Guía de uso de UDM

En este documento se describe detalladamente los campos del esquema del modelo de datos unificado (UDM). En él se indican los campos obligatorios y opcionales de cada tipo de evento.

Para obtener información sobre campos de UDM concretos (por ejemplo, números de enumeración), consulta la lista de campos de modelo de datos unificado.

Formatos de nombres de campos de UDM:

• En el caso de la evaluación del motor de reglas, el prefijo empieza por udm.
• En el caso del normalizador basado en la configuración (CBN), el prefijo empieza por event.idm.read_only_udm.

Relleno de metadatos de eventos

La sección de metadatos de eventos de UDM almacena información general sobre cada evento.

Metadata.event_type

• Propósito: especifica el tipo de evento. Si un evento tiene varios tipos posibles, este valor debe especificar el tipo más específico.
• Obligatorio: sí.
• Codificación: debe ser uno de los tipos enumerados de event_type predefinidos de UDM.
• Valores posibles: a continuación se enumeran todos los valores posibles de event_type en el modelo de datos unificado.

Eventos de analistas

• ANALYST_ADD_COMMENT
• ANALYST_UPDATE_PRIORITY
• ANALYST_UPDATE_REASON
• ANALYST_UPDATE_REPUTATION
• ANALYST_UPDATE_RISK_SCORE
• ANALYST_UPDATE_ROOT_CAUSE
• ANALYST_UPDATE_SEVERITY_SCORE
• ANALYST_UPDATE_STATUS
• ANALYST_UPDATE_VERDICT

Eventos del dispositivo

• DEVICE_CONFIG_UPDATE
• DEVICE_FIRMWARE_UPDATE
• DEVICE_PROGRAM_DOWNLOAD
• DEVICE_PROGRAM_UPLOAD

Eventos de correo

• EMAIL_UNCATEGORIZED
• EMAIL_TRANSACTION
• EMAIL_URL_CLICK

Eventos no especificados

• EVENTTYPE_UNSPECIFIED

Eventos de archivos realizados en un endpoint

• FILE_UNCATEGORIZED
• FILE_COPY (por ejemplo, copiar un archivo en una unidad USB)
• FILE_CREATION
• FILE_DELETION
• FILE_MODIFICATION
• FILE_MOVE
• FILE_OPEN (por ejemplo, abrir un archivo puede indicar una brecha de seguridad)
• FILE_READ (por ejemplo, leer un archivo de contraseñas)
• FILE_SYNC

Eventos que no encajan en ninguna otra categoría

Eventos que no encajan en ninguna otra categoría, incluidos los eventos de Windows sin clasificar:

• GENERIC_EVENT

Eventos de actividad de grupo

• GROUP_UNCATEGORIZED
• GROUP_CREATION
• GROUP_DELETION
• GROUP_MODIFICATION

Eventos de mutex

• MUTEX_UNCATEGORIZED
• MUTEX_CREATION

Eventos de telemetría de red

Eventos de telemetría de red, que incluyen cargas útiles de protocolos sin procesar, como DHCP y DNS, así como resúmenes de protocolos como HTTP, SMTP y FTP, y eventos de flujo y conexión de NetFlow y firewalls:

• NETWORK_UNCATEGORIZED
• NETWORK_CONNECTION (por ejemplo, detalles de la conexión de red de un cortafuegos)
• NETWORK_DHCP
• NETWORK_DNS
• NETWORK_FLOW (por ejemplo, estadísticas de flujo agregadas de Netflow)
• NETWORK_FTP
• NETWORK_HTTP
• NETWORK_SMTP

Procesar eventos

Cualquier evento relacionado con un proceso, como el inicio de un proceso, un proceso que crea algo malicioso, un proceso que se inserta en otro proceso, un cambio de una clave de registro o la creación de un archivo malicioso en el disco:

• PROCESS_UNCATEGORIZED
• PROCESS_INJECTION
• PROCESS_LAUNCH
• PROCESS_MODULE_LOAD
• PROCESS_OPEN
• PROCESS_PRIVILEGE_ESCALATION
• PROCESS_TERMINATION

Eventos de registro

Usa los siguientes eventos de REGISTRO en lugar de los eventos de AJUSTE cuando trabajes con eventos de registro específicos de Microsoft Windows:

• REGISTRY_UNCATEGORIZED
• REGISTRY_CREATION
• REGISTRY_MODIFICATION
• REGISTRY_DELETION

Eventos del recurso

• RESOURCE_CREATION
• RESOURCE_DELETION
• RESOURCE_PERMISSIONS_CHANGE
• RESOURCE_READ
• RESOURCE_WRITTEN

Eventos orientados a análisis

Los eventos orientados a análisis incluyen análisis bajo demanda y detecciones de comportamiento realizadas por productos de seguridad de endpoints (EDR, antivirus y DLP). Solo se usan cuando se adjunta un SecurityResult a otro tipo de evento (como PROCESS_LAUNCH).

Eventos orientados a análisis:

• SCAN_UNCATEGORIZED
• SCAN_FILE
• SCAN_HOST
• SCAN_NETWORK
• SCAN_PROCESS
• SCAN_PROCESS_BEHAVIORS
• SCAN_VULN_HOST
• SCAN_VULN_NETWORK

Eventos de tareas programadas (Programador de tareas de Windows, cron, etc.)

• SCHEDULED_TASK_UNCATEGORIZED
• SCHEDULED_TASK_CREATION
• SCHEDULED_TASK_DELETION
• SCHEDULED_TASK_DISABLE
• SCHEDULED_TASK_ENABLE
• SCHEDULED_TASK_MODIFICATION

Eventos de servicio

• SERVICE_UNSPECIFIED
• SERVICE_CREATION
• SERVICE_DELETION
• SERVICE_MODIFICATION
• SERVICE_START
• SERVICE_STOP

Configurar eventos

Para definir los requisitos de los eventos, consulte Configuración - campos obligatorios.

Eventos de configuración, incluido el momento en el que se cambia un ajuste del sistema en un endpoint:

• SETTING_UNCATEGORIZED
• SETTING_CREATION
• SETTING_DELETION
• SETTING_MODIFICATION

Mensajes de estado de productos de seguridad

Mensajes de estado de productos de seguridad para indicar que los agentes están activos y para enviar la versión, la huella digital u otros tipos de datos:

• STATUS_UNCATEGORIZED
• STATUS_HEARTBEAT (indica que el producto está activo)
• STATUS_STARTUP
• STATUS_SHUTDOWN
• STATUS_UPDATE (actualización de software o de huella digital)

Eventos de registro de auditoría del sistema

• SYSTEM_AUDIT_LOG_UNCATEGORIZED
• SYSTEM_AUDIT_LOG_WIPE

Eventos de actividad de autenticación de usuarios

• USER_UNCATEGORIZED
• USER_BADGE_IN (por ejemplo, cuando un usuario accede físicamente a un sitio)
• USER_CHANGE_PASSWORD
• USER_CHANGE_PERMISSIONS
• USER_COMMUNICATION
• USER_CREATION
• USER_DELETION
• USER_LOGIN
• USER_LOGOUT
• USER_RESOURCE_ACCESS
• USER_RESOURCE_CREATION
• USER_RESOURCE_DELETION
• USER_RESOURCE_UPDATE_CONTENT
• USER_RESOURCE_UPDATE_PERMISSIONS
• USER_STATS

Metadata.collected_timestamp

• Finalidad: codifica la marca de tiempo GMT en la que el proveedor recogió el evento mediante su infraestructura de recogida local.
• Codificación: RFC 3339, según corresponda al formato de marca de tiempo JSON o Proto3.
• Ejemplo:
  • RFC 3339: "2019-09-10T20:32:31-08:00"
  • Formato Proto3: "2012-04-23T18:25:43.511Z"

Metadata.event_timestamp

• Finalidad: codifica la marca de tiempo GMT en la que se generó el evento.
• Obligatorio: sí
• Codificación: RFC 3339, según corresponda al formato de marca de tiempo JSON o Proto3.
• Ejemplo:
  • RFC 3339: 2019-09-10T20:32:31-08:00
  • Formato Proto3: 2012-04-23T18:25:43.511Z

Metadata.description

• Objetivo: descripción del evento legible por humanos.
• Codificación: cadena alfanumérica, se permite la puntuación, 1024 bytes como máximo.
• Ejemplo: Se ha bloqueado el acceso del archivo c:\bar\foo.exe al documento sensible c:\documents\earnings.docx.

Metadata.product_event_type

• Propósito: nombre o tipo de evento breve, descriptivo, legible y específico del producto.
• Codificación: cadena alfanumérica, se permite la puntuación, 64 bytes como máximo.
• Ejemplos:
  • Evento de creación de registro
  • ProcessRollUp
  • Se ha detectado una apropiación de privilegios
  • Malware bloqueado

Metadata.product_log_id

• Finalidad: codifica un identificador de evento específico del proveedor para identificar el evento de forma única (un GUID). Los usuarios pueden usar este identificador para buscar el evento en cuestión en la consola propietaria del proveedor.
• Codificación: cadena alfanumérica que distingue entre mayúsculas y minúsculas, se permite la puntuación y tiene un máximo de 256 bytes.
• Ejemplo: ABcd1234-98766

Metadata.product_name

• Propósito: especifica el nombre del producto.
• Codificación: cadena alfanumérica que distingue entre mayúsculas y minúsculas, se permite la puntuación y tiene un máximo de 256 bytes.
• Ejemplos:
  • Falcon
  • Symantec Endpoint Protection

Metadata.product_version

• Propósito: especifica la versión del producto.
• Codificación: cadena alfanumérica, se permiten puntos y guiones, 32 bytes como máximo.
• Ejemplos:
  • 1.2.3b
  • 10.3:rev1

Metadata.url_back_to_product

• Propósito: URL que lleva a un sitio web pertinente donde puede ver más información sobre este evento concreto (o sobre la categoría general del evento).
• Codificación: URL válida de RFC 3986 con parámetros opcionales, como información del puerto, etc. Debe tener un prefijo de protocolo antes de la URL (por ejemplo, https:// o http://).
• Ejemplo: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

• Finalidad: especifica el nombre del proveedor del producto.
• Codificación: cadena alfanumérica que distingue entre mayúsculas y minúsculas, se permite la puntuación y tiene un máximo de 256 bytes.
• Ejemplos:
  • CrowdStrike
  • Symantec

Población de metadatos de sustantivos

En esta sección, la palabra Sustantivo es un término general que se usa para representar las entidades principal, src, target, intermediary, observer y about. Estas entidades tienen atributos comunes, pero representan objetos diferentes en un evento. Para obtener más información sobre las entidades y lo que representa cada una en un evento, consulta Dar formato a los datos de registro como UDM.

Noun.asset_id

• Finalidad: identificador de dispositivo único específico del proveedor (por ejemplo, un GUID que se genera al instalar software de seguridad de endpoints en un dispositivo nuevo y que se usa para monitorizar ese dispositivo único a lo largo del tiempo).
• Codificación: VendorName.ProductName:ID, donde VendorName es el nombre del proveedor (sin distinción entre mayúsculas y minúsculas), como "Carbon Black"; ProductName es el nombre del producto (sin distinción entre mayúsculas y minúsculas), como "Response" o "Endpoint Protection"; e ID es un identificador de cliente específico del proveedor que es único a nivel mundial en el entorno del cliente (por ejemplo, un GUID o un valor único que identifica un dispositivo único). VendorName y ProductName son alfanuméricos y no tienen más de 32 caracteres. El ID puede tener una longitud máxima de 128 caracteres y puede incluir caracteres alfanuméricos, guiones y puntos.
• Ejemplo: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

• Finalidad: dirección de correo electrónico.
• Codificación: formato de dirección de correo estándar.
• Ejemplo: johns@test.altostrat.com

Noun.file

• Propósito: metadatos detallados del archivo.
• Tipo: Object
• Consulta Rellenar metadatos de archivos.

Noun.hostname

• Finalidad: campo de nombre de host o nombre de dominio del cliente. No lo incluya si hay una URL.
• Codificación: nombre de host RFC 1123 válido.
• Ejemplos:
  • userwin10
  • www.altostrat.com

Noun.platform

• Finalidad: sistema operativo de la plataforma.
• Codificación: enum
• Valores posibles:
  • LINUX
  • MAC
  • WINDOWS
  • UNKNOWN_PLATFORM

Noun.platform_patch_level

• Propósito: nivel del parche del sistema operativo de la plataforma.
• Codificación: cadena alfanumérica con signos de puntuación, 64 caracteres como máximo.
• Ejemplo: compilación 17134.48

Noun.platform_version

• Propósito: versión del sistema operativo de la plataforma.
• Codificación: cadena alfanumérica con signos de puntuación, 64 caracteres como máximo.
• Ejemplo: Microsoft Windows 10, versión 1803

Noun.process

• Finalidad: metadatos detallados del proceso.
• Tipo: Object
• Consulta Relleno de metadatos de Process.

Noun.ip

• Objetivo:
  • Dirección IP única asociada a una conexión de red.
  • Una o varias direcciones IP asociadas a un dispositivo de un participante en el momento del evento (por ejemplo, si un producto de detección y respuesta de endpoints conoce todas las direcciones IP asociadas a un dispositivo, puede codificarlas todas en campos IP).
• Codificación: dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.
• Repetibilidad:
  • Si un evento describe una conexión de red específica (por ejemplo, srcip:srcport > dstip:dstport), el proveedor solo debe proporcionar una dirección IP.
  • Si un evento describe la actividad general que se produce en el dispositivo de un participante, pero no una conexión de red específica, el proveedor puede proporcionar todas las direcciones IP asociadas al dispositivo en el momento del evento.
• Ejemplos:
  • 192.168.1.2
  • 2001:db8:1:3::1

Noun.port

• Finalidad: número de puerto de red de origen o de destino cuando se describe una conexión de red específica en un evento.
• Codificación: número de puerto TCP/IP válido entre 1 y 65.535.

• Ejemplos:

  • 80
  • 443

Noun.mac

• Propósito: una o varias direcciones MAC asociadas a un dispositivo.
• Codificación: dirección MAC válida (EUI-48) en ASCII.
• Repetibilidad: el proveedor puede proporcionar todas las direcciones MAC asociadas al dispositivo en el momento del evento.
• Ejemplos:
  • fedc:ba98:7654:3210:fedc:ba98:7654:3210
  • 1080:0:0:0:8:800:200c:417a
  • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

• Propósito: dominio al que pertenece el dispositivo (por ejemplo, el dominio de Windows).
• Codificación: cadena de nombre de dominio válida (128 caracteres como máximo).
• Ejemplo: corp.altostrat.com

Noun.registry

• Propósito: metadatos de registro detallados.
• Tipo: Object
• Consulta Rellenar metadatos de registro.

Noun.url

• Propósito: URL estándar
• Codificación: URL (RFC 3986). Debe tener un prefijo de protocolo válido (por ejemplo, https:// o ftp://). Debe incluir el dominio y la ruta completos. Puede incluir los parámetros de la URL.
• Ejemplo: https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

• Objetivo: metadatos de usuario detallados.
• Tipo: Object
• Consulta Relleno de metadatos de usuario.

Rellenar los metadatos de autenticación

Authentication.AuthType

• Finalidad: tipo de sistema al que está asociado un evento de autenticación (UDM de Google Security Operations).
• Codificación: tipo enumerado.
• Valores posibles:
  • AUTHTYPE_UNSPECIFIED
  • MACHINE: autenticación de máquinas
  • FÍSICA: autenticación física (por ejemplo, un lector de tarjetas)
  • SSO
  • TACACS: protocolo de la familia TACACS para la autenticación de sistemas en red (por ejemplo, TACACS o TACACS+)
  • VPN

Authentication.Authentication_Status

• Propósito: describe el estado de autenticación de un usuario o una credencial específica.
• Codificación: tipo enumerado.
• Valores posibles:
  • UNKNOWN_AUTHENTICATION_STATUS: estado de autenticación predeterminado.
  • ACTIVO: el método de autenticación está activo.
  • SUSPENDED: el método de autenticación está suspendido o inhabilitado
  • ELIMINADO: el método de autenticación se ha eliminado
  • NO_ACTIVE_CREDENTIALS: el método de autenticación no tiene credenciales activas.

Authentication.auth_details

• Propósito: detalles de autenticación definidos por el proveedor.
• Codificación: cadena.

Authentication.Mechanism

• Finalidad: mecanismos utilizados para la autenticación.
• Codificación: tipo enumerado.
• Valores posibles:
  • MECHANISM_UNSPECIFIED: mecanismo de autenticación predeterminado.
  • BADGE_READER
  • BATCH: autenticación por lotes.
  • CACHED_INTERACTIVE: autenticación interactiva con credenciales almacenadas en caché.
  • HARDWARE_KEY
  • LOCAL
  • MECHANISM_OTHER: algún otro mecanismo que no se define aquí.
  • NETWORK: autenticación de red.
  • NETWORK_CLEAR_TEXT: autenticación de texto sin cifrar de red.
  • NEW_CREDENTIALS: autenticación con nuevas credenciales.
  • OTP
  • REMOTE: autenticación remota
  • REMOTE_INTERACTIVE: RDP, servicios de terminal, Virtual Network Computing (VNC), etc.
  • SERVICE: autenticación de servicios.
  • DESBLOQUEO: autenticación de desbloqueo interactiva directa con humanos.
  • USERNAME_PASSWORD

Relleno de metadatos de DHCP

Los campos de metadatos del protocolo de control de host dinámico (DHCP) registran información del protocolo de gestión de redes DHCP.

Dhcp.client_hostname

• Propósito: nombre de host del cliente. Para obtener más información, consulta el RFC 2132, Opciones de DHCP y extensiones de proveedor de BOOTP.
• Codificación: cadena.

Dhcp.client_identifier

• Finalidad: identificador de cliente. Para obtener más información, consulta el RFC 2132, Opciones de DHCP y extensiones de proveedor de BOOTP.
• Codificación: bytes.

Dhcp.file

• Propósito: nombre de archivo de la imagen de inicio.
• Codificación: cadena.

Dhcp.flags

• Objetivo: valor del campo de marcas DHCP.
• Codificación: entero sin signo de 32 bits.

Dhcp.hlen

• Finalidad: longitud de la dirección de hardware.
• Codificación: entero sin signo de 32 bits.

Dhcp.hops

• Propósito: recuento de saltos de DHCP.
• Codificación: entero sin signo de 32 bits.

Dhcp.htype

• Finalidad: tipo de dirección de hardware.
• Codificación: entero sin signo de 32 bits.

Dhcp.lease_time_seconds

• Propósito: tiempo de concesión solicitado por el cliente para una dirección IP en segundos. Para obtener más información, consulta el RFC 2132, Opciones de DHCP y extensiones de proveedor de BOOTP.
• Codificación: entero sin signo de 32 bits.

Dhcp.opcode

• Propósito: código de operación de BOOTP (consulta la sección 3 de RFC 951).
• Codificación: tipo enumerado.
• Valores posibles:
  • UNKNOWN_OPCODE
  • BOOTREQUEST
  • BOOTREPLY

Dhcp.requested_address

• Finalidad: identificador de cliente. Para obtener más información, consulta el RFC 2132, Opciones de DHCP y extensiones de proveedor de BOOTP.
• Codificación: dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Dhcp.seconds

• Propósito: segundos transcurridos desde que el cliente inició el proceso de adquisición o renovación de la dirección.
• Codificación: entero sin signo de 32 bits.

Dhcp.sname

• Finalidad: nombre del servidor desde el que el cliente ha solicitado arrancar.
• Codificación: cadena.

Dhcp.transaction_id

• Propósito: ID de transacción del cliente.
• Codificación: entero sin signo de 32 bits.

Dhcp.type

• Objetivo: tipo de mensaje DHCP. Consulta RFC 1533 para obtener más información.
• Codificación: tipo enumerado.
• Valores posibles:
  • UNKNOWN_MESSAGE_TYPE
  • DISCOVER
  • OFERTA
  • SOLICITAR
  • RECHAZAR
  • ACK
  • NAK
  • RELEASE
  • INFORM
  • WIN_DELECTED
  • WIN_EXPIRED

Dhcp.chaddr

• Finalidad: dirección IP del hardware del cliente.
• Codificación: dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Dhcp.ciaddr

• Propósito: dirección IP del cliente.
• Codificación: dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Dhcp.giaddr

• Finalidad: dirección IP del agente de retransmisión.
• Codificación: dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Dhcp.siaddr

• Propósito: dirección IP del siguiente servidor de arranque.
• Codificación: dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Dhcp.yiaddr

• Finalidad: tu dirección IP.
• Codificación: dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Rellena los metadatos de la opción DHCP.

Los campos de metadatos de la opción DHCP registran la información de registro de la opción DHCP.

Option.code

• Finalidad: almacena el código de opción DHCP. Para obtener más información, consulta el RFC 1533, Opciones de DHCP y extensiones de proveedor de BOOTP.
• Codificación: entero de 32 bits sin signo.

Option.data

• Finalidad: almacena los datos de la opción DHCP. Para obtener más información, consulta el RFC 1533, Opciones de DHCP y extensiones de proveedor de BOOTP.
• Codificación: bytes.

Relleno de metadatos de DNS

Los campos de metadatos de DNS registran información relacionada con los paquetes de solicitud y respuesta de DNS. Tienen una correspondencia uno a uno con los datos que se encuentran en los datagramas de solicitud y respuesta de DNS.

Dns.authoritative

• Finalidad: se define como true para los servidores DNS autorizados.
• Codificación: booleano.

Dns.id

• Finalidad: almacena el identificador de la consulta de DNS.
• Codificación: entero de 32 bits.

Dns.response

• Objetivo: se asigna el valor true si el evento es una respuesta DNS.
• Codificación: booleano.

Dns.opcode

• Finalidad: almacena el código de operación de DNS que se usa para especificar el tipo de consulta de DNS (estándar, inversa, estado del servidor, etc.).
• Codificación: entero de 32 bits.

Dns.recursion_available

• Finalidad: se asigna el valor "true" si hay disponible una búsqueda de DNS recursiva.
• Codificación: booleano.

Dns.recursion_desired

• Finalidad: se asigna el valor "true" si se solicita una petición de DNS recursiva.
• Codificación: booleano.

Dns.response_code

• Finalidad: almacena el código de respuesta DNS definido en RFC 1035, Domain Names - Implementation and Specification.
• Codificación: entero de 32 bits.

Dns.truncated

• Propósito: se asigna el valor "true" si se trata de una respuesta de DNS truncada.
• Codificación: booleano.

Dns.questions

• Finalidad: almacena las preguntas de mensajes del protocolo de dominio. Consulta Rellenar los metadatos de la pregunta de DNS.

Dns.answers

• Propósito: almacena la respuesta a la consulta del nombre de dominio. Consulta Rellenar metadatos de registros de recursos de DNS.

Dns.authority

• Propósito: almacena los servidores de nombres de dominio que han verificado la respuesta a la consulta del nombre de dominio. Consulta Rellenar metadatos de registros de recursos de DNS.

Dns.additional

• Finalidad: almacena los servidores de nombres de dominio adicionales que se pueden usar para verificar la respuesta al dominio. Consulta Rellenar metadatos de registros de recursos de DNS.

Relleno de metadatos de DNS Question

Los campos de metadatos de la pregunta de DNS capturan la información contenida en la sección de preguntas de un mensaje de protocolo de dominio.

Question.name

• Finalidad: almacena el nombre de dominio.
• Codificación: cadena.

Question.class

• Propósito: almacena el código que especifica la clase de la consulta.
• Codificación: entero de 32 bits.

Question.type

• Finalidad: almacena el código que especifica el tipo de consulta.
• Codificación: entero de 32 bits.

Relleno de metadatos de registros de recursos DNS

Los campos de metadatos de registros de recursos DNS capturan la información contenida en el registro de recursos de un mensaje de protocolo de dominio.

ResourceRecord.binary_data

• Finalidad: almacena los bytes sin procesar de las cadenas que no sean UTF-8 y que se puedan incluir en una respuesta DNS. Este campo solo se debe usar si los datos de respuesta devueltos por el servidor DNS contienen datos que no están en UTF-8. De lo contrario, coloque la respuesta DNS en el campo de datos que aparece a continuación. Este tipo de información debe almacenarse aquí en lugar de en ResourceRecord.data.

• Codificación: bytes.

ResourceRecord.class

• Propósito: almacena el código que especifica la clase del registro de recursos.
• Codificación: entero de 32 bits.

ResourceRecord.data

• Finalidad: almacena la carga útil o la respuesta a la pregunta de DNS de todas las respuestas codificadas en formato UTF-8. Por ejemplo, el campo de datos podría devolver la dirección IP del equipo al que hace referencia el nombre de dominio. Si el registro de recursos es de otro tipo o clase, puede contener otro nombre de dominio (cuando un nombre de dominio se redirige a otro). Los datos deben almacenarse tal como aparecen en la respuesta DNS.
• Codificación: cadena.

ResourceRecord.name

• Propósito: almacena el nombre del propietario del registro de recursos.
• Codificación: cadena.

ResourceRecord.ttl

• Propósito: almacena el intervalo de tiempo durante el que se puede almacenar en caché el registro de recursos antes de que se vuelva a consultar la fuente de información.
• Codificación: entero de 32 bits.

ResourceRecord.type

• Finalidad: almacena el código que especifica el tipo de registro de recursos.
• Codificación: entero de 32 bits.

Población de metadatos de correo electrónico

La mayoría de los campos de metadatos de correo electrónico registran las direcciones de correo incluidas en el encabezado del mensaje y deben ajustarse al formato estándar de las direcciones de correo (buzón-local@dominio), tal como se define en RFC 5322. Por ejemplo, frank@email.example.com.

Email.from

• Finalidad: almacena la dirección de correo De.
• Codificación: cadena.

Email.reply_to

• Finalidad: almacena la dirección de correo reply_to.
• Codificación: cadena.

Email.to

• Finalidad: almacena las direcciones de correo electrónico para.
• Codificación: cadena.

Email.cc

• Finalidad: almacena las direcciones de correo cc.
• Codificación: cadena.

Email.bcc

• Finalidad: almacena las direcciones de correo electrónico cco.
• Codificación: cadena.

Email.mail_id

• Finalidad: almacena el ID del correo o del mensaje.
• Codificación: cadena.
• Ejemplo: 192544.132632@email.example.com

Email.subject

• Propósito: almacena el asunto del correo.
• Codificación: cadena.
• Ejemplo: "Lee este mensaje".

Relleno de metadatos de extensiones

Tipos de eventos con metadatos de primera clase que aún no están categorizados por el UDM de Google SecOps.

Extensions.auth

• Propósito: extensión de los metadatos de autenticación.
• Codificación: cadena.
• Ejemplos:
  • Metadatos de la zona de pruebas (todos los comportamientos que muestra un archivo; por ejemplo, FireEye).
  • Datos de control de acceso a la red (NAC).
  • Detalles de LDAP sobre un usuario (por ejemplo, rol, organización, etc.).

Extensions.auth.auth_details

• Propósito: especifique los detalles específicos del proveedor para el tipo o el mecanismo de autenticación. Los proveedores de autenticación suelen definir tipos como via_mfa o via_ad que proporcionan información útil sobre el tipo de autenticación. Estos tipos se pueden generalizar en auth.type o auth.mechanism para mejorar la usabilidad y la compatibilidad de las reglas entre conjuntos de datos.
• Codificación: cadena.
• Ejemplos: via_mfa, via_ad.

Extensions.vulns

• Propósito: extensión de los metadatos de vulnerabilidades.
• Codificación: cadena.
• Ejemplo: datos de análisis de vulnerabilidades de host.

Relleno de metadatos de archivos

File.file_metadata

• Propósito: metadatos asociados al archivo.
• Codificación: cadena.
• Ejemplos:
  • Autor
  • Número de revisión
  • Número de versión
  • Fecha de último guardado

File.full_path

• Objetivo: ruta completa que identifica la ubicación del archivo en el sistema.
• Codificación: cadena.
• Ejemplo: \Archivos de programa\Utilidades personalizadas\Test.exe

File.md5

• Finalidad: valor de hash MD5 del archivo.
• Codificación: cadena hexadecimal en minúsculas.
• Ejemplo: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

• Finalidad: tipo de extensiones multipropósito de correo de Internet (MIME) del archivo.
• Codificación: cadena.
• Ejemplos:
  • PE
  • PDF
  • Secuencia de comandos de PowerShell

File.sha1

• Propósito: valor de hash SHA-1 del archivo.
• Codificación: cadena hexadecimal en minúsculas.
• Ejemplo: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

• Propósito: valor de hash SHA-256 del archivo.
• Codificación: cadena hexadecimal en minúsculas.
• Ejemplo: d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

• Propósito: tamaño del archivo.
• Codificación: entero sin signo de 64 bits.
• Ejemplo: 342135

Relleno de metadatos de FTP

Ftp.command

• Propósito: almacena el comando FTP.
• Codificación: cadena.
• Ejemplos:
  • binario
  • delete
  • get
  • put

Población de metadatos de grupo

Información sobre un grupo de una organización.

Group.creation_time

• Propósito: hora de creación del grupo.
• Codificación: RFC 3339, según corresponda al formato de marca de tiempo JSON o Proto3.

Group.email_addresses

• Finalidad: agrupar la información de contacto.
• Codificación: correo electrónico.

Group.group_display_name

• Propósito: nombre visible del grupo.
• Codificación: cadena.
• Ejemplos:
  • Finanzas
  • RR. HH.
  • Marketing

Group.product_object_id

• Finalidad: identificador de objeto de usuario único a nivel mundial del producto, como un identificador de objeto LDAP.
• Codificación: cadena.

Group.windows_sid

• Finalidad: campo de atributo de grupo de identificador de seguridad (SID) de Microsoft Windows.
• Codificación: cadena.

Relleno de metadatos HTTP

Http.method

• Finalidad: almacena el método de solicitud HTTP.
• Codificación: cadena.
• Ejemplos:
  • GET
  • HEAD
  • POST

Http.referral_url

• Finalidad: almacena la URL de la referente HTTP.
• Codificación: URL válida según el estándar RFC 3986.
• Ejemplo: https://www.altostrat.com

Http.response_code

• Finalidad: almacena el código de estado de respuesta HTTP, que indica si una solicitud HTTP específica se ha completado correctamente.
• Codificación: entero de 32 bits.
• Ejemplos:
  • 400
  • 404

Http.user_agent

• Finalidad: almacena el encabezado de solicitud de user-agent, que incluye el tipo de aplicación, el sistema operativo, el proveedor de software o la versión del software del user-agent que realiza la solicitud.
• Codificación: cadena.
• Ejemplos:
  • Mozilla/5.0 (X11; Linux x86_64)
  • AppleWebKit/534.26 (KHTML, como Gecko)
  • Chrome/41.0.2217.0
  • Safari/527.33

Metadatos de población de la ubicación

Location.city

• Finalidad: almacena el nombre de la ciudad.
• Codificación: cadena.
• Ejemplos:
  • Sunnyvale
  • Chicago
  • Málaga

Location.country_or_region

• Finalidad: almacena el nombre del país o la región del mundo.
• Codificación: cadena.
• Ejemplos:
  • Estados Unidos
  • Reino Unido
  • España

Location.name

• Propósito: almacena el nombre específico de la empresa, como un edificio o un campus.
• Codificación: cadena.
• Ejemplos:
  • Campus 7B
  • Edificio A2

Location.state

• Finalidad: almacena el nombre del estado, la provincia o el territorio.
• Codificación: cadena.
• Ejemplos:
  • California
  • Illinois
  • Ontario

Rellenado de metadatos de red

Network.application_protocol

• Propósito: indica el protocolo de aplicación de red.
• Codificación: tipo enumerado.

• Valores posibles:

  • UNKNOWN_APPLICATION_PROTOCOL
  • AFP
  • APPC
  • AMQP
  • ATOM
  • BEEP
  • BITCOIN
  • BIT_TORRENT
  • CFDP
  • CIP
  • COAP
  • COTP
  • DCERPC
  • DDS
  • DEVICE_NET
  • DHCP
  • DICOM
  • DNP3
  • DNS
  • E_DONKEY
  • ENRP
  • FAST_TRACK
  • FINGER
  • FREENET
  • FTAM
  • GOOSE
  • GOPHER
  • GRPC
  • HL7
  • H323
  • HTTP
  • HTTPS
  • IEC104
  • IRCP
  • KADEMLIA
  • KRB5
  • LDAP
  • LPD
  • MIME
  • MMS
  • MODBUS
  • MQTT
  • NETCONF
  • NFS
  • NIS
  • NNTP
  • NTCIP
  • NTP
  • OSCAR
  • PNRP
  • PTP
  • QUIC
  • RDP
  • RELP
  • RIP
  • RLOGIN
  • RPC
  • RTMP
  • RTP
  • RTPS
  • RTSP
  • SAP
  • SDP
  • SIP
  • SLP
  • Pymes
  • SMTP
  • SNMP
  • SNTP
  • SSH
  • SSMS
  • STYX
  • SV
  • TCAP
  • TDS
  • TOR
  • TSP
  • VTP
  • WHOIS
  • WEB_DAV
  • X400
  • X500
  • XMPP

Network.direction

• Propósito: indica la dirección del tráfico de red.
• Codificación: tipo enumerado.
• Valores posibles:
  • UNKNOWN_DIRECTION
  • INBOUND
  • SALIENTE
  • EMISIÓN

Network.email

• Propósito: especifica la dirección de correo del remitente o del destinatario.
• Codificación: cadena.
• Ejemplo: jcheng@company.example.com

Network.ip_protocol

• Propósito: indica el protocolo IP.
• Codificación: tipo enumerado.
• Valores posibles:
  • UNKNOWN_IP_PROTOCOL
  • EIGRP (Enhanced Interior Gateway Routing Protocol)
  • ESP (Encapsulating Security Payload)
  • ETHERIP: encapsulación de Ethernet en IP
  • GRE (encapsulación de enrutamiento genérico)
  • ICMP: protocolo de mensajes de control de Internet
  • IGMP (Internet Group Management Protocol)
  • IP6IN4: encapsulación IPv6
  • PIM (Protocol Independent Multicast)
  • TCP (Transmission Control Protocol)
  • UDP (Protocolo de datagramas de usuario)
  • VRRP: protocolo de redundancia de router virtual

Network.received_bytes

• Propósito: especifica el número de bytes recibidos.
• Codificación: entero sin signo de 64 bits.
• Ejemplo: 12.453.654.768

Network.sent_bytes

• Propósito: especifica el número de bytes enviados.
• Codificación: entero sin signo de 64 bits.
• Ejemplo: 7.654.876

Network.session_duration

• Finalidad: almacena la duración de la sesión de red, que normalmente se devuelve en un evento de abandono de la sesión. Para definir la duración, puedes configurar network.session_duration.seconds = 1 (tipo int64) o network.session_duration.nanos = 1 (tipo int32).
• Codificación:
  • Número entero de 32 bits: para segundos (network.session_duration.seconds).
  • Entero de 64 bits: para nanosegundos (network.session_duration.nanos).

Network.session_id

• Finalidad: almacena el identificador de sesión de la red.
• Codificación: cadena.
• Ejemplo: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Relleno de metadatos de Process

Process.command_line

• Propósito: almacena la cadena de línea de comandos del proceso.
• Codificación: cadena.
• Ejemplo: c:\windows\system32\net.exe group.

Process.product_specific_process_id

• Propósito: almacena el ID de proceso específico del producto.
• Codificación: cadena.
• Ejemplos: MySQL:78778 o CS:90512

Process.parent_process.product_specific_process_id

• Finalidad: almacena el ID de proceso específico del producto del proceso superior.
• Codificación: cadena.
• Ejemplos: MySQL:78778 o CS:90512

Process.file

• Propósito: almacena el nombre del archivo que usa el proceso.
• Codificación: cadena.
• Ejemplo: informe.xls

Process.parent_process

• Propósito: almacena los detalles del proceso principal.
• Codificación: sustantivo (proceso)

Process.pid

• Finalidad: almacena el ID del proceso.
• Codificación: cadena.
• Ejemplos:
  • 308
  • 2002

Población de metadatos del registro

Registry.registry_key

• Finalidad: almacena la clave de registro asociada a una aplicación o un componente del sistema.
• Codificación: cadena.
• Ejemplo: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

• Finalidad: almacena el nombre del valor del registro asociado a una aplicación o un componente del sistema.
• Codificación: cadena.
• Ejemplo: TEMP

Registry.registry_value_data

• Finalidad: almacena los datos asociados a un valor del registro.
• Codificación: cadena.
• Ejemplo: %USERPROFILE%\Local Settings\Temp

Rellena los metadatos de SecurityResult.

Los metadatos de SecurityResult incluyen detalles sobre los riesgos y las amenazas de seguridad que ha detectado un sistema de seguridad, así como las medidas que se han tomado para mitigarlos.

SecurityResult.about

• Propósito: proporciona una descripción del resultado de seguridad.
• Codificación: sustantivo.

SecurityResult.action

• Propósito: especifica una acción de seguridad.
• Codificación: tipo enumerado.
• Valores posibles: UDM de Google SecOps define las siguientes acciones de seguridad:
  • PERMITIR
  • ALLOW_WITH_MODIFICATION: el archivo o el correo se ha desinfectado o reescrito y se ha reenviado.
  • BLOQUEAR
  • CUARENTENA: se almacena para analizarlo más adelante (no significa que se bloquee).
  • UNKNOWN_ACTION

SecurityResult.action_details

• Finalidad: detalles proporcionados por el proveedor sobre las medidas tomadas como resultado del incidente de seguridad. Las acciones de seguridad suelen traducirse mejor en el campo de UDM Security_Result.action, que es más general. Sin embargo, es posible que tengas que escribir reglas para la descripción exacta de la acción proporcionada por el proveedor.
• Codificación: cadena.
• Ejemplos: drop, block, decrypt, encrypt.

SecurityResult.category

• Propósito: especifica una categoría de seguridad.
• Codificación: enum.
• Valores posibles: UDM de Google SecOps define las siguientes categorías de seguridad:
  • ACL_VIOLATION: se ha intentado acceder sin autorización, incluido el acceso a archivos, servicios web, procesos, objetos web, etc.
  • AUTH_VIOLATION: error de autenticación, como una contraseña incorrecta o una autenticación de dos factores incorrecta.
  • DATA_AT_REST—DLP: datos de sensores encontrados en reposo en un análisis.
  • DATA_DESTRUCTION: intento de destruir o eliminar datos.
  • DATA_EXFILTRATION—DLP: transmisión de datos de sensores, copia en una unidad USB.
  • VULNERACIÓN: intentos de desbordamiento, codificaciones de protocolos incorrectas, ROP, inyección de SQL, etc., tanto en la red como en el host.
  • MAIL_PHISHING: correo de phishing, mensajes de chat, etc.
  • MAIL_SPAM: correo, mensaje, etc. de spam.
  • MAIL_SPOOFING: dirección de correo de origen falsificada, etc.
  • NETWORK_CATEGORIZED_CONTENT
  • NETWORK_COMMAND_AND_CONTROL: si se conoce el canal de comando y control.
  • NETWORK_DENIAL_OF_SERVICE
  • NETWORK_MALICIOUS: comando y control, exploit de red, actividad sospechosa, posible túnel inverso, etc.
  • NETWORK_SUSPICIOUS: no está relacionada con la seguridad. Por ejemplo, la URL está vinculada a juegos de azar y apuestas, etc.
  • NETWORK_RECON: se ha detectado un análisis de puertos por un IDS, una comprobación por una aplicación web.
  • POLICY_VIOLATION: infracción de la política de seguridad, incluidas las infracciones de las reglas de cortafuegos, proxy y HIPS, o las acciones de bloqueo de NAC.
  • SOFTWARE_MALICIOUS: malware, spyware, rootkits, etc.
  • SOFTWARE_PUA: aplicación potencialmente no deseada, como adware, etc.
  • SOFTWARE_SUSPICIOUS
  • UNKNOWN_CATEGORY

SecurityResult.confidence

• Finalidad: especificar la confianza con respecto a un evento de seguridad estimado por el producto.
• Codificación: enum.
• Valores posibles: UDM de Google SecOps define las siguientes categorías de confianza de producto:
  • UNKNOWN_CONFIDENCE
  • LOW_CONFIDENCE
  • MEDIUM_CONFIDENCE
  • HIGH_CONFIDENCE

SecurityResult.confidence_details

• Objetivo: información adicional sobre la confianza de un evento de seguridad estimada por el proveedor del producto.
• Codificación: cadena.

SecurityResult.priority

• Finalidad: especifica una prioridad en relación con un evento de seguridad según la estimación del proveedor del producto.
• Codificación: enum.
• Valores posibles: UDM de Google SecOps define las siguientes categorías de prioridad de producto:
  • UNKNOWN_PRIORITY
  • LOW_PRIORITY
  • MEDIUM_PRIORITY
  • HIGH_PRIORITY

SecurityResult.priority_details

• Propósito: información específica del proveedor sobre la prioridad del resultado de seguridad.
• Codificación: cadena.

SecurityResult.rule_id

• Propósito: identificador de la regla de seguridad.
• Codificación: cadena.
• Ejemplos:
  • 08123
  • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

• Propósito: nombre de la regla de seguridad.
• Codificación: cadena.
• Ejemplo: BlockInboundToOracle.

SecurityResult.severity

• Propósito: gravedad de un evento de seguridad estimada por el proveedor del producto mediante los valores definidos por el UDM de Google SecOps.
• Codificación: enum.
• Valores posibles: UDM de Google SecOps define las siguientes gravedades de producto:
  • UNKNOWN_SEVERITY (no malicioso)
  • INFORMATIVA: no maliciosa
  • ERROR (no malicioso)
  • BAJO: malicioso
  • MEDIA: malicioso
  • ALTO: malicioso

SecurityResult.severity_details

• Propósito: gravedad de un evento de seguridad estimada por el proveedor del producto.
• Codificación: cadena.

SecurityResult.threat_name

• Propósito: nombre de la amenaza de seguridad.
• Codificación: cadena.
• Ejemplos:
  • W32/File-A
  • Slammer

SecurityResult.url_back_to_product

• Propósito: URL para dirigirle a la consola del producto de origen de este evento de seguridad.
• Codificación: cadena.

Relleno de metadatos de usuario

User.email_addresses

• Finalidad: almacena las direcciones de correo electrónico del usuario.
• Codificación: cadena repetida.
• Ejemplo: johnlocke@company.example.com

User.employee_id

• Finalidad: almacena el ID de empleado de recursos humanos del usuario.
• Codificación: cadena.
• Ejemplo: 11223344.

User.first_name

• Finalidad: almacena el nombre del usuario.
• Codificación: cadena.
• Ejemplo: Juan.

User.middle_name

• Finalidad: almacena el segundo nombre del usuario.
• Codificación: cadena.
• Ejemplo: Antonio.

User.last_name

• Finalidad: almacena el apellido del usuario.
• Codificación: cadena.
• Ejemplo: Locke.

User.group_identifiers

• Finalidad: almacena los IDs de grupo (un GUID, un OID de LDAP o similar) asociados a un usuario.
• Codificación: cadena repetida.
• Ejemplo: admin-users.

User.phone_numbers

• Finalidad: almacena los números de teléfono del usuario.
• Codificación: cadena repetida.
• Ejemplo: 800-555-0101

User.title

• Propósito: almacena el cargo del usuario.
• Codificación: cadena.
• Ejemplo: gestor de relaciones con clientes.

User.user_display_name

• Finalidad: almacena el nombre visible del usuario.
• Codificación: cadena.
• Ejemplo: John Locke.

User.userid

• Finalidad: almacena el ID de usuario.
• Codificación: cadena.
• Ejemplo: jlocke.

User.windows_sid

• Finalidad: almacena el identificador de seguridad (SID) de Microsoft Windows asociado a un usuario.
• Codificación: cadena.
• Ejemplo: S-1-5-21-1180649209-123456789-3582944384-1064

Rellenar los metadatos de vulnerabilidad

Vulnerability.about

• Propósito: si la vulnerabilidad se refiere a un sustantivo específico (por ejemplo, un archivo ejecutable), añádalo aquí.
• Codificación: sustantivo. Consulta Relleno de metadatos de sustantivos.
• Ejemplo: ejecutable.

Vulnerability.cvss_base_score

• Propósito: puntuación base del sistema común de puntuación de vulnerabilidades (CVSS).
• Codificación: coma flotante.
• Intervalo: de 0,0 a 10,0
• Ejemplo: 8,5

Vulnerability.cvss_vector

• Propósito: vector de las propiedades de CVSS de la vulnerabilidad. Una puntuación CVSS se compone de las siguientes métricas:

  • Vector de ataque (AV)
  • Complejidad de acceso (AC)
  • Autenticación (Au)
  • Impacto de confidencialidad (C)
  • Impacto en la integridad (I)
  • Impacto de disponibilidad (A)

  Para obtener más información, consulta https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.

• Codificación: cadena.

• Ejemplo: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

• Propósito: versión del CVSS para la puntuación o el vector de la vulnerabilidad.
• Codificación: cadena.
• Ejemplo: 3.1

Vulnerability.description

• Propósito: descripción de la vulnerabilidad.
• Codificación: cadena.

Vulnerability.first_found

• Propósito: los productos que mantienen un historial de análisis de vulnerabilidades deben rellenar el campo first_found con la hora en la que se detectó por primera vez la vulnerabilidad de este recurso.
• Codificación: cadena.

Vulnerability.last_found

• Propósito: los productos que mantienen un historial de análisis de vulnerabilidades deben rellenar last_found con la hora en la que se detectó más recientemente la vulnerabilidad de este recurso.
• Codificación: cadena.

Vulnerability.name

• Propósito: nombre de la vulnerabilidad.
• Codificación: cadena.
• Ejemplo: Se ha detectado una versión del SO no compatible.

Vulnerability.scan_end_time

• Propósito: si la vulnerabilidad se ha descubierto durante un análisis de recursos, rellena este campo con la hora en la que ha finalizado el análisis. Deja este campo vacío si la hora de finalización no está disponible o no procede.
• Codificación: cadena.

Vulnerability.scan_start_time

• Propósito: si la vulnerabilidad se ha descubierto durante un análisis de recursos, rellena este campo con la hora en la que se ha iniciado el análisis. Deje este campo vacío si la hora de inicio no está disponible o no es aplicable.
• Codificación: cadena.

Vulnerability.severity

• Finalidad: gravedad de la vulnerabilidad.
• Codificación: tipo enumerado.
• Valores posibles:
  • UNKNOWN_SEVERITY
  • BAJA
  • MEDIA
  • ALTO

Vulnerability.severity_details

• Propósito: detalles de gravedad específicos del proveedor.
• Codificación: cadena.

Población de metadatos de alerta

idm.is_significant

• Propósito: especifica si se debe mostrar la alerta en Estadísticas empresariales.
• Codificación: booleano.

idm.is_alert

• Propósito: identifica si el evento es una alerta.
• Codificación: booleano.

Campos obligatorios y opcionales de cada tipo de evento

En esta sección se describen los campos obligatorios y opcionales que se deben rellenar para cada tipo de evento de UDM.

Para obtener información sobre campos de UDM concretos (por ejemplo, números de enumeración), consulta la lista de campos de modelo de datos unificado.

EMAIL_TRANSACTION

Campos obligatorios:

• metadata: incluye los campos obligatorios.
• Principal: se rellena con información sobre la máquina desde la que se ha enviado el mensaje de correo (por ejemplo, la dirección IP del remitente).

Campos opcionales:

• about: URLs, IPs, dominios y archivos adjuntos insertados en el cuerpo del correo.
• securityResult.about URLs, IPs y archivos incorrectos insertados en el cuerpo del correo.
• network.email información del remitente o del destinatario del correo.
• Principal: si hay datos de la máquina cliente sobre quién ha enviado el correo, rellena los detalles del servidor en principal (por ejemplo, el proceso del cliente, los números de puerto, el nombre de usuario, etc.).
• target: si hay datos del servidor de correo de destino, rellena los detalles del servidor en target (por ejemplo, la dirección IP).
• intermediary: si hay datos de servidor de correo o de proxy de correo, rellena los detalles del servidor en intermediary.

Notas:

• Nunca rellenes principal.email ni target.email.
• Solo se debe rellenar el campo de correo en security_result.about o network.email.
• Los resultados de seguridad de nivel superior suelen tener un conjunto de sustantivos (opcional para el spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ y FILE_OPEN

Campos obligatorios:

• metadata: incluye los campos obligatorios.
• principal:
  • Al menos un identificador de máquina.
  • (Opcional) Rellena principal.process con información sobre el proceso que accede al archivo.
• target:
  • Si el archivo es remoto (por ejemplo, un recurso compartido SMB), el destino debe incluir al menos un identificador de máquina para la máquina de destino. De lo contrario, todos los identificadores de máquina deben estar en blanco.
  • Rellena target.file con información sobre el archivo.

Campos opcionales:

• security_result describe la actividad maliciosa detectada.
• principal.user se rellena si hay información de usuario disponible sobre el proceso.

FILE_COPY

Campos obligatorios:

• metadata: incluye los campos obligatorios tal como se describe.
• principal:
  • Al menos un identificador de máquina.
  • (Opcional) Rellena principal.process con información sobre el proceso que realiza la operación de copia de archivos.
• src:
  • Rellena src.file con información sobre el archivo de origen.
  • Si el archivo es remoto (por ejemplo, un recurso compartido SMB), src debe incluir al menos un identificador de máquina para la máquina de origen que almacena el archivo de origen.
• target:
  • Rellena target.file con información sobre el archivo de destino.
  • Si el archivo es remoto (por ejemplo, un recurso compartido SMB), el campo target debe incluir al menos un identificador de máquina para la máquina de destino que contiene el archivo de destino.

Campos opcionales:

• security_result describe la actividad maliciosa detectada.
• principal.user se rellena si hay información de usuario disponible sobre el proceso.

MUTEX_CREATION

Campos obligatorios:

• metadata: incluye los campos obligatorios.
• principal:
  • Al menos un identificador de máquina.
  • Rellena principal.process con información sobre el proceso que crea el mutex.
• target:
  • Rellene target.resource.
  • Rellena target.resource.type con MUTEX.
  • Rellena target.resource.name con el nombre del mutex creado.

Campos opcionales:

• security_result describe la actividad maliciosa detectada.
• principal.user se rellena si hay información de usuario disponible sobre el proceso.

Ejemplo de UDM para MUTEX_CREATION

En el siguiente ejemplo se muestra cómo se formatearía un evento de tipo MUTEX_CREATION para UDM de Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Como se muestra en este ejemplo, el evento se ha dividido en las siguientes categorías de UDM:

• Metadatos: información general sobre el evento.
• Principal: detalles del dispositivo y del proceso.
• target: información sobre el mutex.

NETWORK_CONNECTION

Campos obligatorios:

• metadata: event_timestamp
• Principal: incluye detalles sobre la máquina que ha iniciado la conexión de red (por ejemplo, la fuente).
• Target: incluye detalles sobre la máquina de destino si es diferente de la máquina principal.
• network: captura detalles sobre la conexión de red (puertos, protocolo, etc.).

Campos opcionales:

• principal.process y target.process: incluyen información sobre el proceso asociado a la entidad principal y al destino de la conexión de red (si está disponible).
• principal.user y target.user: incluyen información del usuario asociada a la entidad principal y al destino de la conexión de red (si está disponible).

NETWORK_HTTP

El tipo de evento NETWORK_HTTP representa una conexión de red HTTP de una entidad principal a un servidor web de destino.

Campos obligatorios:

• metadata: incluye los campos obligatorios.
• Principal: representa al cliente que inicia la solicitud web e incluye al menos un identificador de máquina (por ejemplo, nombre de host, IP, MAC o identificador de recurso propietario) o un identificador de usuario (por ejemplo, nombre de usuario). Si se describe una conexión de red específica y se dispone de un número de puerto de cliente, solo se debe especificar una dirección IP junto con el número de puerto asociado a esa conexión de red (aunque se podrían proporcionar otros identificadores de máquina para describir mejor el dispositivo del participante). Si no hay ningún puerto de origen disponible, se pueden especificar todas las direcciones IP y MAC, los identificadores de recursos y los valores de nombre de host que describan el dispositivo principal.
• target: representa el servidor web e incluye información del dispositivo y, opcionalmente, un número de puerto. Si hay disponible un número de puerto de destino, especifica solo una dirección IP además del número de puerto asociado a esa conexión de red (aunque se podrían proporcionar varios identificadores de máquina para el destino). En target.url, indica la URL a la que se ha accedido.
• network y network.http: incluye detalles sobre la conexión de red HTTP. Debes rellenar los siguientes campos:
  • network.ip_protocol
  • network.application_protocol
  • network.http.method

Campos opcionales:

• about: representa otras entidades encontradas en la transacción HTTP (por ejemplo, un archivo subido o descargado).
• intermediary: representa un servidor proxy (si es diferente del principal o del de destino).
• Metadatos: rellena los demás campos de metadatos.
• network: rellena otros campos de la red.
• network.email si la conexión de red HTTP se ha originado a partir de una URL que aparecía en un mensaje de correo, rellena network.email con los detalles.
• Observer: representa un sniffer pasivo (si está presente).
• security_result añade uno o varios elementos al campo security_result para representar la actividad maliciosa detectada.

Ejemplo de UDM para NETWORK_HTTP

En el siguiente ejemplo se muestra cómo se convertiría un evento de antivirus de Sophos de tipo NETWORK_HTTP al formato UDM de Google SecOps.

A continuación, se muestra el evento original del antivirus de Sophos:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

A continuación, se muestra cómo dar formato a la misma información en Proto3 mediante la sintaxis de UDM de Google SecOps:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Google Security Operations-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Como se muestra en este ejemplo, el evento se ha dividido en las siguientes categorías de UDM:

• Metadatos: información general sobre el evento.
• Principal: dispositivo de seguridad que ha detectado el evento.
• Target: dispositivo que ha recibido el software malicioso.
• network: información de red sobre el host malicioso.
• security_result: detalles de seguridad sobre el software malicioso.
• Adicional: información del proveedor que no está incluida en el ámbito de la gestión de datos de usuarios.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Campos obligatorios:

• metadata: incluye los campos obligatorios.
• principal:
  • Al menos un identificador de máquina.
  • En el caso de los eventos de inyección y finalización de procesos, si está disponible, principal.process debe incluir información sobre el proceso que inicia la acción (por ejemplo, en el caso de un evento de inicio de proceso, principal.process debe incluir detalles sobre el proceso principal, si están disponibles).
• target:
  • target.process incluye información sobre el proceso que se está inyectando, abriendo, iniciando o finalizando.
  • Si el proceso de destino es remoto, el destino debe incluir al menos un identificador de máquina de la máquina de destino (por ejemplo, una dirección IP, una dirección MAC, un nombre de host o un identificador de activo de terceros).

Campos opcionales:

• security_result describe la actividad maliciosa detectada.
• principal.user y target.user: rellenan el proceso de inicio (principal) y el proceso de destino si la información del usuario está disponible.

Ejemplo de UDM para PROCESS_LAUNCH

En el siguiente ejemplo se muestra cómo dar formato a un evento PROCESS_LAUNCH con la sintaxis de UDM de SecOps de Google:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se ha dividido en las siguientes categorías de UDM:

• Metadatos: información general sobre el evento.
• principal: detalles del dispositivo.
• Objetivo: detalles del proceso.

PROCESS_MODULE_LOAD

Campos obligatorios:

• metadata: incluye los campos obligatorios.
• principal:
  • Al menos un identificador de máquina.
  • principal.process: proceso que carga el módulo.
• target:
  • target.process: incluye información sobre el proceso.
  • target.process.file: módulo cargado (por ejemplo, el archivo DLL o el objeto compartido).

Campos opcionales:

• security_result describe la actividad maliciosa detectada.
• principal.user se rellena si hay información de usuario disponible sobre el proceso.

Ejemplo de UDM para PROCESS_MODULE_LOAD

En el siguiente ejemplo se muestra cómo dar formato a un evento PROCESS_MODULE_LOAD con la sintaxis de UDM de Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se ha dividido en las siguientes categorías de UDM:

• Metadatos: información general sobre el evento.
• Principal: detalles sobre el dispositivo y el proceso que carga el módulo.
• target: detalles del proceso y del módulo.

PROCESS_PRIVILEGE_ESCALATION

Campos obligatorios:

• metadata: incluye los campos obligatorios.
• principal:
  • Al menos un identificador de máquina.
  • principal.process: proceso que carga el módulo.
  • principal.user: usuario que carga el módulo.

Campos opcionales:

• security_result describe la actividad maliciosa detectada.

Ejemplo de UDM para PROCESS_PRIVILEGE_ESCALATION

En el siguiente ejemplo se muestra cómo dar formato a un evento PROCESS_PRIVILEGE_ESCALATION con la sintaxis de UDM de Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se ha dividido en las siguientes categorías de UDM:

• Metadatos: información general sobre el evento.
• Principal: detalles sobre el dispositivo, el usuario y el proceso que carga el módulo.
• target: detalles del proceso y del módulo.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Campos obligatorios:

• metadata: incluye los campos obligatorios.
• principal:
  • Al menos un identificador de máquina.
  • Si un proceso en modo de usuario realiza la modificación del registro, principal.process debe incluir información sobre el proceso que modifica el registro.
  • Si un proceso del kernel realiza la modificación del registro, el principal no debe incluir información del proceso.
• target:
  • target.registry si el registro de destino es remoto, target debe incluir al menos un identificador de la máquina de destino (por ejemplo, una dirección IP, una dirección MAC, un nombre de host o un identificador de activo de terceros).
  • target.registry.registry_key todos los eventos de registro deben incluir la clave de registro afectada.

Campos opcionales:

• security_result describe la actividad maliciosa detectada. Por ejemplo, una clave de registro incorrecta.
• principal.user se rellena si hay información de usuario disponible sobre el proceso.

Ejemplo de UDM para REGISTRY_MODIFICATION

En el siguiente ejemplo se muestra cómo dar formato a un evento REGISTRY_MODIFICATION en Proto3 mediante la sintaxis de UDM de Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Como se muestra en este ejemplo, el evento se ha dividido en las siguientes categorías de UDM:

• Metadatos: información general sobre el evento.
• Principal: detalles del dispositivo, del usuario y del proceso.
• target: entrada del registro afectada por la modificación.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Campos obligatorios:

• metadata: event_timestamp e información general sobre el evento.
• Observer: captura información sobre el propio escáner. Si el escáner es remoto, los detalles de la máquina deben registrarse en el campo del observador. Si se trata de un escáner local, déjelo vacío.
• Target: captura información sobre la máquina que contiene el objeto que se está analizando. Si se está analizando un archivo, target.file debe registrar información sobre el archivo analizado. Si se está analizando un proceso, target.process debe registrar información sobre el proceso analizado.
• extensions: en SCAN_VULN_HOST y SCAN_VULN_NETWORK, define la vulnerabilidad mediante el campo extensions.vuln.

Campos opcionales:

• Principal: representa el dispositivo que inicia la conexión e incluye al menos un identificador de máquina (por ejemplo, nombre de host, dirección IP, dirección MAC o identificador de recurso propietario) o un identificador de usuario.
• Target: los detalles del usuario sobre el objeto de destino (por ejemplo, el creador del archivo o el propietario del proceso) deben registrarse en target.user.
• security_result describe la actividad maliciosa detectada.

Ejemplo de UDM para SCAN_HOST

En el siguiente ejemplo se muestra cómo se formatearía un evento de tipo SCAN_HOST para el UDM de Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Como se muestra en este ejemplo, el evento se ha dividido en las siguientes categorías de UDM:

• Metadatos: información general sobre el evento.
• Target: dispositivo que ha recibido el software malicioso.
• Observer: dispositivo que observa y registra el evento en cuestión.
• security_result: detalles de seguridad sobre el software malicioso.

Ejemplo de UDM para SCAN_VULN_HOST

En el siguiente ejemplo se muestra cómo se formatearía un evento de tipo SCAN_VULN_HOST para el UDM de Google SecOps:

metadata: {
  event_timestamp: "2025-05-09T12:59:52.45298Z",
  event_type: 18005,
  product_name: "TestProduct",
  vendor_name: "TestVendor"
  },
principal {
  asset_id: "TEST:Mwl8ABcd",
  ip: "127.0.0.3",
  hostname: "TEST-Localhost",
  mac: ["02:00:00:00:00:01"]
  },
extensions: {
  vulns: {
    vulnerabilities: [
      {
      cve_id: "CVE-6l9VxQmz",
      vendor_vulnerability_id: "TEST:7gmCmFWX",
      name: "CVE pA7DzwPU",
      severity: 2,
      vendor: "TestVendor",
      last_found: "2025-05-09T14:59:52.45300Z",
      first_found: "2025-05-09T13:59:52.45300Z"
       }
      ]
    }
  }

Como se muestra en este ejemplo, el evento se ha dividido en las siguientes categorías de UDM:

• Metadatos: información general sobre el evento.
• Principal: dispositivo que ha recibido el software malicioso.
• extensions: detalles de vulnerabilidades.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Campos obligatorios:

• Principal: en todos los eventos SCHEDULED_TASK, principal debe incluir un identificador de máquina y un identificador de usuario.
• target: el destino debe incluir un recurso válido y un tipo de recurso definido como "TASK".

Campos opcionales:

• security_result describe la actividad maliciosa detectada.

Ejemplo de UDM para SCHEDULED_TASK_CREATION

En el siguiente ejemplo se muestra cómo se podría dar formato a un evento de tipo SCHEDULED_TASK_CREATION para el UDM de Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Como se muestra en este ejemplo, el evento se ha dividido en las siguientes categorías de UDM:

• Metadatos: información general sobre el evento.
• Principal: dispositivo que ha programado la tarea sospechosa.
• Target: software al que se dirige la tarea sospechosa.
• Intermediario: intermediario implicado en la tarea sospechosa.
• security_result: detalles de seguridad sobre la tarea sospechosa.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Campos obligatorios:

• principal: debe estar presente, no estar vacío e incluir un identificador de máquina.
• target: debe estar presente, no estar vacío e incluir un recurso con su tipo especificado como SETTING.

Ejemplo de UDM para el tipo de evento SETTING_MODIFICATION

En el siguiente ejemplo se muestra cómo se formatearía un evento de tipo SETTING_MODIFICATION para el UDM de SecOps de Google:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Como se muestra en este ejemplo, el evento se ha dividido en las siguientes categorías de UDM:

• Metadatos: información general sobre el evento.
• Principal: información sobre el dispositivo en el que se ha modificado el ajuste.
• Objetivo: detalles del recurso.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Campos obligatorios:

• target: incluye el identificador de usuario y especifica el proceso o la aplicación.
• principal: incluye al menos un identificador de máquina (dirección IP o MAC, nombre de host o identificador de recurso).

Ejemplo de UDM para SERVICE_UNSPECIFIED

En el siguiente ejemplo se muestra cómo se formatearía un evento de tipo SERVICE_UNSPECIFIED para UDM de Google SecOps:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Como se muestra en este ejemplo, el evento se ha dividido en las siguientes categorías de UDM:

• Metadatos: información general sobre el evento.
• principal: detalles del dispositivo y la ubicación.
• target: nombre de host e identificador de usuario.
• application: nombre de la aplicación y tipo de recurso.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Campos obligatorios:

• metadata: incluye los campos obligatorios.
• Principal: al menos un identificador de máquina (dirección IP o MAC, nombre de host o identificador de recurso).

Ejemplo de UDM para STATUS_HEARTBEAT

En el siguiente ejemplo se muestra cómo se formatearía un evento de tipo STATUS_HEARTBEAT para el UDM de Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Como se muestra en este ejemplo, el evento se ha dividido en las siguientes categorías de UDM:

• Metadatos: información general sobre el evento.
• principal: detalles del dispositivo y la ubicación.
• Intermediario: dirección IP del dispositivo.
• security_result: detalles del resultado de seguridad.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Campos obligatorios:

• Principal: incluye un identificador de usuario del usuario que ha realizado la operación en el registro y un identificador de la máquina en la que se almacena o se almacenaba el registro (en el caso de que se haya borrado).

Ejemplo de UDM para SYSTEM_AUDIT_LOG_WIPE

En el siguiente ejemplo se muestra cómo se formatearía un evento de tipo SYSTEM_AUDIT_LOG_WIPE para el UDM de Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Como se muestra en este ejemplo, el evento se ha dividido en las siguientes categorías de UDM:

• Metadatos: información general sobre el evento.
• principal: detalles del dispositivo y del usuario.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Campos obligatorios:

• metadata: incluye los campos obligatorios.
• Principal: si la cuenta de usuario se modifica desde una ubicación remota, rellena el principal con información sobre la máquina desde la que se originó la modificación del usuario.
• target: rellena target.user con información sobre el usuario que se ha modificado.
• Intermediario: en los inicios de sesión con SSO, el intermediario debe incluir al menos un identificador de máquina para el servidor de SSO, si está disponible.

USER_COMMUNICATION

Campos obligatorios:

• Principal: rellena el campo principal.user con los detalles asociados a la comunicación iniciada por el usuario (remitente), como un mensaje de chat en Google Chat o Slack, una videoconferencia o una conferencia de voz en Zoom o Google Meet, o una conexión VoIP.

Campos opcionales:

• target: (recomendado) rellena el campo target.user con información sobre el usuario de destino (receptor) del recurso de comunicación en la nube. Rellena el campo target.application con información sobre la aplicación de comunicación en la nube de destino.

USER_CREATION, USER_DELETION

Campos obligatorios:

• metadata: event_timestamp.
• Principal: incluye información sobre la máquina desde la que se ha originado la solicitud para crear o eliminar el usuario. Para crear o eliminar un usuario local, principal debe incluir al menos un identificador de máquina para la máquina de origen.
• target: ubicación en la que se está creando el usuario. También debe incluir información del usuario (por ejemplo, target.user).

Campos opcionales:

• Principal: detalles del usuario y del proceso de la máquina en la que se inició la solicitud de creación o eliminación del usuario.
• Target: información sobre la máquina de destino (si es diferente de la máquina principal).

USER_LOGIN, USER_LOGOUT

Campos obligatorios:

• metadata: incluye los campos obligatorios.
• Principal: en el caso de la actividad de usuarios remotos (por ejemplo, el inicio de sesión remoto), rellena este campo con información sobre la máquina de la que procede la actividad del usuario. En el caso de la actividad de usuarios locales (por ejemplo, el inicio de sesión local), no definas principal.
• Target: rellena target.user con información sobre el usuario que ha iniciado o cerrado sesión. Si no se ha definido el elemento principal (por ejemplo, en el inicio de sesión local), target también debe incluir al menos un identificador de máquina que identifique la máquina de destino. En el caso de la actividad de usuario de máquina a máquina (por ejemplo, inicio de sesión remoto, SSO, servicio en la nube o VPN), el destino debe incluir información sobre la aplicación, la máquina o el servidor VPN de destino.
• Intermediario: en los inicios de sesión con SSO, el intermediario debe incluir al menos un identificador de máquina para el servidor de SSO, si está disponible.
• network y network.http: si el inicio de sesión se produce a través de HTTP, debes incluir todos los detalles disponibles en network.ip_protocol, network.application_protocol y network.http.
• Extensión authentication: debe identificar el tipo de sistema de autenticación al que está relacionado el evento (por ejemplo, máquina, SSO o VPN) y el mecanismo empleado (nombre de usuario y contraseña, OTP, etc.).
• security_result: añade un campo security_result para representar el estado del inicio de sesión si falla. Especifica security_result.category con el valor AUTH_VIOLATION si falla la autenticación.

USER_RESOURCE_ACCESS

Campos obligatorios:

• Principal: rellena el campo principal.user con detalles sobre los intentos de acceder a un recurso en la nube (por ejemplo, un caso de Salesforce, un calendario de Office 365, un documento de Google o un ticket de ServiceNow).
• target: rellena el campo target.resource con información sobre el recurso de nube de destino.

Campos opcionales:

• target.application: (recomendado) rellene el campo target.application con información sobre la aplicación en la nube de destino.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campos obligatorios:

• Principal: rellena el campo principal.user con los detalles asociados al usuario creado en un recurso en la nube (por ejemplo, un caso de Salesforce, un calendario de Office 365, un documento de Google o un ticket de ServiceNow).
• target: rellena el campo target.resource con información sobre el recurso de nube de destino.

Campos opcionales:

• target.application: (recomendado) rellene el campo target.application con información sobre la aplicación en la nube de destino.

USER_RESOURCE_UPDATE_CONTENT

Campos obligatorios:

• principal: rellena el campo principal.user con los detalles asociados al usuario cuyo contenido se ha actualizado en un recurso de la nube (por ejemplo, un caso de Salesforce, un calendario de Office 365, un documento de Google o un ticket de ServiceNow).
• target: rellena el campo target.resource con información sobre el recurso de nube de destino.

Campos opcionales:

• target.application: (recomendado) rellene el campo target.application con información sobre la aplicación en la nube de destino.

USER_RESOURCE_UPDATE_PERMISSIONS

Campos obligatorios:

• Principal: rellena el campo principal.user con los detalles asociados al usuario cuyos permisos se han actualizado en un recurso en la nube (por ejemplo, un caso de Salesforce, un calendario de Office 365, un documento de Google o un ticket de ServiceNow).
• target: rellena el campo target.resource con información sobre el recurso de nube de destino.

Campos opcionales:

• target.application: (recomendado) rellene el campo target.application con información sobre la aplicación en la nube de destino.

USER_UNCATEGORIZED

Campos obligatorios:

• metadata: event_timestamp
• Principal: incluye información sobre la máquina desde la que se ha originado la solicitud para crear o eliminar el usuario. Para crear o eliminar un usuario local, principal debe incluir al menos un identificador de máquina para la máquina de origen.
• target: ubicación en la que se está creando el usuario. También debe incluir información del usuario (por ejemplo, target.user).

Campos opcionales:

• Principal: detalles del usuario y del proceso de la máquina en la que se inició la solicitud de creación o eliminación del usuario.
• Target: información sobre la máquina de destino (si es diferente de la máquina principal).