão de rede, normalmente devolvida num evento de abandono para a sessão. Para definir a duração, pode definir network.session_duration.seconds = 1 (tipo int64) ou network.session_duration.nanos = 1 (tipo int32).
  • Codificação:
    • Número inteiro de 32 bits: para segundos (network.session_duration.seconds).
    • Número inteiro de 64 bits: para nanosegundos (network.session_duration.nanos).

Network.session_id

  • Finalidade: armazena o identificador da sessão de rede.
  • Codificação: string.
  • Exemplo: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Preenchimento de metadados do processo

Process.command_line

  • Finalidade: armazena a string da linha de comandos para o processo.
  • Codificação: string.
  • Exemplo: c:\windows\system32\net.exe group

Process.product_specific_process_id

  • Finalidade: armazena o ID do processo específico do produto.
  • Codificação: string.
  • Exemplos: MySQL:78778 ou CS:90512

Process.parent_process.product_specific_process_id

  • Finalidade: armazena o ID do processo específico do produto para o processo principal.
  • Codificação: string.
  • Exemplos: MySQL:78778 ou CS:90512

Process.file

  • Finalidade: armazena o nome do ficheiro que está a ser usado pelo processo.
  • Codificação: string.
  • Exemplo: report.xls

Process.parent_process

  • Finalidade: armazena os detalhes do processo principal.
  • Codificação: substantivo (processo)

Process.pid

  • Finalidade: armazena o ID do processo.
  • Codificação: string.
  • Exemplos:
    • 308
    • 2002

Preenchimento de metadados do registo

Registry.registry_key

  • Finalidade: armazena a chave de registo associada a uma aplicação ou a um componente do sistema.
  • Codificação: string.
  • Exemplo: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Finalidade: armazena o nome do valor de registo associado a um componente do sistema ou de uma aplicação.
  • Codificação: string.
  • Exemplo: TEMP

Registry.registry_value_data

  • Finalidade: armazena os dados associados a um valor de registo.
  • Codificação: string.
  • Exemplo: %USERPROFILE%\Local Settings\Temp

Preenchimento dos metadados do resultado de segurança

Os metadados do resultado de segurança incluem detalhes sobre os riscos e as ameaças de segurança que foram encontrados por um sistema de segurança, bem como as ações realizadas para mitigar esses riscos e ameaças.

SecurityResult.about

  • Finalidade: faculte uma descrição do resultado de segurança.
  • Codificação: substantivo.

SecurityResult.action

  • Finalidade: especifique uma ação de segurança.
  • Codificação: tipo enumerado.
  • Valores possíveis: o UDM do Google SecOps define as seguintes ações de segurança:
    • PERMITIR
    • ALLOW_WITH_MODIFICATION: o ficheiro ou o email foi desinfetado ou reescrito e continua a ser encaminhado.
    • BLOQUEAR
    • QUARANTINE: armazena para análise posterior (não significa bloquear).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Finalidade: detalhes fornecidos pelo fornecedor da ação tomada como resultado do incidente de segurança. As ações de segurança são, muitas vezes, melhor traduzidas no campo UDM Security_Result.action mais geral. No entanto, pode ter de escrever regras para a descrição exata da ação fornecida pelo fornecedor.
  • Codificação: string.
  • Exemplos: rejeitar, bloquear, desencriptar, encriptar.

SecurityResult.category

  • Finalidade: especifique uma categoria de segurança.
  • Codificação: enumeração.
  • Valores possíveis: o UDM do Google SecOps define as seguintes categorias de segurança:
    • ACL_VIOLATION: tentativa de acesso não autorizado, incluindo tentativa de acesso a ficheiros, serviços Web, processos, objetos Web, etc.
    • AUTH_VIOLATION: falha na autenticação, como uma palavra-passe incorreta ou uma autenticação de 2 fatores incorreta.
    • DATA_AT_REST—DLP: dados de sensores encontrados em repouso numa análise.
    • DATA_DESTRUCTION: tentativa de destruir/eliminar dados.
    • DATA_EXFILTRATION: DLP: transmissão de dados de sensores, cópia para unidade USB.
    • EXPLOIT: tentativas de overflow, codificações de protocolo incorretas, ROP, injeção SQL, etc., baseadas na rede e no anfitrião.
    • MAIL_PHISHING: email de phishing, mensagens de chat, etc.
    • MAIL_SPAM: email, mensagem, etc. de spam
    • MAIL_SPOOFING: endereço de email de origem de spoofing, etc.
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL: se o canal de comando e controlo for conhecido.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS: comando e controlo, exploração de rede, atividade suspeita, potencial túnel inverso, etc.
    • NETWORK_SUSPICIOUS: não relacionado com segurança, por exemplo, o URL está associado a jogos de azar, etc.
    • NETWORK_RECON: análise de portas detetada por um IDS, sondagem por uma aplicação Web.
    • POLICY_VIOLATION: violação da política de segurança, incluindo violações de regras de firewall, proxy e HIPS ou ações de bloqueio de NAC.
    • SOFTWARE_MALICIOUS: software malicioso, spyware, rootkits, etc.
    • SOFTWARE_PUA: app potencialmente indesejada, como adware, etc.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • Finalidade: especifique uma confiança relativamente a um evento de segurança, conforme estimado pelo produto.
  • Codificação: enumeração.
  • Valores possíveis: o UDM do Google SecOps define as seguintes categorias de confiança do produto:
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Finalidade: detalhes adicionais relativamente à confiança de um evento de segurança, conforme estimado pelo fornecedor do produto.
  • Codificação: string.

SecurityResult.priority

  • Finalidade: especifique uma prioridade relativamente a um evento de segurança, conforme estimado pelo fornecedor do produto.
  • Codificação: enumeração.
  • Valores possíveis: o UDM do Google SecOps define as seguintes categorias de prioridade do produto:
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIUM_PRIORITY
    • HIGH_PRIORITY

SecurityResult.priority_details

  • Objetivo: informações específicas do fornecedor sobre a prioridade do resultado de segurança.
  • Codificação: string.

SecurityResult.rule_id

  • Finalidade: identificador da regra de segurança.
  • Codificação: string.
  • Exemplos:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Finalidade: nome da regra de segurança.
  • Codificação: string.
  • Exemplo: BlockInboundToOracle.

SecurityResult.severity

  • Finalidade: gravidade de um evento de segurança, conforme estimado pelo fornecedor do produto, através de valores definidos pelo UDM do Google SecOps.
  • Codificação: enumeração.
  • Valores possíveis: o UDM do Google SecOps define as seguintes gravidades do produto:
    • UNKNOWN_SEVERITY: não malicioso
    • INFORMATIVO: não malicioso
    • ERRO: não malicioso
    • BAIXO: malicioso
    • MÉDIA: maliciosa
    • ALTA: maliciosa

SecurityResult.severity_details

  • Finalidade: gravidade de um evento de segurança, conforme estimado pelo fornecedor do produto.
  • Codificação: string.

SecurityResult.threat_name

  • Finalidade: nome da ameaça de segurança.
  • Codificação: string.
  • Exemplos:
    • W32/File-A
    • Slammer

SecurityResult.url_back_to_product

  • Finalidade: URL que lhe permite aceder à consola do produto de origem para este evento de segurança.
  • Codificação: string.

Preenchimento de metadados do utilizador

User.email_addresses

  • Finalidade: armazena os endereços de email do utilizador.
  • Codificação: string repetida.
  • Exemplo: johnlocke@company.example.com

User.employee_id

  • Finalidade: armazena o ID do funcionário dos recursos humanos do utilizador.
  • Codificação: string.
  • Exemplo: 11223344.

User.first_name

  • Finalidade: armazena o nome próprio do utilizador.
  • Codificação: string.
  • Exemplo: João.

User.middle_name

  • Finalidade: armazena o segundo nome do utilizador.
  • Codificação: string.
  • Exemplo: António.

User.last_name

  • Finalidade: armazena o apelido do utilizador.
  • Codificação: string.
  • Exemplo: Locke.

User.group_identifiers

  • Finalidade: armazena os IDs de grupos (um GUID, um OID LDAP ou semelhante) associados a um utilizador.
  • Codificação: string repetida.
  • Exemplo: admin-users.

User.phone_numbers

  • Finalidade: armazena os números de telefone do utilizador.
  • Codificação: string repetida.
  • Exemplo: 800-555-0101

User.title

  • Finalidade: armazena o cargo do utilizador.
  • Codificação: string.
  • Exemplo: gestor das relações com clientes.

User.user_display_name

  • Finalidade: armazena o nome a apresentar do utilizador.
  • Codificação: string.
  • Exemplo: John Locke.

User.userid

  • Finalidade: armazena o ID do utilizador.
  • Codificação: string.
  • Exemplo: jlocke.

User.windows_sid

  • Finalidade: armazena o identificador de segurança (SID) do Microsoft Windows associado a um utilizador.
  • Codificação: string.
  • Exemplo: S-1-5-21-1180649209-123456789-3582944384-1064

Preenchimento de metadados de vulnerabilidade

Vulnerability.about

  • Finalidade: se a vulnerabilidade estiver relacionada com um substantivo específico (por exemplo, executável), adicione-o aqui.
  • Codificação: substantivo. Consulte o artigo Preenchimento dos metadados de substantivos
  • Exemplo: executável.

Vulnerability.cvss_base_score

  • Finalidade: pontuação base para o Common Vulnerability Scoring System (CVSS).
  • Codificação: vírgula flutuante.
  • Intervalo: 0,0 a 10,0
  • Exemplo: 8,5

Vulnerability.cvss_vector

  • Objetivo: vetor para as propriedades CVSS da vulnerabilidade. Uma pontuação CVSS é composta pelas seguintes métricas:

    • Vetor de ataque (AV)
    • Complexidade de acesso (AC)
    • Autenticação (Au)
    • Impacto na confidencialidade (C)
    • Impacto na integridade (I)
    • Impacto na disponibilidade (A)

    Para mais informações, consulte https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.

  • Codificação: string.

  • Exemplo: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Finalidade: versão do CVSS para a pontuação ou o vetor de vulnerabilidade.
  • Codificação: string.
  • Exemplo: 3.1

Vulnerability.description

  • Finalidade: descrição da vulnerabilidade.
  • Codificação: string.

Vulnerability.first_found

  • Objetivo: os produtos que mantêm um histórico de análises de vulnerabilidades devem preencher first_found com a hora em que a vulnerabilidade deste recurso foi detetada pela primeira vez.
  • Codificação: string.

Vulnerability.last_found

  • Finalidade: os produtos que mantêm um histórico de análises de vulnerabilidades devem preencher last_found com a hora em que a vulnerabilidade deste recurso foi detetada mais recentemente.
  • Codificação: string.

Vulnerability.name

  • Finalidade: nome da vulnerabilidade.
  • Codificação: string.
  • Exemplo: foi detetada uma versão do SO não suportada.

Vulnerability.scan_end_time

  • Objetivo: se a vulnerabilidade foi descoberta durante uma análise de recursos, preencha este campo com a hora em que a análise terminou. Deixe este campo vazio se a hora de fim não estiver disponível ou não for aplicável.
  • Codificação: string.

Vulnerability.scan_start_time

  • Finalidade: se a vulnerabilidade foi descoberta durante uma análise de recursos, preencha este campo com a hora em que a análise foi iniciada. Deixe este campo vazio se a hora de início não estiver disponível ou não for aplicável.
  • Codificação: string.

Vulnerability.severity

  • Finalidade: gravidade da vulnerabilidade.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_SEVERITY
    • BAIXO
    • MÉDIA
    • ALTA

Vulnerability.severity_details

  • Finalidade: detalhes de gravidade específicos do fornecedor.
  • Codificação: string.

Preenchimento dos metadados de alerta

idm.is_significant

  • Purpose: especifica se o alerta deve ser apresentado nas estatísticas empresariais.
  • Codificação: booleano

idm.is_alert

  • Purpose: identifica se o evento é um alerta.
  • Codificação: booleano

Campos obrigatórios e opcionais para cada tipo de evento

Esta secção descreve os campos obrigatórios e opcionais que devem ser preenchidos para cada tipo de evento de UDM.

Para mais detalhes sobre campos específicos do UDM, consulte a lista de campos do modelo de dados unificado.

EMAIL_TRANSACTION

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • principal: preenchido com informações sobre o computador a partir do qual a mensagem de email foi enviada. Por exemplo, o endereço IP do remetente.

Campos opcionais:

  • Acerca de: URLs, IPs, domínios e quaisquer anexos de ficheiros incorporados no corpo do email.
  • securityResult.about: URLs, IPs e ficheiros incorretos incorporados no corpo do email.
  • network.email: informações do remetente/destinatário do email.
  • principal: se existirem dados da máquina cliente sobre quem enviou o email, preencha os detalhes do servidor em principal (por exemplo, o processo do cliente, os números de porta, o nome de utilizador, etc.).
  • target: se existirem dados do servidor de email de destino, preencha os detalhes do servidor no destino (por exemplo, o endereço IP).
  • intermediary: se existirem dados do servidor de correio ou dados do proxy de correio, preencha os detalhes do servidor em intermediary.

Notas:

  • Nunca preencha principal.email nem target.email.
  • Preencha apenas o campo de email em security_result.about ou network.email.
  • Os resultados de segurança de nível superior têm geralmente um conjunto de substantivos (opcional para spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ e FILE_OPEN

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • principal:
    • Pelo menos, um identificador de máquina.
    • (Opcional) Preencha principal.process com informações sobre o processo que acede ao ficheiro.
  • target:
    • Se o ficheiro for remoto (por exemplo, partilha SMB), o destino tem de incluir, pelo menos, um identificador de máquina para a máquina de destino. Caso contrário, todos os identificadores de máquina têm de estar em branco.
    • Preencha target.file com informações sobre o ficheiro.

Campos opcionais:

  • security_result: descreva a atividade maliciosa detetada.
  • principal.user: preencha se estiverem disponíveis informações do utilizador sobre o processo.

FILE_COPY

Campos obrigatórios:

  • Metadados: inclua os campos obrigatórios conforme descrito.
  • principal:
    • Pelo menos, um identificador de máquina.
    • (Opcional) Preencha principal.process com informações sobre o processo que está a realizar a operação de cópia de ficheiros.
  • src:
    • Preencha src.file com informações sobre o ficheiro de origem.
    • Se o ficheiro for remoto (por exemplo, partilha SMB), o elemento src tem de incluir, pelo menos, um identificador de máquina para a máquina de origem que armazena o ficheiro de origem.
  • target:
    • Preencha target.file com informações sobre o ficheiro de destino.
    • Se o ficheiro for remoto (por exemplo, partilha SMB), o campo target tem de incluir, pelo menos, um identificador de máquina para a máquina de destino que contém o ficheiro de destino.

Campos opcionais:

  • security_result: descreva a atividade maliciosa detetada.
  • principal.user: preencha se estiverem disponíveis informações do utilizador sobre o processo.

MUTEX_CREATION

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • principal:
    • Pelo menos, um identificador de máquina.
    • Preencha principal.process com informações sobre o processo que cria o mutex.
  • target:
    • Preencha target.resource.
    • Preencha target.resource.type com MUTEX.
    • Preencha target.resource.name com o nome do mutex criado.

Campos opcionais:

  • security_result: descreva a atividade maliciosa detetada.
  • principal.user: preencha se estiverem disponíveis informações do utilizador sobre o processo.
Exemplo de UDM para MUTEX_CREATION

O exemplo seguinte ilustra como um evento do tipo MUTEX_CREATION seria formatado para o UDM do Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

  • metadata: informações de contexto sobre o evento.
  • principal: detalhes do dispositivo e do processo.
  • target: informações sobre o mutex.

NETWORK_CONNECTION

Campos obrigatórios:

  • metadata: event_timestamp
  • principal: inclua detalhes sobre a máquina que iniciou a ligação de rede (por exemplo, origem).
  • target: inclua detalhes sobre a máquina de destino, se for diferente da máquina principal.
  • network: capture detalhes sobre a ligação de rede (portas, protocolo, etc.).

Campos opcionais:

  • principal.process e target.process: incluem informações do processo associadas ao principal e ao destino da ligação de rede (se disponíveis).
  • principal.user e target.user: incluem informações do utilizador associadas ao principal e ao destino da ligação de rede (se disponíveis).

NETWORK_HTTP

O tipo de evento NETWORK_HTTP representa uma ligação de rede HTTP de um principal a um servidor Web de destino.

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • principal: representa o cliente que inicia o pedido Web e inclui, pelo menos, um identificador de máquina (por exemplo, nome de anfitrião, IP, MAC, identificador de recurso proprietário) ou um identificador de utilizador (por exemplo, nome de utilizador). Se for descrita uma ligação de rede específica e estiver disponível um número de porta do cliente, tem de ser especificado apenas um endereço IP juntamente com o número de porta associado a essa ligação de rede (embora possam ser fornecidos outros identificadores da máquina para descrever melhor o dispositivo do participante). Se não estiver disponível nenhuma porta de origem, podem ser especificados todos os endereços IP e MAC, identificadores de recursos e valores de nome de anfitrião que descrevem o dispositivo principal.
  • target: representa o servidor Web e inclui informações do dispositivo e, opcionalmente, um número da porta. Se estiver disponível um número de porta de destino, especifique apenas um endereço IP, além do número de porta associado a essa ligação de rede (embora possam ser fornecidos vários outros identificadores de máquinas para o destino). Para target.url, preencha com o URL acedido.
  • network e network.http: inclui detalhes sobre a ligação de rede HTTP. Tem de preencher os seguintes campos:
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Campos opcionais:

  • about: representa outras entidades encontradas na transação HTTP (por exemplo, um ficheiro carregado ou transferido).
  • intermediary: representa um servidor proxy (se for diferente do principal ou do destino).
  • metadados: preencha os outros campos de metadados.
  • network: preencha outros campos da rede.
  • network.email: se a ligação de rede HTTP tiver origem num URL que apareceu numa mensagem de email, preencha network.email com os detalhes.
  • observer: representa um sniffer passivo (se existir).
  • security_result: adicione um ou mais itens ao campo security_result para representar a atividade maliciosa detetada.
Exemplo de UDM para NETWORK_HTTP

O exemplo seguinte ilustra como um evento de antivírus Sophos do tipo NETWORK_HTTP seria convertido para o formato UDM do Google SecOps.

Segue-se o evento original do antivírus Sophos:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Veja como formataria as mesmas informações no Proto3 usando a sintaxe do UDM do Google SecOps:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Google Security Operations-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

  • metadata: informações de contexto sobre o evento.
  • principal: dispositivo de segurança que detetou o evento.
  • target: dispositivo que recebeu o software malicioso.
  • network: informações de rede sobre o anfitrião malicioso.
  • security_result: detalhes de segurança sobre o software malicioso.
  • additional: Vendor information currently outside the scope of the UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • principal:
    • Pelo menos, um identificador de máquina.
    • Para eventos de injeção de processos e de encerramento de processos, se disponíveis, o elemento principal.process tem de incluir informações sobre o processo que inicia a ação (por exemplo, para um evento de lançamento de processos, o elemento principal.process tem de incluir detalhes sobre o processo principal, se disponíveis).
  • target:
    • target.process: inclui informações sobre o processo que está a ser injetado, aberto, iniciado ou terminado.
    • Se o processo de destino for remoto, o destino tem de incluir, pelo menos, um identificador de máquina para a máquina de destino (por exemplo, um endereço IP, um MAC, um nome de anfitrião ou um identificador de recurso de terceiros).

Campos opcionais:

  • security_result: descreva a atividade maliciosa detetada.
  • principal.user e target.user: preenchem o processo de iniciação (principal) e o processo de destino se as informações do utilizador estiverem disponíveis.
Exemplo de UDM para PROCESS_LAUNCH

O exemplo seguinte ilustra como formataria um evento PROCESS_LAUNCH usando a sintaxe do UDM do Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

  • metadata: informações de contexto sobre o evento.
  • principal: Device details.
  • target: Process details.

PROCESS_MODULE_LOAD

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • principal:
    • Pelo menos, um identificador de máquina.
    • principal.process: Processo de carregamento do módulo.
  • target:
    • target.process: inclui informações sobre o processo.
    • target.process.file: Module loaded (for example, the DLL or shared object).

Campos opcionais:

  • security_result: descreva a atividade maliciosa detetada.
  • principal.user: preencha se estiverem disponíveis informações do utilizador sobre o processo.
Exemplo de UDM para PROCESS_MODULE_LOAD

O exemplo seguinte ilustra como formataria um evento PROCESS_MODULE_LOAD usando a sintaxe UDM do Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

  • metadata: informações de contexto sobre o evento.
  • principal: detalhes sobre o dispositivo e o processo que carrega o módulo.
  • target: Process and module details.

PROCESS_PRIVILEGE_ESCALATION

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • principal:
    • Pelo menos, um identificador de máquina.
    • principal.process: Processo de carregamento do módulo.
    • principal.user: utilizador que está a carregar o módulo.

Campos opcionais:

  • security_result: descreva a atividade maliciosa detetada.
Exemplo de UDM para PROCESS_PRIVILEGE_ESCALATION

O exemplo seguinte ilustra como formataria um evento PROCESS_PRIVILEGE_ESCALATION usando a sintaxe UDM do Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

  • metadata: informações de contexto sobre o evento.
  • principal: detalhes sobre o dispositivo, o utilizador e o processo que carrega o módulo.
  • target: Process and module details.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • principal:
    • Pelo menos, um identificador de máquina.
    • Se um processo no modo de utilizador realizar a modificação do registo, o principal.process tem de incluir informações sobre o processo que está a modificar o registo.
    • Se um processo do kernel realizar a modificação do registo, o principal não pode incluir informações do processo.
  • target:
    • target.registry: se o registo de destino for remoto, o destino tem de incluir, pelo menos, um identificador para a máquina de destino (por exemplo, um endereço IP, um MAC, um nome de anfitrião ou um identificador de recurso de terceiros).
    • target.registry.registry_key: todos os eventos de registo têm de incluir a chave de registo afetada.

Campos opcionais:

  • security_result: descreva a atividade maliciosa detetada. Por exemplo, uma chave da base de dados de registo incorreta.
  • principal.user: preenchido se estiverem disponíveis informações do utilizador acerca do processo.
Exemplo de UDM para REGISTRY_MODIFICATION

O exemplo seguinte ilustra como formataria um evento REGISTRY_MODIFICATION no Proto3 usando a sintaxe do UDM do Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

  • metadata: informações de contexto sobre o evento.
  • principal: detalhes do dispositivo, do utilizador e do processo.
  • target: entrada do registo afetada pela modificação.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Campos obrigatórios:

  • extensions: para SCAN_VULN_HOST e SCAN_VULN_NETWORK, defina a vulnerabilidade através do campo extensions.vuln.
  • metadata: event_timestamp
  • observer: capturar informações sobre o próprio scanner. Se o leitor for remoto, os detalhes da máquina têm de ser capturados pelo campo de observador. Para um scanner local, deixe o campo vazio.
  • target: capturar informações sobre a máquina que contém o objeto a ser analisado. Se um ficheiro estiver a ser analisado, target.file tem de capturar informações sobre o ficheiro analisado. Se um processo estiver a ser analisado, target.process tem de capturar informações sobre o processo analisado.

Campos opcionais:

  • target: os detalhes do utilizador sobre o objeto de destino (por exemplo, o criador do ficheiro ou o proprietário do processo) devem ser capturados em target.user.
  • security_result: descreva a atividade maliciosa detetada.
Exemplo de UDM para SCAN_HOST

O exemplo seguinte ilustra como um evento do tipo SCAN_HOST seria formatado para o UDM do Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

  • metadata: informações de contexto sobre o evento.
  • target: dispositivo que recebeu o software malicioso.
  • observer: dispositivo que observa e comunica o evento em questão.
  • security_result: detalhes de segurança sobre o software malicioso.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Campos obrigatórios:

  • principal: para todos os eventos SCHEDULED_TASK, o principal tem de incluir um identificador de máquina e um identificador de utilizador.
  • target: o destino tem de incluir um recurso válido e um tipo de recurso definido como "TASK".

Campos opcionais:

  • security_result: descreva a atividade maliciosa detetada.
Exemplo de UDM para SCHEDULED_TASK_CREATION

O exemplo seguinte ilustra como um evento do tipo SCHEDULED_TASK_CREATION pode ser formatado para o UDM do Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

  • metadata: informações de contexto sobre o evento.
  • principal: dispositivo que agendou a tarefa suspeita.
  • target: software segmentado pela tarefa suspeita.
  • intermediary: intermediário envolvido na tarefa suspeita.
  • security_result: detalhes de segurança sobre a tarefa suspeita.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Campos obrigatórios:

  • principal: tem de estar presente, não pode estar vazio e tem de incluir um identificador da máquina.
  • target: tem de estar presente, não pode estar vazio e tem de incluir um recurso com o respetivo tipo especificado como SETTING
Exemplo de UDM para o tipo de evento SETTING_MODIFICATION

O exemplo seguinte ilustra como um evento do tipo SETTING_MODIFICATION seria formatado para o UDM do Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

  • metadata: informações de contexto sobre o evento.
  • principal: informações sobre o dispositivo no qual ocorreu a modificação da definição.
  • target: Resource details.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Campos obrigatórios:

  • target: inclua o identificador do utilizador e especifique o processo ou a aplicação.
  • principal: inclua, pelo menos, um identificador de máquina (endereço IP ou MAC, nome de anfitrião ou identificador de recurso).
Exemplo de UDM para SERVICE_UNSPECIFIED

O exemplo seguinte ilustra como um evento do tipo SERVICE_UNSPECIFIED seria formatado para o UDM do Google SecOps:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

  • metadata: informações de contexto sobre o evento.
  • principal: detalhes do dispositivo e da localização.
  • target: nome de anfitrião e identificador do utilizador.
  • application: nome da aplicação e tipo de recurso.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • principal: pelo menos, um identificador de máquina (endereço IP ou MAC, nome de anfitrião ou identificador de recurso).
Exemplo de UDM para STATUS_HEARTBEAT

O exemplo seguinte ilustra como um evento do tipo STATUS_HEARTBEAT seria formatado para o UDM do Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

  • metadata: informações de contexto sobre o evento.
  • principal: detalhes do dispositivo e da localização.
  • Intermediário: endereço IP do dispositivo.
  • security_result: detalhes do resultado de segurança.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Campos obrigatórios:

  • principal: inclua um identificador do utilizador que realizou a operação no registo e um identificador da máquina onde o registo está ou estava (no caso da limpeza) armazenado.
Exemplo de UDM para SYSTEM_AUDIT_LOG_WIPE

O exemplo seguinte ilustra como um evento do tipo SYSTEM_AUDIT_LOG_WIPE seria formatado para o UDM do Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

  • metadata: informações de contexto sobre o evento.
  • principal: detalhes do dispositivo e do utilizador.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • principal: se a conta de utilizador for modificada a partir de uma localização remota, preencha o principal com informações sobre o computador a partir do qual a modificação do utilizador foi originada.
  • target: preencha target.user com informações sobre o utilizador que foi modificado.
  • intermediary: para inícios de sessão único, o intermediário tem de incluir, pelo menos, um identificador de máquina para o servidor de SSO, se disponível.

USER_COMMUNICATION

Campos obrigatórios:

  • principal: preencha o campo principal.user com detalhes associados à comunicação iniciada pelo utilizador (remetente), como uma mensagem de chat no Google Chat ou no Slack, uma videoconferência ou uma conferência de voz no Zoom ou no Google Meet, ou uma ligação VoIP.

Campos opcionais:

  • target: (Recomendado) Preencha o campo target.user com informações sobre o utilizador de destino (destinatário) do recurso de comunicação na nuvem. Preencha o campo target.application com informações sobre a aplicação de comunicação na nuvem de destino.

USER_CREATION, USER_DELETION

Campos obrigatórios:

  • metadata: event_timestamp
  • principal: inclua informações sobre a máquina a partir da qual o pedido para criar ou eliminar o utilizador foi originado. Para uma criação ou eliminação de utilizador local, o principal tem de incluir, pelo menos, um identificador de máquina para a máquina de origem.
  • target: localização onde o utilizador está a ser criado. Também tem de incluir informações do utilizador (por exemplo, target.user).

Campos opcionais:

  • principal: detalhes do utilizador e do processo da máquina onde o pedido de criação ou eliminação do utilizador foi iniciado.
  • target: informações sobre a máquina de destino (se for diferente da máquina principal).

USER_LOGIN, USER_LOGOUT

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • principal: para a atividade do utilizador remoto (por exemplo, início de sessão remoto), preencha o principal com informações sobre a máquina que origina a atividade do utilizador. Para a atividade do utilizador local (por exemplo, início de sessão local), não defina o principal.
  • target: preencha target.user com informações sobre o utilizador que iniciou ou terminou sessão. Se o principal não estiver definido (por exemplo, início de sessão local), o destino também tem de incluir, pelo menos, um identificador da máquina que identifique a máquina de destino. Para a atividade do utilizador de máquina para máquina (por exemplo, início de sessão remoto, SSO, serviço na nuvem, VPN), o destino tem de incluir informações sobre a aplicação de destino, a máquina de destino ou o servidor VPN de destino.
  • intermediary: para inícios de sessão único, o intermediário tem de incluir, pelo menos, um identificador de máquina para o servidor de SSO, se disponível.
  • network e network.http: se o início de sessão ocorrer através de HTTP, tem de colocar todos os detalhes disponíveis em network.ip_protocol, network.application_protocol e network.http.
  • Extensão authentication: tem de identificar o tipo de sistema de autenticação ao qual o evento está relacionado (por exemplo, máquina, SSO ou VPN) e o mecanismo usado (nome de utilizador e palavra-passe, PUU, etc.).
  • security_result: adicione um campo security_result para representar o estado de início de sessão se falhar. Especifique security_result.category com o valor AUTH_VIOLATION se a autenticação falhar.

USER_RESOURCE_ACCESS

Campos obrigatórios:

  • principal: preencha o campo principal.user com detalhes sobre as tentativas de acesso a um recurso na nuvem (por exemplo, um registo do Salesforce, um calendário do Office365, um documento do Google ou um pedido de assistência do ServiceNow).
  • target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

  • target.application: (Recomendado) Preencha o campo target.application com informações sobre a aplicação na nuvem de destino.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campos obrigatórios:

  • principal: preencha o campo principal.user com detalhes associados ao utilizador criado num recurso da nuvem (por exemplo, um registo do Salesforce, um calendário do Office 365, um documento do Google ou um pedido do ServiceNow).
  • target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

  • target.application: (Recomendado) Preencha o campo target.application com informações sobre a aplicação na nuvem de destino.

USER_RESOURCE_UPDATE_CONTENT

Campos obrigatórios:

  • principal: preencha o campo principal.user com detalhes associados ao utilizador cujo conteúdo foi atualizado num recurso da nuvem (por exemplo, um registo do Salesforce, um calendário do Office365, um documento do Google Docs ou um pedido do ServiceNow).
  • target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

  • target.application: (Recomendado) Preencha o campo target.application com informações sobre a aplicação na nuvem de destino.

USER_RESOURCE_UPDATE_PERMISSIONS

Campos obrigatórios:

  • principal: preencha o campo principal.user com detalhes associados ao utilizador cujas autorizações foram atualizadas num recurso na nuvem (por exemplo, um registo do Salesforce, um calendário do Office 365, um documento do Google ou um pedido do ServiceNow).
  • target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

  • target.application: (Recomendado) Preencha o campo target.application com informações sobre a aplicação na nuvem de destino.

USER_UNCATEGORIZED

Campos obrigatórios:

  • metadata: event_timestamp
  • principal: inclua informações sobre a máquina a partir da qual o pedido para criar ou eliminar o utilizador foi originado. Para uma criação ou eliminação de utilizador local, o principal tem de incluir, pelo menos, um identificador de máquina para a máquina de origem.
  • target: localização onde o utilizador está a ser criado. Também tem de incluir informações do utilizador (por exemplo, target.user).

Campos opcionais:

  • principal: detalhes do utilizador e do processo da máquina onde o pedido de criação ou eliminação do utilizador foi iniciado.
  • target: informações sobre a máquina de destino (se for diferente da máquina principal).