Guía de uso de UDM

En este documento, se proporciona una descripción detallada de los campos del esquema del modelo de datos unificado (UDM). En ella, se enumeran los campos obligatorios y opcionales para cada tipo de evento.

Para obtener detalles sobre campos específicos del UDM (por ejemplo, números de enumeración), consulta la lista de campos del Modelo de datos unificado.

Formatos de nombres de campos de UDM:

  • Para la evaluación del motor de reglas, el prefijo comienza con udm.
  • En el caso del normalizador basado en la configuración (CBN), el prefijo comienza con event.idm.read_only_udm.

Completar los metadatos del evento

La sección de metadatos del evento para los eventos del UDM almacena información general sobre cada evento.

Metadata.event_type

  • Propósito: Especifica el tipo de evento. Si un evento tiene varios tipos posibles, este valor debe especificar el tipo más específico.
  • Obligatorio: Sí.
  • Codificación: Debe ser uno de los tipos enumerados event_type predefinidos de UDM.
  • Valores posibles: En la siguiente lista, se incluyen todos los valores posibles para event_type dentro del UDM.

Eventos de analistas

  • ANALYST_ADD_COMMENT
  • ANALYST_UPDATE_PRIORITY
  • ANALYST_UPDATE_REASON
  • ANALYST_UPDATE_REPUTATION
  • ANALYST_UPDATE_RISK_SCORE
  • ANALYST_UPDATE_ROOT_CAUSE
  • ANALYST_UPDATE_SEVERITY_SCORE
  • ANALYST_UPDATE_STATUS
  • ANALYST_UPDATE_VERDICT

Eventos del dispositivo

  • DEVICE_CONFIG_UPDATE
  • DEVICE_FIRMWARE_UPDATE
  • DEVICE_PROGRAM_DOWNLOAD
  • DEVICE_PROGRAM_UPLOAD

Eventos de correo electrónico

  • EMAIL_UNCATEGORIZED
  • EMAIL_TRANSACTION
  • EMAIL_URL_CLICK

Eventos no especificados

  • EVENTTYPE_UNSPECIFIED

Eventos de archivos realizados en un extremo

  • FILE_UNCATEGORIZED
  • FILE_COPY (por ejemplo, copiar un archivo en una unidad flash)
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_MOVE
  • FILE_OPEN (por ejemplo, abrir un archivo podría indicar una vulneración de seguridad)
  • FILE_READ (por ejemplo, leer un archivo de contraseña)
  • FILE_SYNC

Eventos que no se ajustan a ninguna otra categoría

Eventos que no se ajustan a ninguna otra categoría, incluidos los eventos de Windows sin clasificar:

  • GENERIC_EVENT

Eventos de actividad grupal

  • GROUP_UNCATEGORIZED
  • GROUP_CREATION
  • GROUP_DELETION
  • GROUP_MODIFICATION

Eventos de exclusión mutua

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Eventos de telemetría de red

Eventos de telemetría de red, que incluyen cargas útiles de protocolo sin procesar, como DHCP y DNS, así como resúmenes de protocolos como HTTP, SMTP y FTP, y eventos de flujo y conexión de NetFlow y firewalls:

  • NETWORK_UNCATEGORIZED
  • NETWORK_CONNECTION (por ejemplo, detalles de conexión de red de un firewall)
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_FLOW (por ejemplo, estadísticas de flujo agregadas de Netflow)
  • NETWORK_FTP
  • NETWORK_HTTP
  • NETWORK_SMTP

Procesa eventos

Cualquier evento relacionado con un proceso, como el inicio de un proceso, un proceso que crea algo malicioso, un proceso que se inserta en otro proceso, un cambio de una clave de registro o la creación de un archivo malicioso en el disco:

  • PROCESS_UNCATEGORIZED
  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION

Eventos de registro

Usa los siguientes eventos de REGISTRY en lugar de los eventos de SETTING cuando trabajes con eventos de registro específicos de Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Eventos de recursos

  • RESOURCE_CREATION
  • RESOURCE_DELETION
  • RESOURCE_PERMISSIONS_CHANGE
  • RESOURCE_READ
  • RESOURCE_WRITTEN

Eventos orientados al escaneo

Los eventos orientados al análisis incluyen análisis a pedido y detecciones de comportamiento que realizan los productos de seguridad del endpoint (EDR, AV y DLP). Solo se usan cuando se adjunta un SecurityResult a otro tipo de evento (como PROCESS_LAUNCH).

Eventos orientados al escaneo:

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_NETWORK
  • SCAN_PROCESS
  • SCAN_PROCESS_BEHAVIORS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Eventos de tareas programadas (Programador de tareas de Windows, cron, etcétera)

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_MODIFICATION

Eventos de servicio

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_MODIFICATION
  • SERVICE_START
  • SERVICE_STOP

Cómo configurar eventos

Para establecer los requisitos de eventos, consulta Configuración: Campos obligatorios.

Eventos de configuración, incluidos los casos en que se cambia un parámetro de configuración del sistema en un extremo:

  • SETTING_UNCATEGORIZED
  • SETTING_CREATION
  • SETTING_DELETION
  • SETTING_MODIFICATION

Mensajes de estado de los productos de seguridad

Mensajes de estado de los productos de seguridad para indicar que los agentes están activos y enviar la versión, la huella digital o cualquier otro tipo de datos:

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indica que el producto está activo)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (actualización de software o huella digital)

Eventos de registro de auditoría del sistema

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Eventos de actividad de autenticación de usuarios

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (por ejemplo, cuando un usuario ingresa físicamente a un sitio)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS
  • USER_STATS

Metadata.collected_timestamp

  • Propósito: Codifica la marca de tiempo en GMT cuando la infraestructura de recopilación local del proveedor recopiló el evento.
  • Codificación: RFC 3339, según corresponda al formato de marca de tiempo JSON o Proto3.
  • Ejemplo:
    • RFC 3339: "2019-09-10T20:32:31-08:00"
    • Formato de proto3: "2012-04-23T18:25:43.511Z"

Metadata.event_timestamp

  • Propósito: Codifica la marca de tiempo en GMT cuando se generó el evento.
  • Obligatorio: Sí
  • Codificación: RFC 3339, según corresponda al formato de marca de tiempo JSON o Proto3.
  • Ejemplo:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Formato de proto3: 2012-04-23T18:25:43.511Z

Metadata.description

  • Propósito: Es una descripción legible del evento.
  • Codificación: Cadena alfanumérica, se permite puntuación, 1,024 bytes como máximo
  • Ejemplo: Se bloqueó el acceso del archivo c:\bar\foo.exe al documento sensible c:\documents\earnings.docx.

Metadata.product_event_type

  • Propósito: Nombre o tipo de evento corto, descriptivo, legible y específico del producto.
  • Codificación: Cadena alfanumérica, se permite puntuación, máximo de 64 bytes.
  • Ejemplos:
    • Evento de creación del registro
    • ProcessRollUp
    • Se detectó una elevación de privilegios
    • Se bloqueó el software malicioso

Metadata.product_log_id

  • Propósito: Codifica un identificador de evento específico del proveedor para identificar de forma única el evento (un GUID). Los usuarios pueden usar este identificador para buscar el evento en cuestión en la consola propietaria del proveedor.
  • Codificación: Cadena alfanumérica que distingue mayúsculas de minúsculas, admite signos de puntuación y tiene un máximo de 256 bytes.
  • Ejemplo: ABcd1234-98766

Metadata.product_name

  • Propósito: Especifica el nombre del producto.
  • Codificación: Cadena alfanumérica que distingue mayúsculas de minúsculas, admite signos de puntuación y tiene un máximo de 256 bytes.
  • Ejemplos:
    • Falcon
    • Symantec Endpoint Protection

Metadata.product_version

  • Propósito: Especifica la versión del producto.
  • Codificación: Cadena alfanumérica, se permiten puntos y guiones, máximo de 32 bytes
  • Ejemplos:
    • 1.2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • Propósito: URL que vincula a un sitio web pertinente en el que puedes ver más información sobre este evento específico (o la categoría general del evento).
  • Codificación: URL válida según el RFC 3986 con parámetros opcionales, como información de puertos, etcétera. Debe tener un prefijo de protocolo antes de la URL (por ejemplo, https:// o http://).
  • Ejemplo: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Propósito: Especifica el nombre del proveedor del producto.
  • Codificación: Cadena alfanumérica que distingue mayúsculas de minúsculas, se permite puntuación, 256 bytes como máximo
  • Ejemplos:
    • CrowdStrike
    • Symantec

Propagación de metadatos de sustantivos

En esta sección, la palabra Noun es un término general que se usa para representar las entidades: principal, src, target, intermediary, observer y about. Estas entidades tienen atributos comunes, pero representan diferentes objetos en un evento. Para obtener más información sobre las entidades y lo que representa cada una en un evento, consulta Cómo dar formato a los datos de registro como UDM.

Noun.asset_id

  • Propósito: Es el identificador único del dispositivo específico del proveedor (por ejemplo, un GUID que se genera cuando se instala software de seguridad de extremos en un dispositivo nuevo que se usa para hacer un seguimiento de ese dispositivo único a lo largo del tiempo).
  • Codificación: VendorName.ProductName:ID, donde VendorName es un nombre de proveedor que no distingue mayúsculas de minúsculas*, ProductName es un nombre de producto que no distingue mayúsculas de minúsculas, como "Response" o "Endpoint Protection", y el ID es un identificador de cliente específico del proveedor que es único a nivel global dentro del entorno del cliente (por ejemplo, un GUID o un valor único que identifica un dispositivo único). VendorName y ProductName son alfanuméricos y no tienen más de 32 caracteres. El ID puede tener una longitud máxima de 128 caracteres y puede incluir caracteres alfanuméricos, guiones y puntos.
  • Ejemplo: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Propósito: Dirección de correo electrónico
  • Codificación: Formato estándar de dirección de correo electrónico.
  • Ejemplo: juan@test.altostrat.com

Noun.file

Noun.hostname

  • Propósito: Campo de nombre de host o nombre de dominio del cliente. No se debe incluir si hay una URL presente.
  • Codificación: Nombre de host válido según la RFC 1123.
  • Ejemplos:
    • userwin10
    • www.altostrat.com

Noun.platform

  • Propósito: Es el sistema operativo de la plataforma.
  • Encoding: Enum
  • Valores posibles:
    • LINUX
    • MAC
    • WINDOWS
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • Propósito: Es el nivel de parche del sistema operativo de la plataforma.
  • Codificación: Cadena alfanumérica con signos de puntuación, 64 caracteres como máximo.
  • Ejemplo: Compilación 17134.48

Noun.platform_version

  • Propósito: Es la versión del sistema operativo de la plataforma.
  • Codificación: Cadena alfanumérica con signos de puntuación, 64 caracteres como máximo.
  • Ejemplo: Microsoft Windows 10, versión 1803

Noun.process

Noun.ip

  • Propósito:
    • Es una sola dirección IP asociada a una conexión de red.
    • Una o más direcciones IP asociadas con un dispositivo del participante en el momento del evento (por ejemplo, si un producto de EDR conoce todas las direcciones IP asociadas con un dispositivo, puede codificarlas todas en los campos de IP).
  • Codificación: Dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.
  • Repetibilidad:
    • Si un evento describe una conexión de red específica (por ejemplo, srcip:srcport > dstip:dstport), el proveedor debe proporcionar solo una dirección IP.
    • Si un evento describe la actividad general que ocurre en un dispositivo del participante, pero no una conexión de red específica, es posible que el proveedor proporcione todas las direcciones IP asociadas del dispositivo en el momento del evento.
  • Ejemplos:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • Propósito: Es el número de puerto de red de origen o destino cuando se describe una conexión de red específica dentro de un evento.
  • Codificación: Número de puerto TCP/IP válido del 1 al 65,535.

  • Ejemplos:

    • 80
    • 443

Noun.mac

  • Propósito: Una o más direcciones MAC asociadas a un dispositivo.
  • Codificación: Dirección MAC válida (EUI-48) en ASCII.
  • Repetibilidad: Es posible que el proveedor proporcione todas las direcciones MAC asociadas del dispositivo en el momento del evento.
  • Ejemplos:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • Propósito: Es el dominio al que pertenece el dispositivo (por ejemplo, el dominio de Windows).
  • Codificación: Cadena de nombre de dominio válida (máximo de 128 caracteres).
  • Ejemplo: corp.altostrat.com

Noun.registry

Noun.url

  • Propósito: URL estándar
  • Codificación: URL (RFC 3986). Debe tener un prefijo de protocolo válido (por ejemplo, https:// o ftp://). Debe incluir el dominio y la ruta completos. Puede incluir los parámetros de la URL.
  • Ejemplo: https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

Completar los metadatos de autenticación

Authentication.AuthType

  • Propósito: Es el tipo de sistema con el que se asocia un evento de autenticación (UDM de Operaciones de seguridad de Google).
  • Codificación: Tipo enumerado.
  • Valores posibles:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE: Autenticación de máquinas
    • FÍSICA: Autenticación física (por ejemplo, un lector de tarjetas)
    • SSO
    • TACACS: Protocolo de la familia TACACS para la autenticación de sistemas en red (por ejemplo, TACACS o TACACS+)
    • VPN

Authentication.Authentication_Status

  • Propósito: Describe el estado de autenticación de un usuario o una credencial específica.
  • Codificación: Tipo enumerado.
  • Valores posibles:
    • UNKNOWN_AUTHENTICATION_STATUS: Es el estado de autenticación predeterminado.
    • ACTIVE: El método de autenticación está en estado activo.
    • SUSPENDED: El método de autenticación está suspendido o inhabilitado.
    • DELETED: Se borró el método de autenticación.
    • NO_ACTIVE_CREDENTIALS: El método de autenticación no tiene credenciales activas.

Authentication.auth_details

  • Propósito: Detalles de autenticación definidos por el proveedor.
  • Codificación: Cadena.

Authentication.Mechanism

  • Propósito: Mecanismos que se usan para la autenticación.
  • Codificación: Tipo enumerado.
  • Valores posibles:
    • MECHANISM_UNSPECIFIED: Es el mecanismo de autenticación predeterminado.
    • BADGE_READER
    • BATCH: Es la autenticación por lotes.
    • CACHED_INTERACTIVE: Autenticación interactiva con credenciales almacenadas en caché.
    • HARDWARE_KEY
    • LOCAL
    • MECHANISM_OTHER: Es algún otro mecanismo que no se define aquí.
    • NETWORK: Autenticación de red.
    • NETWORK_CLEAR_TEXT: Es la autenticación de texto sin encriptar de la red.
    • NEW_CREDENTIALS: Autenticación con credenciales nuevas.
    • OTP
    • REMOTE: Autenticación remota
    • REMOTE_INTERACTIVE: RDP, servicios de terminal, computación de red virtual (VNC), etcétera
    • SERVICE: Es la autenticación de servicio.
    • UNLOCK: Autenticación de desbloqueo interactiva directa con humanos.
    • USERNAME_PASSWORD

Propagación de metadatos de DHCP

Los campos de metadatos del Protocolo de control de host dinámico (DHCP) capturan información de registro del protocolo de administración de redes DHCP.

Dhcp.client_hostname

  • Propósito: Es el nombre de host del cliente. Consulta la RFC 2132, DHCP Options and BOOTP Vendor Extensions, para obtener más información.
  • Codificación: Cadena.

Dhcp.client_identifier

  • Propósito: Es el identificador del cliente. Consulta la RFC 2132, DHCP Options and BOOTP Vendor Extensions, para obtener más información.
  • Codificación: Bytes.

Dhcp.file

  • Propósito: Es el nombre de archivo de la imagen de arranque.
  • Codificación: Cadena.

Dhcp.flags

  • Propósito: Es el valor del campo de marcas de DHCP.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.hlen

  • Propósito: Longitud de la dirección de hardware.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.hops

  • Propósito: Recuento de saltos de DHCP.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.htype

  • Propósito: Tipo de dirección de hardware.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.lease_time_seconds

  • Propósito: Es el tiempo de concesión solicitado por el cliente para una dirección IP en segundos. Consulta la RFC 2132, DHCP Options and BOOTP Vendor Extensions, para obtener más información.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.opcode

  • Propósito: Código de operación de BOOTP (consulta la sección 3 de la RFC 951).
  • Codificación: Tipo enumerado.
  • Valores posibles:
    • UNKNOWN_OPCODE
    • BOOTREQUEST
    • BOOTREPLY

Dhcp.requested_address

  • Propósito: Es el identificador del cliente. Consulta la RFC 2132, DHCP Options and BOOTP Vendor Extensions, para obtener más información.
  • Codificación: Dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Dhcp.seconds

  • Propósito: Segundos transcurridos desde que el cliente comenzó el proceso de adquisición o renovación de la dirección.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.sname

  • Propósito: Es el nombre del servidor desde el que el cliente solicitó el inicio.
  • Codificación: Cadena.

Dhcp.transaction_id

  • Propósito: Es el ID de transacción del cliente.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.type

  • Propósito: Tipo de mensaje de DHCP. Consulta el RFC 1533 para obtener más información.
  • Codificación: Tipo enumerado.
  • Valores posibles:
    • UNKNOWN_MESSAGE_TYPE
    • DESCUBRE
    • OFERTA
    • SOLICITUD
    • RECHAZAR
    • Conf.
    • NAK
    • RELEASE
    • INFORMAR
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • Propósito: Dirección IP del hardware del cliente.
  • Codificación: Dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Dhcp.ciaddr

  • Propósito: Es la dirección IP del cliente.
  • Codificación: Dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Dhcp.giaddr

  • Propósito: Dirección IP del agente de retransmisión.
  • Codificación: Dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Dhcp.siaddr

  • Propósito: Dirección IP del próximo servidor de arranque.
  • Codificación: Dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Dhcp.yiaddr

  • Propósito: Tu dirección IP
  • Codificación: Dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Propagación de metadatos de la opción DHCP

Los campos de metadatos de la opción DHCP capturan la información de registro de la opción DHCP.

Option.code

  • Propósito: Almacena el código de opción de DHCP. Consulta la RFC 1533, DHCP Options and BOOTP Vendor Extensions, para obtener más información.
  • Codificación: Es un número entero de 32 bits sin signo.

Option.data

  • Propósito: Almacena los datos de la opción de DHCP. Consulta la RFC 1533, DHCP Options and BOOTP Vendor Extensions, para obtener más información.
  • Codificación: Bytes.

Completar los metadatos de DNS

Los campos de metadatos de DNS capturan información relacionada con los paquetes de solicitud y respuesta de DNS. Tienen una correspondencia uno a uno con los datos que se encuentran en los datagramas de solicitud y respuesta de DNS.

Dns.authoritative

  • Propósito: Se establece en verdadero para los servidores DNS autorizados.
  • Codificación: Booleano.

Dns.id

  • Propósito: Almacena el identificador de la consulta de DNS.
  • Codificación: Es un número entero de 32 bits.

Dns.response

  • Propósito: Se establece como verdadero si el evento es una respuesta de DNS.
  • Codificación: Booleano.

Dns.opcode

  • Propósito: Almacena el código de operación de DNS que se usa para especificar el tipo de consulta de DNS (estándar, inversa, estado del servidor, etcétera).
  • Codificación: Es un número entero de 32 bits.

Dns.recursion_available

  • Propósito: Se establece como verdadero si hay disponible una búsqueda de DNS recursiva.
  • Codificación: Booleano.

Dns.recursion_desired

  • Propósito: Se establece como verdadero si se solicita una búsqueda de DNS recursiva.
  • Codificación: Booleano.

Dns.response_code

  • Propósito: Almacena el código de respuesta del DNS según lo define la RFC 1035, Domain Names - Implementation and Specification.
  • Codificación: Es un número entero de 32 bits.

Dns.truncated

  • Propósito: Se establece como verdadero si esta es una respuesta de DNS truncada.
  • Codificación: Booleano.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

Completar los metadatos de DNS Question

Los campos de metadatos de preguntas de DNS capturan la información contenida en la sección de preguntas de un mensaje del protocolo de dominio.

Question.name

  • Propósito: Almacena el nombre de dominio.
  • Codificación: Cadena.

Question.class

  • Propósito: Almacena el código que especifica la clase de la búsqueda.
  • Codificación: Es un número entero de 32 bits.

Question.type

  • Propósito: Almacena el código que especifica el tipo de búsqueda.
  • Codificación: Es un número entero de 32 bits.

Completar los metadatos del registro de recursos de DNS

Los campos de metadatos del registro de recursos DNS capturan la información que se incluye en el registro de recursos de un mensaje del protocolo de dominio.

ResourceRecord.binary_data

  • Propósito: Almacena los bytes sin procesar de cualquier cadena que no sea UTF-8 y que se pueda incluir como parte de una respuesta de DNS. Este campo solo se debe usar si los datos de respuesta que devuelve el servidor DNS contienen datos que no son UTF-8. De lo contrario, coloca la respuesta de DNS en el campo de datos que se encuentra a continuación. Este tipo de información debe almacenarse aquí en lugar de en ResourceRecord.data.

  • Codificación: Bytes.

ResourceRecord.class

  • Propósito: Almacena el código que especifica la clase del registro de recursos.
  • Codificación: Es un número entero de 32 bits.

ResourceRecord.data

  • Propósito: Almacena la carga útil o la respuesta a la pregunta de DNS para todas las respuestas codificadas en formato UTF-8. Por ejemplo, el campo de datos podría devolver la dirección IP de la máquina a la que hace referencia el nombre de dominio. Si el registro de recursos es de otro tipo o clase, es posible que contenga otro nombre de dominio (cuando un nombre de dominio se redirecciona a otro). Los datos deben almacenarse tal como se encuentran en la respuesta del DNS.
  • Codificación: Cadena.

ResourceRecord.name

  • Propósito: Almacena el nombre del propietario del registro de recursos.
  • Codificación: Cadena.

ResourceRecord.ttl

  • Propósito: Almacena el intervalo de tiempo durante el cual se puede almacenar en caché el registro de recursos antes de que se vuelva a consultar la fuente de información.
  • Codificación: Es un número entero de 32 bits.

ResourceRecord.type

  • Purpose: Almacena el código que especifica el tipo de registro de recursos.
  • Codificación: Es un número entero de 32 bits.

Propagación de metadatos de correo electrónico

La mayoría de los campos de metadatos de correo electrónico capturan las direcciones de correo electrónico incluidas en el encabezado del mensaje y deben cumplir con el formato estándar de dirección de correo electrónico (buzón-local@dominio) según se define en la RFC 5322. Por ejemplo, frank@email.example.com.

Email.from

  • Propósito: Almacena la dirección de correo electrónico from.
  • Codificación: Cadena.

Email.reply_to

  • Propósito: Almacena la dirección de correo electrónico de reply_to.
  • Codificación: Cadena.

Email.to

  • Propósito: Almacena las direcciones de correo electrónico del campo Para.
  • Codificación: Cadena.

Email.cc

  • Propósito: Almacena las direcciones de correo electrónico en cc.
  • Codificación: Cadena.

Email.bcc

  • Propósito: Almacena las direcciones de correo electrónico de Cco.
  • Codificación: Cadena.

Email.mail_id

  • Propósito: Almacena el ID del correo electrónico (o mensaje).
  • Codificación: Cadena.
  • Ejemplo: 192544.132632@email.example.com

Email.subject

  • Propósito: Almacena el asunto del correo electrónico.
  • Codificación: Cadena.
  • Ejemplo: "Lee este mensaje".

Propagación de metadatos de extensiones

Tipos de eventos con metadatos de primera clase que aún no están categorizados por el UDM de Google SecOps.

Extensions.auth

  • Propósito: Es una extensión de los metadatos de autenticación.
  • Codificación: Cadena.
  • Ejemplos:
    • Metadatos de la zona de pruebas (todos los comportamientos que exhibe un archivo, por ejemplo, FireEye)
    • Datos del Control de acceso a la red (NAC)
    • Son los detalles de LDAP sobre un usuario (por ejemplo, rol, organización, etcétera).

Extensions.auth.auth_details

  • Propósito: Especifica los detalles específicos del proveedor para el tipo o mecanismo de autenticación. Los proveedores de autenticación suelen definir tipos, como via_mfa o via_ad, que proporcionan información útil sobre el tipo de autenticación. Estos tipos aún se pueden generalizar en auth.type o auth.mechanism para mejorar la usabilidad y la compatibilidad entre conjuntos de datos.
  • Codificación: Cadena.
  • Ejemplos: via_mfa, via_ad.

Extensions.vulns

  • Propósito: Es una extensión de los metadatos de vulnerabilidad.
  • Codificación: Cadena.
  • Ejemplo: Datos del análisis de vulnerabilidades del host.

Propagación de metadatos de archivos

File.file_metadata

  • Propósito: Son los metadatos asociados con el archivo.
  • Codificación: Cadena.
  • Ejemplos:
    • Autor
    • Número de revisión
    • Número de versión
    • Fecha en que se guardó por última vez

File.full_path

  • Propósito: Ruta de acceso completa que identifica la ubicación del archivo en el sistema.
  • Codificación: Cadena.
  • Ejemplo: \Program Files\Custom Utilities\Test.exe

File.md5

  • Propósito: Es el valor del hash MD5 del archivo.
  • Codificación: Cadena hexadecimal en minúsculas.
  • Ejemplo: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Propósito: Tipo de extensiones multipropósito de correo de Internet (MIME) para el archivo.
  • Codificación: Cadena.
  • Ejemplos:
    • PE
    • PDF
    • Secuencia de comandos de PowerShell

File.sha1

  • Propósito: Valor de hash SHA-1 del archivo.
  • Codificación: Cadena hexadecimal en minúsculas.
  • Ejemplo: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Propósito: Valor de hash SHA-256 para el archivo.
  • Codificación: Cadena hexadecimal en minúsculas.
  • Ejemplo: d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • Propósito: Tamaño del archivo.
  • Codificación: Es un número entero de 64 bits sin firma.
  • Ejemplo: 342135

Propagación de metadatos de FTP

Ftp.command

  • Propósito: Almacena el comando FTP.
  • Codificación: Cadena.
  • Ejemplos:
    • objeto binario
    • borrar
    • get
    • put

Completar los metadatos del grupo

Es la información sobre un grupo de la organización.

Group.creation_time

  • Propósito: Es la fecha y hora de creación del grupo.
  • Codificación: RFC 3339, según corresponda al formato de marca de tiempo JSON o Proto3.

Group.email_addresses

  • Propósito: Información de contacto del grupo
  • Codificación: Correo electrónico.

Group.group_display_name

  • Propósito: Es el nombre visible del grupo.
  • Codificación: Cadena.
  • Ejemplos:
    • Finanzas
    • RR.HH.
    • Marketing

Group.product_object_id

  • Propósito: Es el identificador del objeto de usuario único a nivel global para el producto, como un identificador de objeto LDAP.
  • Codificación: Cadena.

Group.windows_sid

  • Propósito: Campo de atributo de grupo del identificador de seguridad (SID) de Microsoft Windows.
  • Codificación: Cadena.

Propagación de metadatos HTTP

Http.method

  • Propósito: Almacena el método de solicitud HTTP.
  • Codificación: Cadena.
  • Ejemplos:
    • GET
    • HEAD
    • POST

Http.referral_url

  • Propósito: Almacena la URL del sitio de referencia HTTP.
  • Codificación: URL válida según el RFC 3986.
  • Ejemplo: https://www.altostrat.com

Http.response_code

  • Propósito: Almacena el código de estado de respuesta HTTP, que indica si una solicitud HTTP específica se completó correctamente.
  • Codificación: Es un número entero de 32 bits.
  • Ejemplos:
    • 400
    • 404

Http.user_agent

  • Propósito: Almacena el encabezado de la solicitud User-Agent que incluye el tipo de aplicación, el sistema operativo, el proveedor de software o la versión del usuario-agente de software solicitante.
  • Codificación: Cadena.
  • Ejemplos:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, como Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Completar los metadatos de ubicación

Location.city

  • Propósito: Almacena el nombre de la ciudad.
  • Codificación: Cadena.
  • Ejemplos:
    • Sunnyvale
    • Chicago
    • Málaga

Location.country_or_region

  • Propósito: Almacena el nombre del país o la región del mundo.
  • Codificación: Cadena.
  • Ejemplos:
    • Estados Unidos
    • Reino Unido
    • España

Location.name

  • Propósito: Almacena el nombre específico de la empresa, como un edificio o un campus.
  • Codificación: Cadena.
  • Ejemplos:
    • Campus 7B
    • Edificio A2

Location.state

  • Propósito: Almacena el nombre del estado, la provincia o el territorio.
  • Codificación: Cadena.
  • Ejemplos:
    • California
    • Illinois
    • Ontario

Propagación de metadatos de red

Network.application_protocol

  • Propósito: Indica el protocolo de la aplicación de red.
  • Codificación: Tipo enumerado.

  • Valores posibles:

    • UNKNOWN_APPLICATION_PROTOCOL
    • AFP
    • APPC
    • AMQP
    • ATOM
    • BEEP
    • BITCOIN
    • BIT_TORRENT
    • CFDP
    • CIP
    • COAP
    • COTP
    • DCERPC
    • DDS
    • DEVICE_NET
    • DHCP
    • DICOM
    • DNP3
    • DNS
    • E_DONKEY
    • ENRP
    • FAST_TRACK
    • FINGER
    • FREENET
    • FTAM
    • GOOSE
    • GOPHER
    • GRPC
    • HL7
    • H323
    • HTTP
    • HTTPS
    • IEC104
    • IRCP
    • KADEMLIA
    • KRB5
    • LDAP
    • LPD
    • MIME
    • MMS
    • MODBUS
    • MQTT
    • NETCONF
    • NFS
    • NIS
    • NNTP
    • NTCIP
    • NTP
    • OSCAR
    • PNRP
    • PTP
    • QUIC
    • RDP
    • RELP
    • RIP
    • RLOGIN
    • RPC
    • RTMP
    • RTP
    • RTPS
    • RTSP
    • SAP
    • SDP
    • SIP
    • SLP
    • SMB
    • SMTP
    • SNMP
    • SNTP
    • SSH
    • SSMS
    • STYX
    • SV
    • TCAP
    • TDS
    • TOR
    • TSP
    • VTP
    • WHOIS
    • WEB_DAV
    • X400
    • X500
    • XMPP

Network.direction

  • Propósito: Indica la dirección del tráfico de red.
  • Codificación: Tipo enumerado.
  • Valores posibles:
    • UNKNOWN_DIRECTION
    • ENTRANTE
    • SALIENTE
    • TRANSMISIÓN

Network.email

  • Propósito: Especifica la dirección de correo electrónico del remitente o destinatario.
  • Codificación: Cadena.
  • Ejemplo: jcheng@company.example.com

Network.ip_protocol

  • Propósito: Indica el protocolo IP.
  • Codificación: Tipo enumerado.
  • Valores posibles:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP: Protocolo de enrutamiento de puerta de enlace interior mejorado
    • ESP: Encapsulating Security Payload
    • ETHERIP: Encapsulamiento de Ethernet dentro de IP
    • GRE: Encapsulamiento de enrutamiento genérico
    • ICMP: Protocolo de mensajes de control de Internet
    • IGMP: Protocolo de administración de grupos de Internet
    • IP6IN4: Encapsulamiento de IPv6
    • PIM: Protocol Independent Multicast
    • TCP: Protocolo de control de transmisión
    • UDP: Protocolo de datagramas de usuario
    • VRRP: Protocolo de redundancia de router virtual

Network.received_bytes

  • Propósito: Especifica la cantidad de bytes recibidos.
  • Codificación: Es un número entero de 64 bits sin firma.
  • Ejemplo: 12,453,654,768

Network.sent_bytes

  • Propósito: Especifica la cantidad de bytes enviados.
  • Codificación: Es un número entero de 64 bits sin firma.
  • Ejemplo: 7,654,876

Network.session_duration

  • Propósito: Almacena la duración de la sesión de red, que suele devolverse en un evento de soltar para la sesión. Para establecer la duración, puedes configurar network.session_duration.seconds = 1 (tipo int64) o network.session_duration.nanos = 1 (tipo int32).
  • Codificación:
    • Número entero de 32 bits para los segundos (network.session_duration.seconds).
    • Número entero de 64 bits: Para nanosegundos (network.session_duration.nanos)

Network.session_id

  • Propósito: Almacena el identificador de sesión de la red.
  • Codificación: Cadena.
  • Ejemplo: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Propagación de metadatos de proceso

Process.command_line

  • Propósito: Almacena la cadena de línea de comandos para el proceso.
  • Codificación: Cadena.
  • Ejemplo: Grupo c:\windows\system32\net.exe

Process.product_specific_process_id

  • Propósito: Almacena el ID del proceso específico del producto.
  • Codificación: Cadena.
  • Ejemplos: MySQL:78778 o CS:90512

Process.parent_process.product_specific_process_id

  • Propósito: Almacena el ID del proceso específico del producto para el proceso principal.
  • Codificación: Cadena.
  • Ejemplos: MySQL:78778 o CS:90512

Process.file

  • Propósito: Almacena el nombre del archivo que usa el proceso.
  • Codificación: Cadena.
  • Ejemplo: informe.xls

Process.parent_process

  • Propósito: Almacena los detalles del proceso principal.
  • Codificación: Sustantivo (proceso)

Process.pid

  • Propósito: Almacena el ID del proceso.
  • Codificación: Cadena.
  • Ejemplos:
    • 308
    • 2002

Propagación de metadatos del registro

Registry.registry_key

  • Propósito: Almacena la clave de registro asociada a un componente del sistema o de la aplicación.
  • Codificación: Cadena.
  • Ejemplo: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Propósito: Almacena el nombre del valor de registro asociado con un componente del sistema o de la aplicación.
  • Codificación: Cadena.
  • Ejemplo: TEMP

Registry.registry_value_data

  • Propósito: Almacena los datos asociados con un valor de registro.
  • Codificación: Cadena.
  • Ejemplo: %USERPROFILE%\Local Settings\Temp

Completar los metadatos del resultado de seguridad

Los metadatos de Security Result incluyen detalles sobre los riesgos y las amenazas de seguridad que encontró un sistema de seguridad, así como las acciones que se tomaron para mitigar esos riesgos y amenazas.

SecurityResult.about

  • Propósito: Proporciona una descripción del resultado de seguridad.
  • Codificación: Sustantivo.

SecurityResult.action

  • Propósito: Especifica una acción de seguridad.
  • Codificación: Tipo enumerado.
  • Valores posibles: El UDM de Google SecOps define las siguientes acciones de seguridad:
    • PERMITIR
    • ALLOW_WITH_MODIFICATION: Se desinfectó o reescribió el archivo o el correo electrónico, y se reenvió de todos modos.
    • BLOQUEAR
    • CUARENTENA: Almacena para su análisis posterior (no significa bloqueo).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Propósito: Son los detalles proporcionados por el proveedor sobre la acción que se tomó como resultado del incidente de seguridad. Las acciones de seguridad suelen traducirse mejor en el campo de UDM más general Security_Result.action. Sin embargo, es posible que debas escribir reglas para la descripción exacta de la acción proporcionada por el proveedor.
  • Codificación: Cadena.
  • Ejemplos: drop, block, decrypt, encrypt.

SecurityResult.category

  • Propósito: Especifica una categoría de seguridad.
  • Codificación: Es una enumeración.
  • Valores posibles: El UDM de Google SecOps define las siguientes categorías de seguridad:
    • ACL_VIOLATION: Se intentó acceder de forma no autorizada, incluido el intento de acceso a archivos, servicios web, procesos, objetos web, etcétera.
    • AUTH_VIOLATION: Falló la autenticación, por ejemplo, por una contraseña incorrecta o una autenticación de 2 factores incorrecta.
    • DATA_AT_REST—DLP: Datos del sensor encontrados en reposo durante un análisis.
    • DATA_DESTRUCTION: Se intenta destruir o borrar datos.
    • DATA_EXFILTRATION (DLP): Transmisión de datos del sensor, copia en una unidad USB.
    • EXPLOIT: Intentos de desbordamiento, codificaciones de protocolo incorrectas, ROP, inyección de SQL, etc., tanto basados en la red como en el host.
    • MAIL_PHISHING: Correo electrónico de phishing, mensajes de chat, etcétera
    • MAIL_SPAM: Correo electrónico, mensaje, etcétera, de spam
    • MAIL_SPOOFING: Dirección de correo electrónico de origen falsificada, etcétera
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL: Si se conoce el canal de comando y control.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS: Comando y control, explotación de red, actividad sospechosa, posible túnel inverso, etcétera.
    • NETWORK_SUSPICIOUS: No se relaciona con la seguridad. Por ejemplo, la URL está vinculada a juegos de apuestas, etcétera.
    • NETWORK_RECON: El IDS detectó un análisis de puertos, sondeo de una aplicación web.
    • POLICY_VIOLATION: Incumplimiento de la política de seguridad, incluidos los incumplimientos de las reglas de firewall, proxy y HIPS, o las acciones de bloqueo de NAC.
    • SOFTWARE_MALICIOUS: Software malicioso, software espía, rootkits, etcétera
    • SOFTWARE_PUA: App potencialmente no deseada, como adware, etc.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • Propósito: Especificar un nivel de confianza con respecto a un evento de seguridad según lo estima el producto.
  • Codificación: Es una enumeración.
  • Valores posibles: El UDM de Google SecOps define las siguientes categorías de confianza del producto:
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Propósito: Es un detalle adicional sobre la confianza de un evento de seguridad según la estimación del proveedor del producto.
  • Codificación: Cadena.

SecurityResult.priority

  • Propósito: Especifica una prioridad con respecto a un evento de seguridad según la estimación del proveedor del producto.
  • Codificación: Es una enumeración.
  • Valores posibles: El UDM de Google SecOps define las siguientes categorías de prioridad del producto:
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIUM_PRIORITY
    • HIGH_PRIORITY

SecurityResult.priority_details

  • Propósito: Es información específica del proveedor sobre la prioridad del resultado de seguridad.
  • Codificación: Cadena.

SecurityResult.rule_id

  • Propósito: Es el identificador de la regla de seguridad.
  • Codificación: Cadena.
  • Ejemplos:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Propósito: Nombre de la regla de seguridad.
  • Codificación: Cadena.
  • Ejemplo: BlockInboundToOracle.

SecurityResult.severity

  • Propósito: Es la gravedad de un evento de seguridad según la estimación del proveedor del producto, que usa los valores definidos por el UDM de Google SecOps.
  • Codificación: Es una enumeración.
  • Valores posibles: El UDM de Google SecOps define los siguientes niveles de gravedad del producto:
    • UNKNOWN_SEVERITY: No malicioso
    • INFORMATIVO: No malicioso
    • ERROR: No malicioso
    • BAJO: Malicioso
    • MEDIA: Maliciosa
    • ALTA: Malicioso

SecurityResult.severity_details

  • Propósito: Es la gravedad de un evento de seguridad según la estimación del proveedor del producto.
  • Codificación: Cadena.

SecurityResult.threat_name

  • Propósito: Es el nombre de la amenaza de seguridad.
  • Codificación: Cadena.
  • Ejemplos:
    • W32/File-A
    • Slammer

SecurityResult.url_back_to_product

  • Propósito: URL que te dirige a la consola del producto fuente para este evento de seguridad.
  • Codificación: Cadena.

Propagación de metadatos de usuarios

User.email_addresses

  • Propósito: Almacena las direcciones de correo electrónico del usuario.
  • Codificación: Cadena repetida.
  • Ejemplo: johnlocke@company.example.com

User.employee_id

  • Propósito: Almacena el ID de empleado de recursos humanos del usuario.
  • Codificación: Cadena.
  • Ejemplo: 11223344.

User.first_name

  • Propósito: Almacena el nombre del usuario.
  • Codificación: Cadena.
  • Ejemplo: Juan.

User.middle_name

  • Propósito: Almacena el segundo nombre del usuario.
  • Codificación: Cadena.
  • Ejemplo: Anthony.

User.last_name

  • Propósito: Almacena el apellido del usuario.
  • Codificación: Cadena.
  • Ejemplo: Locke.

User.group_identifiers

  • Propósito: Almacena los IDs de grupo (un GUID, un OID de LDAP o similar) asociados a un usuario.
  • Codificación: Cadena repetida.
  • Ejemplo: admin-users.

User.phone_numbers

  • Propósito: Almacena los números de teléfono del usuario.
  • Codificación: Cadena repetida.
  • Ejemplo: 800-555-0101

User.title

  • Propósito: Almacena el título del trabajo del usuario.
  • Codificación: Cadena.
  • Ejemplo: Administrador de relaciones con clientes.

User.user_display_name

  • Propósito: Almacena el nombre visible del usuario.
  • Codificación: Cadena.
  • Ejemplo: John Locke.

User.userid

  • Propósito: Almacena el ID del usuario.
  • Codificación: Cadena.
  • Ejemplo: jlocke.

User.windows_sid

  • Propósito: Almacena el identificador de seguridad (SID) de Microsoft Windows asociado a un usuario.
  • Codificación: Cadena.
  • Ejemplo: S-1-5-21-1180649209-123456789-3582944384-1064

Completar los metadatos de vulnerabilidad

Vulnerability.about

  • Propósito: Si la vulnerabilidad se relaciona con un sustantivo específico (por ejemplo, ejecutable), agrégalo aquí.
  • Codificación: Sustantivo. Consulta Cómo completar los metadatos de sustantivos.
  • Ejemplo: Ejecutable.

Vulnerability.cvss_base_score

  • Propósito: Puntuación base para el Common Vulnerability Scoring System (CVSS).
  • Codificación: Punto flotante.
  • Rango: De 0.0 a 10.0
  • Ejemplo: 8.5

Vulnerability.cvss_vector

  • Propósito: Es un vector para las propiedades de CVSS de la vulnerabilidad. Una puntuación de CVSS se compone de las siguientes métricas:

    • Vector de ataque (AV)
    • Complejidad de acceso (AC)
    • Autenticación (Au)
    • Impacto en la confidencialidad (C)
    • Impacto en la integridad (I)
    • Impacto en la disponibilidad (A)

    Para obtener más información, consulta https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.

  • Codificación: Cadena.

  • Ejemplo: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Propósito: Versión del CVSS para la puntuación o el vector de vulnerabilidad.
  • Codificación: Cadena.
  • Ejemplo: 3.1

Vulnerability.description

  • Propósito: Es la descripción de la vulnerabilidad.
  • Codificación: Cadena.

Vulnerability.first_found

  • Propósito: Los productos que mantienen un historial de análisis de vulnerabilidades deben completar first_found con la hora en la que se detectó por primera vez la vulnerabilidad de este activo.
  • Codificación: Cadena.

Vulnerability.last_found

  • Propósito: Los productos que mantienen un historial de análisis de vulnerabilidades deben completar last_found con la hora en la que se detectó más recientemente la vulnerabilidad de este activo.
  • Codificación: Cadena.

Vulnerability.name

  • Propósito: Nombre de la vulnerabilidad.
  • Codificación: Cadena.
  • Ejemplo: Se detectó una versión del SO no compatible.

Vulnerability.scan_end_time

  • Propósito: Si la vulnerabilidad se descubrió durante un análisis de activos, propaga este campo con la hora en que finalizó el análisis. Deja este campo vacío si la hora de finalización no está disponible o no es aplicable.
  • Codificación: Cadena.

Vulnerability.scan_start_time

  • Propósito: Si la vulnerabilidad se descubrió durante un análisis de recursos, completa este campo con la hora en que se inició el análisis. Deja este campo vacío si la hora de inicio no está disponible o no es aplicable.
  • Codificación: Cadena.

Vulnerability.severity

  • Propósito: Gravedad de la vulnerabilidad.
  • Codificación: Tipo enumerado.
  • Valores posibles:
    • UNKNOWN_SEVERITY
    • BAJO
    • MEDIO
    • ALTO

Vulnerability.severity_details

  • Propósito: Son los detalles de gravedad específicos del proveedor.
  • Codificación: Cadena.

Propagación de metadatos de alertas

idm.is_significant

  • Propósito: Especifica si se debe mostrar la alerta en Enterprise Insights.
  • Codificación: Booleano.

idm.is_alert

  • Propósito: Identifica si el evento es una alerta.
  • Codificación: Booleano.

Campos obligatorios y opcionales para cada tipo de evento

En esta sección, se describen los campos obligatorios y opcionales que se deben completar para cada tipo de evento del UDM.

Para obtener detalles sobre campos específicos del UDM (por ejemplo, números de enumeración), consulta la lista de campos del Modelo de datos unificado.

EMAIL_TRANSACTION

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal: Se completa con información sobre la máquina desde la que se originó el mensaje de correo electrónico (por ejemplo, la dirección IP del remitente).

Campos opcionales:

  • about: URLs, IPs, dominios y cualquier archivo adjunto incorporado en el cuerpo del correo electrónico
  • securityResult.about: URLs, IPs y archivos dañinos integrados en el cuerpo del correo electrónico
  • network.email: Es la información del remitente o destinatario del correo electrónico.
  • Principal: Si hay datos de la máquina del cliente sobre quién envió el correo electrónico, completa los detalles del servidor en principal (por ejemplo, el proceso del cliente, los números de puerto, el nombre de usuario, etcétera).
  • target: Si hay datos del servidor de correo electrónico de destino, completa los detalles del servidor en el destino (por ejemplo, la dirección IP).
  • intermediary: Si hay datos del servidor de correo electrónico o del proxy de correo electrónico, completa los detalles del servidor en intermediary.

Notas:

  • Nunca propagues principal.email ni target.email.
  • Solo propaga el campo de correo electrónico en security_result.about o network.email.
  • Por lo general, los resultados de seguridad de nivel superior tienen un conjunto de sustantivos (opcional para el spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ y FILE_OPEN

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • (Opcional) Completa principal.process con información sobre el proceso que accede al archivo.
  • target:
    • Si el archivo es remoto (por ejemplo, un recurso compartido de SMB), el destino debe incluir al menos un identificador de máquina para la máquina de destino. De lo contrario, todos los identificadores de máquina deben estar en blanco.
    • Propaga target.file con información sobre el archivo.

Campos opcionales:

  • security_result: Describe la actividad maliciosa detectada.
  • principal.user: Se completa si hay información del usuario disponible sobre el proceso.

FILE_COPY

Campos obligatorios:

  • metadata: Incluye los campos obligatorios según se describen.
  • principal:
    • Al menos un identificador de máquina.
    • (Opcional) Propaga principal.process con información sobre el proceso que realiza la operación de copia de archivos.
  • src:
    • Propaga src.file con información sobre el archivo fuente.
    • Si el archivo es remoto (por ejemplo, un recurso compartido de SMB), src debe incluir al menos un identificador de máquina para la máquina de origen que almacena el archivo de origen.
  • target:
    • Propaga target.file con información sobre el archivo de destino.
    • Si el archivo es remoto (por ejemplo, un recurso compartido de SMB), el campo target debe incluir al menos un identificador de máquina para la máquina de destino que contiene el archivo de destino.

Campos opcionales:

  • security_result: Describe la actividad maliciosa detectada.
  • principal.user: Se completa si hay información del usuario disponible sobre el proceso.

MUTEX_CREATION

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • Completa principal.process con información sobre el proceso que crea el mutex.
  • target:
    • Propaga target.resource.
    • Propaga target.resource.type con MUTEX.
    • Propaga target.resource.name con el nombre del mutex creado.

Campos opcionales:

  • security_result: Describe la actividad maliciosa detectada.
  • principal.user: Se completa si hay información del usuario disponible sobre el proceso.
Ejemplo de UDM para MUTEX_CREATION

En el siguiente ejemplo, se ilustra cómo se formatearía un evento de tipo MUTEX_CREATION para el UDM de SecOps de Google:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías del UDM:

  • metadata: Es información de contexto sobre el evento.
  • principal: Detalles del dispositivo y el proceso.
  • target: Es información sobre el mutex.

NETWORK_CONNECTION

Campos obligatorios:

  • metadata: event_timestamp
  • principal: Incluye detalles sobre la máquina que inició la conexión de red (por ejemplo, la fuente).
  • target: Incluye detalles sobre la máquina de destino si es diferente de la máquina principal.
  • network: Captura detalles sobre la conexión de red (puertos, protocolo, etcétera).

Campos opcionales:

  • principal.process y target.process: Incluyen información del proceso asociado con la entidad principal y el destino de la conexión de red (si está disponible).
  • principal.user y target.user: Incluyen la información del usuario asociada con la entidad principal y el objetivo de la conexión de red (si está disponible).

NETWORK_HTTP

El tipo de evento NETWORK_HTTP representa una conexión de red HTTP desde una entidad principal a un servidor web de destino.

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal: Representa al cliente que inicia la solicitud web y, al menos, incluye un identificador de máquina (por ejemplo, nombre de host, IP, MAC, identificador de activo propietario) o un identificador de usuario (por ejemplo, nombre de usuario). Si se describe una conexión de red específica y hay disponible un número de puerto del cliente, solo se debe especificar una dirección IP junto con el número de puerto asociado a esa conexión de red (aunque se podrían proporcionar otros identificadores de la máquina para describir mejor el dispositivo del participante). Si no hay un puerto de origen disponible, se pueden especificar todas las direcciones IP y MAC, los identificadores de activos y los valores de nombre de host que describen el dispositivo principal.
  • target: Representa el servidor web y, de forma opcional, incluye información del dispositivo y un número de puerto. Si hay un número de puerto de destino disponible, especifica solo una dirección IP además del número de puerto asociado a esa conexión de red (aunque se podrían proporcionar otros identificadores de máquina para el destino). En target.url, se debe completar con la URL a la que se accedió.
  • network y network.http: Incluyen detalles sobre la conexión de red HTTP. Debes completar los siguientes campos:
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Campos opcionales:

  • about: Representa otras entidades que se encuentran en la transacción HTTP (por ejemplo, un archivo subido o descargado).
  • intermediary: Representa un servidor proxy (si es diferente del principal o del objetivo).
  • metadata: Propaga los otros campos de metadatos.
  • network: Completa otros campos de la red.
  • network.email: Si la conexión de red HTTP se originó a partir de una URL que apareció en un mensaje de correo electrónico, propaga network.email con los detalles.
  • observer: Representa un detector pasivo (si está presente).
  • security_result: Agrega uno o más elementos al campo security_result para representar la actividad maliciosa detectada.
Ejemplo de UDM para NETWORK_HTTP

En el siguiente ejemplo, se ilustra cómo un evento de antivirus de Sophos de tipo NETWORK_HTTP se convertiría al formato de UDM de Google SecOps.

A continuación, se muestra el evento original del antivirus de Sophos:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Así es como se formatearía la misma información en Proto3 con la sintaxis de UDM de Google SecOps:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Google Security Operations-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías del UDM:

  • metadata: Es información de contexto sobre el evento.
  • principal: Es el dispositivo de seguridad que detectó el evento.
  • target: Es el dispositivo que recibió el software malicioso.
  • network: Es la información de red sobre el host malicioso.
  • security_result: Son los detalles de seguridad sobre el software malicioso.
  • additional: Es información del proveedor que no se incluye en el alcance del UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • En el caso de los eventos de inyección y finalización de procesos, si está disponible, principal.process debe incluir información sobre el proceso que inicia la acción (por ejemplo, para un evento de inicio de proceso, principal.process debe incluir detalles sobre el proceso principal si está disponible).
  • target:
    • target.process: Incluye información sobre el proceso que se está inyectando, abriendo, iniciando o finalizando.
    • Si el proceso de destino es remoto, el destino debe incluir al menos un identificador de máquina para la máquina de destino (por ejemplo, una dirección IP, una dirección MAC, un nombre de host o un identificador de activo de terceros).

Campos opcionales:

  • security_result: Describe la actividad maliciosa detectada.
  • principal.user y target.user: Completa el proceso iniciador (principal) y el proceso objetivo si la información del usuario está disponible.
Ejemplo de UDM para PROCESS_LAUNCH

En el siguiente ejemplo, se ilustra cómo darías formato a un evento PROCESS_LAUNCH con la sintaxis de UDM de Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías del UDM:

  • metadata: Es información de contexto sobre el evento.
  • principal: Detalles del dispositivo.
  • destino: Detalles del proceso.

PROCESS_MODULE_LOAD

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • principal.process: Proceso que carga el módulo.
  • target:
    • target.process: Incluye información sobre el proceso.
    • target.process.file: Es el módulo cargado (por ejemplo, la DLL o el objeto compartido).

Campos opcionales:

  • security_result: Describe la actividad maliciosa detectada.
  • principal.user: Se completa si hay información del usuario disponible sobre el proceso.
Ejemplo de UDM para PROCESS_MODULE_LOAD

En el siguiente ejemplo, se ilustra cómo darías formato a un evento PROCESS_MODULE_LOAD con la sintaxis de UDM de Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías del UDM:

  • metadata: Es información de contexto sobre el evento.
  • principal: Detalles sobre el dispositivo y el proceso de carga del módulo.
  • destino: Detalles del proceso y del módulo.

PROCESS_PRIVILEGE_ESCALATION

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • principal.process: Proceso que carga el módulo.
    • principal.user: Es el usuario que carga el módulo.

Campos opcionales:

  • security_result: Describe la actividad maliciosa detectada.
Ejemplo de UDM para PROCESS_PRIVILEGE_ESCALATION

En el siguiente ejemplo, se ilustra cómo darías formato a un evento PROCESS_PRIVILEGE_ESCALATION con la sintaxis de UDM de Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías del UDM:

  • metadata: Es información de contexto sobre el evento.
  • principal: Detalles sobre el dispositivo, el usuario y el proceso que carga el módulo.
  • destino: Detalles del proceso y del módulo.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • Si un proceso en modo de usuario realiza la modificación del registro, principal.process debe incluir información sobre el proceso que modifica el registro.
    • Si un proceso del kernel realiza la modificación del registro, el principal no debe incluir información del proceso.
  • target:
    • target.registry: Si el registro de destino es remoto, el destino debe incluir al menos un identificador para la máquina de destino (por ejemplo, una dirección IP, una dirección MAC, un nombre de host o un identificador de activo de terceros).
    • target.registry.registry_key: Todos los eventos de registro deben incluir la clave de registro afectada.

Campos opcionales:

  • security_result: Describe la actividad maliciosa detectada. Por ejemplo, una clave de registro incorrecta.
  • principal.user: Se completa si hay información del usuario disponible sobre el proceso.
Ejemplo de UDM para REGISTRY_MODIFICATION

En el siguiente ejemplo, se ilustra cómo darías formato a un evento REGISTRY_MODIFICATION en Proto3 con la sintaxis de UDM de Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías del UDM:

  • metadata: Es información de contexto sobre el evento.
  • principal: Detalles del dispositivo, el usuario y el proceso.
  • destino: Entrada del registro afectada por la modificación.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Campos obligatorios:

  • metadata: event_timestamp y la información de segundo plano sobre el evento.
  • observer: Captura información sobre el escáner en sí. Si el escáner es remoto, el campo de observador debe capturar los detalles de la máquina. Para un escáner local, deja el campo vacío.
  • target: Captura información sobre la máquina que sostiene el objeto que se está escaneando. Si se está analizando un archivo, target.file debe capturar información sobre el archivo analizado. Si se está analizando un proceso, target.process debe capturar información sobre el proceso analizado.
  • extensions: Para SCAN_VULN_HOST y SCAN_VULN_NETWORK, define la vulnerabilidad con el campo extensions.vuln.

Campos opcionales:

  • principal: Representa el dispositivo que inicia la conexión y, al menos, incluye un identificador de máquina (por ejemplo, nombre de host, dirección IP, dirección MAC o identificador de activo propietario) o un identificador de usuario.
  • target: Los detalles del usuario sobre el objeto de destino (por ejemplo, el creador del archivo o el propietario del proceso) deben capturarse en target.user.
  • security_result: Describe la actividad maliciosa detectada.
Ejemplo de UDM para SCAN_HOST

En el siguiente ejemplo, se ilustra cómo se formatearía un evento de tipo SCAN_HOST para el UDM de Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías del UDM:

  • metadata: Es información de contexto sobre el evento.
  • target: Es el dispositivo que recibió el software malicioso.
  • observer: Es el dispositivo que observa y registra el evento en cuestión.
  • security_result: Son los detalles de seguridad sobre el software malicioso.
Ejemplo de UDM para SCAN_VULN_HOST

En el siguiente ejemplo, se ilustra cómo se formatearía un evento de tipo SCAN_VULN_HOST para el UDM de Google SecOps:

metadata: {
  event_timestamp: "2025-05-09T12:59:52.45298Z",
  event_type: 18005,
  product_name: "TestProduct",
  vendor_name: "TestVendor"
  },
principal {
  asset_id: "TEST:Mwl8ABcd",
  ip: "127.0.0.3",
  hostname: "TEST-Localhost",
  mac: ["02:00:00:00:00:01"]
  },
extensions: {
  vulns: {
    vulnerabilities: [
      {
      cve_id: "CVE-6l9VxQmz",
      vendor_vulnerability_id: "TEST:7gmCmFWX",
      name: "CVE pA7DzwPU",
      severity: 2,
      vendor: "TestVendor",
      last_found: "2025-05-09T14:59:52.45300Z",
      first_found: "2025-05-09T13:59:52.45300Z"
       }
      ]
    }
  }

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías del UDM:

  • metadata: Es información de contexto sobre el evento.
  • principal: Es el dispositivo que recibió el software malicioso.
  • extensions: Detalles de la vulnerabilidad.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Campos obligatorios:

  • principal: Para todos los eventos SCHEDULED_TASK, principal debe incluir un identificador de máquina y un identificador de usuario.
  • target: El destino debe incluir un recurso válido y un tipo de recurso definido como "TASK".

Campos opcionales:

  • security_result: Describe la actividad maliciosa detectada.
Ejemplo de UDM para SCHEDULED_TASK_CREATION

En el siguiente ejemplo, se ilustra cómo se podría formatear un evento de tipo SCHEDULED_TASK_CREATION para el UDM de Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías del UDM:

  • metadata: Es información de contexto sobre el evento.
  • principal: Es el dispositivo que programó la tarea sospechosa.
  • destino: Software al que se dirige la tarea sospechosa.
  • intermediary: Es el intermediario involucrado en la tarea sospechosa.
  • security_result: Son los detalles de seguridad sobre la tarea sospechosa.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Campos obligatorios:

  • principal: Debe estar presente, no estar vacío y debe incluir un identificador de máquina.
  • target: Debe estar presente, no estar vacío y debe incluir un recurso con su tipo especificado como SETTING.
Ejemplo de UDM para el tipo de evento SETTING_MODIFICATION

En el siguiente ejemplo, se ilustra cómo se formatearía un evento de tipo SETTING_MODIFICATION para el UDM de Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías del UDM:

  • metadata: Es información de contexto sobre el evento.
  • principal: Es la información sobre el dispositivo en el que se modificó el parámetro de configuración.
  • destino: Detalles del recurso.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Campos obligatorios:

  • target: Incluye el identificador del usuario y especifica el proceso o la aplicación.
  • principal: Incluye al menos un identificador de máquina (dirección IP o MAC, nombre de host o identificador de activo).
Ejemplo de UDM para SERVICE_UNSPECIFIED

En el siguiente ejemplo, se ilustra cómo se formatearía un evento de tipo SERVICE_UNSPECIFIED para el UDM de SecOps de Google:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías del UDM:

  • metadata: Es información de contexto sobre el evento.
  • principal: Detalles del dispositivo y la ubicación.
  • destino: Es el nombre de host y el identificador del usuario.
  • application: Nombre de la aplicación y tipo de recurso.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal: Al menos un identificador de máquina (dirección IP o MAC, nombre de host o identificador de activo)
Ejemplo de UDM para STATUS_HEARTBEAT

En el siguiente ejemplo, se ilustra cómo se formatearía un evento de tipo STATUS_HEARTBEAT para el UDM de Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías del UDM:

  • metadata: Es información de contexto sobre el evento.
  • principal: Detalles del dispositivo y la ubicación.
  • intermediary: Dirección IP del dispositivo.
  • security_result: Son los detalles del resultado de seguridad.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Campos obligatorios:

  • principal: Incluye un identificador de usuario para el usuario que realizó la operación en el registro y un identificador de máquina para la máquina en la que se almacena o almacenó el registro (en el caso del borrado).
Ejemplo de UDM para SYSTEM_AUDIT_LOG_WIPE

En el siguiente ejemplo, se ilustra cómo se formatearía un evento de tipo SYSTEM_AUDIT_LOG_WIPE para el UDM de Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías del UDM:

  • metadata: Es información de contexto sobre el evento.
  • principal: Detalles del dispositivo y del usuario.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal: Si la cuenta de usuario se modifica desde una ubicación remota, completa el principal con información sobre la máquina desde la que se originó la modificación del usuario.
  • target: Completa target.user con información sobre el usuario que se modificó.
  • intermediary: Para los accesos con SSO, el intermediario debe incluir al menos un identificador de máquina para el servidor de SSO, si está disponible.

USER_COMMUNICATION

Campos obligatorios:

  • principal: Completa el campo principal.user con detalles asociados a la comunicación iniciada por el usuario (remitente), como un mensaje de chat en Google Chat o Slack, una conferencia de voz o video en Zoom o Google Meet, o una conexión VoIP.

Campos opcionales:

  • target: (Recomendado) Completa el campo target.user con información sobre el usuario objetivo (receptor) del recurso de comunicación en la nube. Propaga el campo target.application con información sobre la aplicación de comunicación en la nube de destino.

USER_CREATION, USER_DELETION

Campos obligatorios:

  • metadata: event_timestamp
  • principal: Incluye información sobre la máquina desde la que se originó la solicitud para crear o borrar el usuario. Para la creación o eliminación de un usuario local, principal debe incluir al menos un identificador de máquina para la máquina de origen.
  • target: Es la ubicación en la que se crea el usuario. También debe incluir información del usuario (por ejemplo, target.user).

Campos opcionales:

  • principal: Detalles del usuario y del proceso de la máquina en la que se inició la solicitud de creación o eliminación del usuario.
  • target: Es información sobre la máquina de destino (si es diferente de la máquina principal).

USER_LOGIN, USER_LOGOUT

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal: Para la actividad del usuario remoto (por ejemplo, el acceso remoto), completa el principal con información sobre la máquina que originó la actividad del usuario. Para la actividad del usuario local (por ejemplo, el acceso local), no establezcas el principal.
  • target: Propaga target.user con información sobre el usuario que accedió o salió del sistema. Si no se establece principal (por ejemplo, acceso local), target también debe incluir al menos un identificador de máquina que identifique la máquina de destino. En el caso de la actividad del usuario de máquina a máquina (por ejemplo, acceso remoto, SSO, servicio en la nube, VPN), el objetivo debe incluir información sobre la aplicación, la máquina o el servidor VPN de destino.
  • intermediary: Para los accesos con SSO, el intermediario debe incluir al menos un identificador de máquina para el servidor de SSO, si está disponible.
  • network y network.http: Si el acceso ocurre a través de HTTP, debes colocar todos los detalles disponibles en network.ip_protocol, network.application_protocol y network.http.
  • Extensión authentication: Debe identificar el tipo de sistema de autenticación con el que se relaciona el evento (por ejemplo, máquina, SSO o VPN) y el mecanismo empleado (nombre de usuario y contraseña, OTP, etcétera).
  • security_result: Agrega un campo security_result para representar el estado de acceso si falla. Especifica security_result.category con el valor AUTH_VIOLATION si falla la autenticación.

USER_RESOURCE_ACCESS

Campos obligatorios:

  • principal: Completa el campo principal.user con detalles sobre los intentos de acceso a un recurso de la nube (por ejemplo, un caso de Salesforce, un calendario de Office365, un documento de Google o un ticket de ServiceNow).
  • target: Propaga el campo target.resource con información sobre el recurso de nube de destino.

Campos opcionales:

  • target.application: (Recomendado) Propaga el campo target.application con información sobre la aplicación en la nube de destino.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campos obligatorios:

  • principal: Completa el campo principal.user con los detalles asociados al usuario creado dentro de un recurso de la nube (por ejemplo, un caso de Salesforce, un calendario de Office 365, un Documento de Google o un ticket de ServiceNow).
  • target: Propaga el campo target.resource con información sobre el recurso de nube de destino.

Campos opcionales:

  • target.application: (Recomendado) Propaga el campo target.application con información sobre la aplicación en la nube de destino.

USER_RESOURCE_UPDATE_CONTENT

Campos obligatorios:

  • principal: Completa el campo principal.user con los detalles asociados al usuario cuyo contenido se actualizó en un recurso de la nube (por ejemplo, un caso de Salesforce, un calendario de Office365, un documento de Google o un ticket de ServiceNow).
  • target: Propaga el campo target.resource con información sobre el recurso de nube de destino.

Campos opcionales:

  • target.application: (Recomendado) Propaga el campo target.application con información sobre la aplicación en la nube de destino.

USER_RESOURCE_UPDATE_PERMISSIONS

Campos obligatorios:

  • principal: Completa el campo principal.user con los detalles asociados al usuario cuyos permisos se actualizaron en un recurso de la nube (por ejemplo, un caso de Salesforce, un calendario de Office 365, un documento de Google o un ticket de ServiceNow).
  • target: Propaga el campo target.resource con información sobre el recurso de nube de destino.

Campos opcionales:

  • target.application: (Recomendado) Propaga el campo target.application con información sobre la aplicación en la nube de destino.

USER_UNCATEGORIZED

Campos obligatorios:

  • metadata: event_timestamp
  • principal: Incluye información sobre la máquina desde la que se originó la solicitud para crear o borrar el usuario. Para la creación o eliminación de un usuario local, principal debe incluir al menos un identificador de máquina para la máquina de origen.
  • target: Es la ubicación en la que se crea el usuario. También debe incluir información del usuario (por ejemplo, target.user).

Campos opcionales:

  • principal: Detalles del usuario y del proceso de la máquina en la que se inició la solicitud de creación o eliminación del usuario.
  • target: Es información sobre la máquina de destino (si es diferente de la máquina principal).