Guida all'utilizzo di UDM

Questo documento fornisce una descrizione dettagliata dei campi nello schema Unified Data Model (UDM). Elenca i campi obbligatori e facoltativi per ogni tipo di evento.

Per informazioni dettagliate su campi UDM specifici (ad esempio, numeri enum), consulta l'elenco dei campi Unified Data Model.

Formati dei nomi dei campi UDM:

  • Per la valutazione del motore delle regole, il prefisso inizia con udm.
  • Per il normalizzatore basato sulla configurazione (CBN), il prefisso inizia con event.idm.read_only_udm.

Popolazione dei metadati degli eventi

La sezione dei metadati evento per gli eventi UDM memorizza le informazioni generali su ogni evento.

Metadata.event_type

  • Scopo: specifica il tipo di evento. Se un evento ha più tipi possibili, questo valore deve specificare il tipo più specifico.
  • Obbligatorio: sì.
  • Codifica: deve essere uno dei tipi enumerati event_type UDM predefiniti.
  • Valori possibili: il seguente elenco mostra tutti i valori possibili per event_type all'interno di UDM.

Eventi per analisti

  • ANALYST_ADD_COMMENT
  • ANALYST_UPDATE_PRIORITY
  • ANALYST_UPDATE_REASON
  • ANALYST_UPDATE_REPUTATION
  • ANALYST_UPDATE_RISK_SCORE
  • ANALYST_UPDATE_ROOT_CAUSE
  • ANALYST_UPDATE_SEVERITY_SCORE
  • ANALYST_UPDATE_STATUS
  • ANALYST_UPDATE_VERDICT

Eventi dispositivo

  • DEVICE_CONFIG_UPDATE
  • DEVICE_FIRMWARE_UPDATE
  • DEVICE_PROGRAM_DOWNLOAD
  • DEVICE_PROGRAM_UPLOAD

Eventi email

  • EMAIL_UNCATEGORIZED
  • EMAIL_TRANSACTION
  • EMAIL_URL_CLICK

Eventi non specificati

  • EVENTTYPE_UNSPECIFIED

Eventi di file eseguiti su un endpoint

  • FILE_UNCATEGORIZED
  • FILE_COPY (ad esempio, copia di un file su una chiavetta USB)
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_MOVE
  • FILE_OPEN (ad esempio, l'apertura di un file potrebbe indicare una violazione della sicurezza)
  • FILE_READ (ad esempio, lettura di un file di password)
  • FILE_SYNC

Eventi che non rientrano in nessun'altra categoria

Eventi che non rientrano in nessun'altra categoria, inclusi gli eventi di Windows senza categoria:

  • GENERIC_EVENT

Eventi di attività di gruppo

  • GROUP_UNCATEGORIZED
  • GROUP_CREATION
  • GROUP_DELETION
  • GROUP_MODIFICATION

Eventi mutex

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Eventi di telemetria di rete

Eventi di telemetria di rete, che includono payload di protocollo non elaborati, come DHCP e DNS, nonché riepiloghi di protocollo per protocolli come HTTP, SMTP e FTP ed eventi di flusso e connessione da NetFlow e firewall:

  • NETWORK_UNCATEGORIZED
  • NETWORK_CONNECTION (ad esempio, dettagli della connessione di rete di un firewall)
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_FLOW (ad esempio, statistiche di flusso aggregate da Netflow)
  • NETWORK_FTP
  • NETWORK_HTTP
  • NETWORK_SMTP

Elaborare eventi

Qualsiasi evento relativo a un processo, ad esempio l'avvio di un processo, un processo che crea qualcosa di dannoso, un processo che si inserisce in un altro processo, una modifica di una chiave del Registro di sistema o la creazione di un file dannoso sul disco:

  • PROCESS_UNCATEGORIZED
  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION

Eventi del registro

Utilizza i seguenti eventi REGISTRY anziché gli eventi SETTING quando gestisci eventi del registro specifici di Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Eventi risorsa

  • RESOURCE_CREATION
  • RESOURCE_DELETION
  • RESOURCE_PERMISSIONS_CHANGE
  • RESOURCE_READ
  • RESOURCE_WRITTEN

Eventi orientati alla scansione

Gli eventi orientati all'analisi includono analisi on demand e rilevamenti comportamentali eseguiti da prodotti di sicurezza degli endpoint (EDR, AV, DLP). Vengono utilizzati solo quando si allega un SecurityResult a un altro tipo di evento (ad esempio PROCESS_LAUNCH).

Eventi orientati alla scansione:

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_NETWORK
  • SCAN_PROCESS
  • SCAN_PROCESS_BEHAVIORS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Eventi delle attività pianificate (Utilità di pianificazione di Windows, cron e così via)

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_MODIFICATION

Eventi di servizio

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_MODIFICATION
  • SERVICE_START
  • SERVICE_STOP

Impostazione degli eventi

Per impostare i requisiti degli eventi, vedi Impostazioni - campi obbligatori.

Eventi di impostazione, incluso quando un'impostazione di sistema viene modificata su un endpoint:

  • SETTING_UNCATEGORIZED
  • SETTING_CREATION
  • SETTING_DELETION
  • SETTING_MODIFICATION

Messaggi di stato dei prodotti per la sicurezza

Messaggi di stato dai prodotti di sicurezza per indicare che gli agenti sono attivi e per inviare la versione, l'impronta o altri tipi di dati:

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indica che il prodotto è attivo)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (aggiornamento software o impronta)

Eventi del log di controllo del sistema

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Eventi di attività di autenticazione utente

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (ad esempio, quando un utente entra fisicamente in un sito)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS
  • USER_STATS

Metadata.collected_timestamp

  • Scopo: codifica il timestamp GMT in cui l'evento è stato raccolto dall'infrastruttura di raccolta locale del fornitore.
  • Codifica: RFC 3339, a seconda del formato del timestamp JSON o Proto3.
  • Esempio:
    • RFC 3339: "2019-09-10T20:32:31-08:00"
    • Formato Proto3: "2012-04-23T18:25:43.511Z"

Metadata.event_timestamp

  • Scopo: codifica il timestamp GMT di quando è stato generato l'evento.
  • Obbligatorio: sì
  • Codifica: RFC 3339, a seconda del formato del timestamp JSON o Proto3.
  • Esempio:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Formato Proto3: 2012-04-23T18:25:43.511Z

Metadata.description

  • Scopo: descrizione leggibile dell'evento.
  • Codifica: stringa alfanumerica, punteggiatura consentita, massimo 1024 byte
  • Esempio: il file c:\bar\foo.exe non può accedere al documento sensibile c:\documents\earnings.docx.

Metadata.product_event_type

  • Scopo: nome o tipo di evento breve, descrittivo, leggibile e specifico del prodotto.
  • Codifica: stringa alfanumerica, punteggiatura consentita, massimo 64 byte.
  • Esempi:
    • Evento di creazione del registro
    • ProcessRollUp
    • Escalation dei privilegi rilevata
    • Malware bloccato

Metadata.product_log_id

  • Scopo: codifica un identificatore evento specifico del fornitore per identificare in modo univoco l'evento (un GUID). Gli utenti potrebbero utilizzare questo identificatore per cercare l'evento in questione nella console proprietaria del fornitore.
  • Codifica: stringa alfanumerica sensibile alle maiuscole, punteggiatura consentita, massimo 256 byte.
  • Esempio: ABcd1234-98766

Metadata.product_name

  • Scopo: specifica il nome del prodotto.
  • Codifica: stringa alfanumerica sensibile alle maiuscole, punteggiatura consentita, massimo 256 byte.
  • Esempi:
    • Falcon
    • Symantec Endpoint Protection

Metadata.product_version

  • Scopo: specifica la versione del prodotto.
  • Codifica: stringa alfanumerica, punti e trattini consentiti, massimo 32 byte
  • Esempi:
    • 1.2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • Scopo: URL che rimanda a un sito web pertinente in cui puoi visualizzare maggiori informazioni su questo evento specifico (o sulla categoria generale di eventi).
  • Codifica: URL RFC 3986 valido con parametri facoltativi come informazioni sulla porta e così via. Deve avere un prefisso del protocollo prima dell'URL (ad esempio https:// o http://).
  • Esempio: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Scopo: specifica il nome del fornitore del prodotto.
  • Codifica: stringa alfanumerica sensibile alle maiuscole, punteggiatura consentita, massimo 256 byte
  • Esempi:
    • CrowdStrike
    • Symantec

Popolazione dei metadati Noun

In questa sezione, la parola Noun è un termine generale utilizzato per rappresentare le entità: principal, src, target, intermediary, observer e about. Queste entità hanno attributi comuni, ma rappresentano oggetti diversi in un evento. Per saperne di più sulle entità e su cosa rappresenta ciascuna in un evento, consulta Formattare i dati di log come UDM.

Noun.asset_id

  • Scopo: identificatore univoco del dispositivo specifico del fornitore (ad esempio, un GUID generato durante l'installazione del software di sicurezza degli endpoint su un nuovo dispositivo utilizzato per monitorare quel dispositivo univoco nel tempo).
  • Codifica: VendorName.ProductName:ID, dove VendorName è un nome del fornitore senza distinzione tra maiuscole e minuscole*, ProductName è un nome del prodotto senza distinzione tra maiuscole e minuscole, ad esempio "Response" o "Endpoint Protection", e ID è un identificatore cliente specifico del fornitore univoco a livello globale nell'ambiente del cliente (ad esempio, un GUID o un valore univoco che identifica un dispositivo univoco). VendorName e ProductName sono alfanumerici e non contengono più di 32 caratteri. L'ID può contenere un massimo di 128 caratteri e può includere caratteri alfanumerici, trattini e punti.
  • Esempio: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Finalità: indirizzo email
  • Codifica: formato standard dell'indirizzo email.
  • Esempio: johns@test.altostrat.com

Noun.file

Noun.hostname

  • Scopo: campo del nome host o del nome di dominio del client. Non includere se è presente un URL.
  • Codifica: nome host RFC 1123 valido.
  • Esempi:
    • userwin10
    • www.altostrat.com

Noun.platform

  • Finalità: sistema operativo della piattaforma.
  • Codifica: enum
  • Valori possibili:
    • LINUX
    • MAC
    • WINDOWS
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • Scopo: livello di patch del sistema operativo della piattaforma.
  • Codifica: stringa alfanumerica con punteggiatura, massimo 64 caratteri.
  • Esempio: build 17134.48

Noun.platform_version

  • Scopo: versione del sistema operativo della piattaforma.
  • Codifica: stringa alfanumerica con punteggiatura, massimo 64 caratteri.
  • Esempio: Microsoft Windows 10 versione 1803

Noun.process

Noun.ip

  • Scopo:
    • Singolo indirizzo IP associato a una connessione di rete.
    • Uno o più indirizzi IP associati a un dispositivo partecipante al momento dell'evento (ad esempio, se un prodotto EDR conosce tutti gli indirizzi IP associati a un dispositivo, può codificarli tutti nei campi IP).
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.
  • Ripetibilità:
    • Se un evento descrive una connessione di rete specifica (ad esempio srcip:srcport > dstip:dstport), il fornitore deve fornire un solo indirizzo IP.
    • Se un evento descrive un'attività generale che si verifica su un dispositivo partecipante, ma non una connessione di rete specifica, il fornitore potrebbe fornire tutti gli indirizzi IP associati al dispositivo al momento dell'evento.
  • Esempi:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • Scopo: numero di porta di rete di origine o di destinazione quando una connessione di rete specifica è descritta all'interno di un evento.
  • Codifica: numero di porta TCP/IP valido compreso tra 1 e 65.535.

  • Esempi:

    • 80
    • 443

Noun.mac

  • Scopo: uno o più indirizzi MAC associati a un dispositivo.
  • Codifica: indirizzo MAC valido (EUI-48) in ASCII.
  • Ripetibilità: il fornitore potrebbe fornire tutti gli indirizzi MAC associati al dispositivo al momento dell'evento.
  • Esempi:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • Scopo: il dominio a cui appartiene il dispositivo (ad esempio, il dominio Windows).
  • Codifica: stringa di nome di dominio valida (massimo 128 caratteri).
  • Esempio: corp.altostrat.com

Noun.registry

Noun.url

  • Scopo: URL standard
  • Codifica: URL (RFC 3986). Deve avere un prefisso di protocollo valido (ad esempio https:// o ftp://). Deve includere il dominio e il percorso completi. Potrebbe includere i parametri dell'URL.
  • Esempio: https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

Compilazione dei metadati di autenticazione

Authentication.AuthType

  • Scopo: tipo di sistema a cui è associato un evento di autenticazione (UDM di Google Security Operations).
  • Codifica: tipo enumerato.
  • Valori possibili:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE (MACCHINA): autenticazione della macchina
    • FISICA: autenticazione fisica (ad esempio, un lettore di badge)
    • SSO
    • TACACS: protocollo della famiglia TACACS per l'autenticazione di sistemi in rete (ad esempio TACACS o TACACS+)
    • VPN

Authentication.Authentication_Status

  • Scopo: descrive lo stato di autenticazione di un utente o di una credenziale specifica.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_AUTHENTICATION_STATUS: stato di autenticazione predefinito
    • ATTIVO: il metodo di autenticazione è in stato attivo
    • SOSPESO: il metodo di autenticazione è in stato sospeso o disabilitato
    • ELIMINATO: il metodo di autenticazione è stato eliminato
    • NO_ACTIVE_CREDENTIALS: il metodo di autenticazione non dispone di credenziali attive.

Authentication.auth_details

  • Scopo: dettagli di autenticazione definiti dal fornitore.
  • Codifica: stringa.

Authentication.Mechanism

  • Scopo: meccanismo o meccanismi utilizzati per l'autenticazione.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • MECHANISM_UNSPECIFIED: meccanismo di autenticazione predefinito.
    • BADGE_READER
    • BATCH: autenticazione batch.
    • CACHED_INTERACTIVE: autenticazione interattiva utilizzando le credenziali memorizzate nella cache.
    • HARDWARE_KEY
    • LOCALE
    • MECHANISM_OTHER: un altro meccanismo non definito qui.
    • NETWORK: autenticazione di rete.
    • NETWORK_CLEAR_TEXT: autenticazione di testo non crittografato della rete.
    • NEW_CREDENTIALS: autenticazione con nuove credenziali.
    • OTP
    • REMOTE: autenticazione remota
    • REMOTE_INTERACTIVE: RDP, terminal services, Virtual Network Computing (VNC) e così via.
    • SERVICE: autenticazione del servizio.
    • APERTURA: autenticazione di apertura interattiva diretta.
    • USERNAME_PASSWORD

Popolazione dei metadati DHCP

I campi dei metadati del protocollo DHCP (Dynamic Host Control Protocol) acquisiscono le informazioni dei log del protocollo di gestione della rete DHCP.

Dhcp.client_hostname

  • Scopo: nome host per il client. Per ulteriori informazioni, consulta RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: stringa.

Dhcp.client_identifier

  • Finalità: identificatore cliente. Per ulteriori informazioni, consulta RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: byte.

Dhcp.file

  • Scopo: nome file dell'immagine di avvio.
  • Codifica: stringa.

Dhcp.flags

  • Scopo: valore per il campo dei flag DHCP.
  • Codifica: intero senza segno a 32 bit.

Dhcp.hlen

  • Scopo: lunghezza dell'indirizzo hardware.
  • Codifica: intero senza segno a 32 bit.

Dhcp.hops

  • Scopo: conteggio hop DHCP.
  • Codifica: intero senza segno a 32 bit.

Dhcp.htype

  • Scopo: tipo di indirizzo hardware.
  • Codifica: intero senza segno a 32 bit.

Dhcp.lease_time_seconds

  • Scopo: tempo di lease richiesto dal client per un indirizzo IP in secondi. Per ulteriori informazioni, consulta RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: intero senza segno a 32 bit.

Dhcp.opcode

  • Scopo: codice operativo BOOTP (vedi sezione 3 di RFC 951).
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_OPCODE
    • BOOTREQUEST
    • BOOTREPLY

Dhcp.requested_address

  • Finalità: identificatore cliente. Per ulteriori informazioni, consulta RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.seconds

  • Scopo: secondi trascorsi da quando il client ha iniziato il processo di acquisizione/rinnovo dell'indirizzo.
  • Codifica: intero senza segno a 32 bit.

Dhcp.sname

  • Scopo: nome del server da cui il client ha richiesto l'avvio.
  • Codifica: stringa.

Dhcp.transaction_id

  • Scopo: ID transazione cliente.
  • Codifica: intero senza segno a 32 bit.

Dhcp.type

  • Scopo: tipo di messaggio DHCP. Per saperne di più, consulta RFC 1533.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_MESSAGE_TYPE
    • DISCOVER
    • OFFERTA
    • RICHIEDI
    • RIFIUTO
    • ACK
    • NAK
    • RELEASE
    • INFORM
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • Scopo: indirizzo IP dell'hardware client.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.ciaddr

  • Scopo: indirizzo IP del client.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.giaddr

  • Scopo: indirizzo IP per l'agente di inoltro.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.siaddr

  • Scopo: indirizzo IP del successivo server bootstrap.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.yiaddr

  • Scopo: il tuo indirizzo IP.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Popolazione dei metadati dell'opzione DHCP

I campi dei metadati dell'opzione DHCP acquisiscono le informazioni di log dell'opzione DHCP.

Option.code

  • Scopo: memorizza il codice dell'opzione DHCP. Per ulteriori informazioni, consulta RFC 1533, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: numero intero non firmato a 32 bit.

Option.data

  • Scopo: archivia i dati delle opzioni DHCP. Per ulteriori informazioni, consulta RFC 1533, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: byte.

Popolazione dei metadati DNS

I campi dei metadati DNS acquisiscono informazioni relative ai pacchetti di richiesta e risposta DNS. Hanno una corrispondenza uno a uno con i dati trovati nei datagrammi di richiesta e risposta DNS.

Dns.authoritative

  • Scopo: impostato su true per i server DNS autorevoli.
  • Codifica: booleano.

Dns.id

  • Scopo: memorizza l'identificatore della query DNS.
  • Codifica: intero a 32 bit.

Dns.response

  • Scopo: impostato su true se l'evento è una risposta DNS.
  • Codifica: booleano.

Dns.opcode

  • Scopo: memorizza l'opcode DNS utilizzato per specificare il tipo di query DNS (standard, inversa, stato del server e così via).
  • Codifica: intero a 32 bit.

Dns.recursion_available

  • Scopo: impostato su true se è disponibile una ricerca DNS ricorsiva.
  • Codifica: booleano.

Dns.recursion_desired

  • Scopo: impostato su true se viene richiesta una ricerca DNS ricorsiva.
  • Codifica: booleano.

Dns.response_code

  • Scopo: memorizza il codice di risposta DNS definito da RFC 1035, Domain Names - Implementation and Specification.
  • Codifica: intero a 32 bit.

Dns.truncated

  • Scopo: impostato su true se si tratta di una risposta DNS troncata.
  • Codifica: booleano.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

Popolazione dei metadati della domanda DNS

I campi dei metadati della domanda DNS acquisiscono le informazioni contenute nella sezione della domanda di un messaggio del protocollo di dominio.

Question.name

  • Scopo: memorizza il nome di dominio.
  • Codifica: stringa.

Question.class

  • Scopo: memorizza il codice che specifica la classe della query.
  • Codifica: intero a 32 bit.

Question.type

  • Purpose: memorizza il codice che specifica il tipo di query.
  • Codifica: intero a 32 bit.

Popolazione dei metadati dei record di risorse DNS

I campi dei metadati dei record di risorse DNS acquisiscono le informazioni contenute nel record di risorse di un messaggio del protocollo di dominio.

ResourceRecord.binary_data

  • Scopo: memorizza i byte non elaborati di qualsiasi stringa non UTF8 che potrebbe essere inclusa in una risposta DNS. Questo campo deve essere utilizzato solo se i dati di risposta restituiti dal server DNS contengono dati non UTF-8. In caso contrario, inserisci la risposta DNS nel campo dei dati qui sotto. Questo tipo di informazioni deve essere archiviato qui anziché in ResourceRecord.data.

  • Codifica: byte.

ResourceRecord.class

  • Scopo: memorizza il codice che specifica la classe del record di risorse.
  • Codifica: intero a 32 bit.

ResourceRecord.data

  • Scopo: memorizza il payload o la risposta alla domanda DNS per tutte le risposte codificate in formato UTF-8. Ad esempio, il campo dati potrebbe restituire l'indirizzo IP della macchina a cui fa riferimento il nome di dominio. Se il record di risorse è per un tipo o una classe diversi, potrebbe contenere un altro nome di dominio (quando un nome di dominio viene reindirizzato a un altro nome di dominio). I dati devono essere archiviati così come sono nella risposta DNS.
  • Codifica: stringa.

ResourceRecord.name

  • Scopo: memorizza il nome del proprietario del record di risorse.
  • Codifica: stringa.

ResourceRecord.ttl

  • Scopo: memorizza l'intervallo di tempo per il quale il record della risorsa può essere memorizzato nella cache prima che venga eseguita di nuovo una query sull'origine delle informazioni.
  • Codifica: intero a 32 bit.

ResourceRecord.type

  • Scopo: memorizza il codice che specifica il tipo di record della risorsa.
  • Codifica: intero a 32 bit.

Popolazione dei metadati email

La maggior parte dei campi dei metadati email acquisisce gli indirizzi email inclusi nell'intestazione del messaggio e deve essere conforme al formato standard dell'indirizzo email (local-mailbox@domain) definito in RFC 5322. Ad esempio, frank@email.example.com.

Email.from

  • Scopo: memorizza l'indirizzo email Da.
  • Codifica: stringa.

Email.reply_to

  • Scopo: memorizza l'indirizzo email reply_to.
  • Codifica: stringa.

Email.to

  • Scopo: memorizza gli indirizzi email A.
  • Codifica: stringa.

Email.cc

  • Scopo: memorizza gli indirizzi email in Cc.
  • Codifica: stringa.

Email.bcc

  • Scopo: memorizza gli indirizzi email Ccn.
  • Codifica: stringa.

Email.mail_id

  • Scopo: memorizza l'ID della posta (o del messaggio).
  • Codifica: stringa.
  • Esempio: 192544.132632@email.example.com

Email.subject

  • Scopo: memorizza la riga dell'oggetto dell'email.
  • Codifica: stringa.
  • Esempio: "Leggi questo messaggio."

Popolazione dei metadati delle estensioni

Tipi di eventi con metadati di prima classe che non sono già classificati in base a UDM di Google SecOps.

Extensions.auth

  • Scopo: estensione dei metadati di autenticazione.
  • Codifica: stringa.
  • Esempi:
    • Metadati della sandbox (tutti i comportamenti mostrati da un file, ad esempio FireEye).
    • Dati di controllo dell'accesso alla rete (NAC).
    • Dettagli LDAP su un utente (ad esempio, ruolo, organizzazione e così via).

Extensions.auth.auth_details

  • Scopo: specifica i dettagli specifici del fornitore per il tipo o il meccanismo di autenticazione. I provider di autenticazione spesso definiscono tipi come via_mfa o via_ad che forniscono informazioni utili sul tipo di autenticazione. Questi tipi possono comunque essere generalizzati in auth.type o auth.mechanism per facilità d'uso e compatibilità delle regole tra i set di dati.
  • Codifica: stringa.
  • Esempi: via_mfa, via_ad.

Extensions.vulns

  • Scopo: estensione dei metadati della vulnerabilità.
  • Codifica: stringa.
  • Esempio: dati di scansione delle vulnerabilità dell'host.

Compilazione dei metadati dei file

File.file_metadata

  • Scopo: metadati associati al file.
  • Codifica: stringa.
  • Esempi:
    • Autore
    • Numero di revisione
    • Numero di versione
    • Data dell'ultimo salvataggio

File.full_path

  • Scopo: percorso completo che identifica la posizione del file sul sistema.
  • Codifica: stringa.
  • Esempio: \Programmi\Utilità personalizzate\Test.exe

File.md5

  • Scopo: valore hash MD5 del file.
  • Codifica: stringa esadecimale minuscola.
  • Esempio: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Scopo: tipo MIME (Multipurpose Internet Mail Extensions) per il file.
  • Codifica: stringa.
  • Esempi:
    • PE
    • PDF
    • powershell script

File.sha1

  • Scopo: valore hash SHA-1 per il file.
  • Codifica: stringa esadecimale minuscola.
  • Esempio: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Scopo: valore hash SHA-256 per il file.
  • Codifica: stringa esadecimale minuscola.
  • Esempio: d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • Scopo: dimensioni del file.
  • Codifica: numero intero senza segno a 64 bit.
  • Esempio: 342135

Aggiunta dei metadati FTP

Ftp.command

  • Scopo: memorizza il comando FTP.
  • Codifica: stringa.
  • Esempi:
    • binario
    • elimina
    • get
    • put

Popolazione dei metadati del gruppo

Informazioni su un gruppo organizzativo.

Group.creation_time

  • Scopo: ora di creazione del gruppo.
  • Codifica: RFC 3339, a seconda del formato del timestamp JSON o Proto3.

Group.email_addresses

  • Scopo: dati di contatto del gruppo.
  • Codifica: email.

Group.group_display_name

  • Scopo: nome visualizzato del gruppo.
  • Codifica: stringa.
  • Esempi:
    • Finanza
    • HR
    • Marketing

Group.product_object_id

  • Scopo: identificatore univoco a livello globale dell'oggetto utente per il prodotto, ad esempio un identificatore oggetto LDAP.
  • Codifica: stringa.

Group.windows_sid

  • Scopo: campo dell'attributo del gruppo dell'identificatore di sicurezza (SID) di Microsoft Windows.
  • Codifica: stringa.

Popolazione dei metadati HTTP

Http.method

  • Scopo: memorizza il metodo di richiesta HTTP.
  • Codifica: stringa.
  • Esempi:
    • GET
    • HEAD
    • POST

Http.referral_url

  • Scopo: memorizza l'URL del referrer HTTP.
  • Codifica: URL RFC 3986 valido.
  • Esempio: https://www.altostrat.com

Http.response_code

  • Scopo: memorizza il codice di stato della risposta HTTP, che indica se una specifica richiesta HTTP è stata completata correttamente.
  • Codifica: intero a 32 bit.
  • Esempi:
    • 400
    • 404

Http.user_agent

  • Scopo: memorizza l'intestazione della richiesta User-Agent che include il tipo di applicazione, il sistema operativo, il fornitore del software o la versione del software dello user agent richiedente.
  • Codifica: stringa.
  • Esempi:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, come Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Popolazione dei metadati sulla posizione

Location.city

  • Scopo: memorizza il nome della città.
  • Codifica: stringa.
  • Esempi:
    • Sunnyvale
    • Chicago
    • Malaga

Location.country_or_region

  • Scopo: memorizza il nome del paese o della regione del mondo.
  • Codifica: stringa.
  • Esempi:
    • Stati Uniti
    • Regno Unito
    • Spagna

Location.name

  • Scopo: memorizza il nome specifico dell'impresa, ad esempio un edificio o un campus.
  • Codifica: stringa.
  • Esempi:
    • Campus 7B
    • Edificio A2

Location.state

  • Scopo: memorizza il nome dello stato, della provincia o del territorio.
  • Codifica: stringa.
  • Esempi:
    • California
    • Illinois
    • Ontario

Compilazione dei metadati di rete

Network.application_protocol

  • Scopo: indica il protocollo di applicazione di rete.
  • Codifica: tipo enumerato.

  • Valori possibili:

    • UNKNOWN_APPLICATION_PROTOCOL
    • AFP
    • APPC
    • AMQP
    • ATOM
    • BEEP
    • BITCOIN
    • BIT_TORRENT
    • CFDP
    • CIP
    • COAP
    • COTP
    • DCERPC
    • DDS
    • DEVICE_NET
    • DHCP
    • DICOM
    • DNP3
    • DNS
    • E_DONKEY
    • ENRP
    • FAST_TRACK
    • FINGER
    • FREENET
    • FTAM
    • GOOSE
    • GOPHER
    • GRPC
    • HL7
    • H323
    • HTTP
    • HTTPS
    • IEC104
    • IRCP
    • KADEMLIA
    • KRB5
    • LDAP
    • LPD
    • MIME
    • MMS
    • MODBUS
    • MQTT
    • NETCONF
    • NFS
    • NIS
    • NNTP
    • NTCIP
    • NTP
    • OSCAR
    • PNRP
    • PTP
    • QUIC
    • RDP
    • RELP
    • RIP
    • RLOGIN
    • RPC
    • RTMP
    • RTP
    • RTPS
    • RTSP
    • SAP
    • SDP
    • SIP
    • SLP
    • SMB
    • SMTP
    • SNMP
    • SNTP
    • SSH
    • SSMS
    • STYX
    • SV
    • TCAP
    • TDS
    • TOR
    • TSP
    • VTP
    • WHOIS
    • WEB_DAV
    • X400
    • X500
    • XMPP

Network.direction

  • Scopo: indica la direzione del traffico di rete.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_DIRECTION
    • INBOUND
    • IN USCITA
    • BROADCAST

Network.email

  • Scopo: specifica l'indirizzo email del mittente/destinatario.
  • Codifica: stringa.
  • Esempio: jcheng@company.example.com

Network.ip_protocol

  • Scopo: indica il protocollo IP.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP (Enhanced Interior Gateway Routing Protocol)
    • ESP (Encapsulating Security Payload)
    • ETHERIP: incapsulamento Ethernet all'interno di IP
    • GRE (Generic Routing Encapsulation)
    • ICMP (Internet Control Message Protocol)
    • IGMP (Internet Group Management Protocol)
    • IP6IN4 - Encapsulamento IPv6
    • PIM (Protocol Independent Multicast)
    • TCP (Transmission Control Protocol)
    • UDP (User Datagram Protocol)
    • VRRP (Virtual Router Redundancy Protocol)

Network.received_bytes

  • Scopo: specifica il numero di byte ricevuti.
  • Codifica: numero intero senza segno a 64 bit.
  • Esempio: 12.453.654.768

Network.sent_bytes

  • Scopo: specifica il numero di byte inviati.
  • Codifica: numero intero senza segno a 64 bit.
  • Esempio: 7.654.876

Network.session_duration

  • Scopo: memorizza la durata della sessione di rete, in genere restituita in un evento di abbandono per la sessione. Per impostare la durata, puoi impostare network.session_duration.seconds = 1 (tipo int64) o network.session_duration.nanos = 1 (tipo int32).
  • Codifica:
    • Numero intero a 32 bit: per i secondi (network.session_duration.seconds).
    • Numero intero a 64 bit: per i nanosecondi (network.session_duration.nanos).

Network.session_id

  • Scopo: memorizza l'identificatore della sessione di rete.
  • Codifica: stringa.
  • Esempio: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Compilazione dei metadati di processo

Process.command_line

  • Scopo: memorizza la stringa della riga di comando per il processo.
  • Codifica: stringa.
  • Esempio: gruppo c:\windows\system32\net.exe.

Process.product_specific_process_id

  • Scopo: memorizza l'ID processo specifico del prodotto.
  • Codifica: stringa.
  • Esempi: MySQL:78778 o CS:90512

Process.parent_process.product_specific_process_id

  • Scopo: memorizza l'ID processo specifico del prodotto per il processo padre.
  • Codifica: stringa.
  • Esempi: MySQL:78778 o CS:90512

Process.file

  • Scopo: memorizza il nome del file in uso dal processo.
  • Codifica: stringa.
  • Esempio: report.xls

Process.parent_process

  • Scopo: memorizza i dettagli del processo principale.
  • Codifica: sostantivo (processo)

Process.pid

  • Scopo: memorizza l'ID processo.
  • Codifica: stringa.
  • Esempi:
    • 308
    • 2002

Popolazione dei metadati del registro

Registry.registry_key

  • Scopo: memorizza la chiave di registro associata a un'applicazione o a un componente di sistema.
  • Codifica: stringa.
  • Esempio: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Scopo: memorizza il nome del valore del registro associato a un'applicazione o a un componente di sistema.
  • Codifica: stringa.
  • Esempio: TEMP

Registry.registry_value_data

  • Scopo: memorizza i dati associati a un valore del registro.
  • Codifica: stringa.
  • Esempio: %USERPROFILE%\Local Settings\Temp

Popolazione dei metadati del risultato di sicurezza

I metadati del risultato di sicurezza includono dettagli sui rischi e sulle minacce per la sicurezza rilevati da un sistema di sicurezza, nonché le azioni intraprese per mitigarli.

SecurityResult.about

  • Scopo: fornisci una descrizione del risultato di sicurezza.
  • Codifica: sostantivo.

SecurityResult.action

  • Scopo: specifica un'azione di sicurezza.
  • Codifica: tipo enumerato.
  • Valori possibili: UDM di Google SecOps definisce le seguenti azioni di sicurezza:
    • CONSENTI
    • ALLOW_WITH_MODIFICATION: il file o l'email è stato disinfettato o riscritto e comunque inoltrato.
    • BLOCCA
    • QUARANTENA: archiviazione per analisi successive (non significa blocco).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Scopo: dettagli forniti dal fornitore dell'azione intrapresa a seguito dell'incidente di sicurezza. Le azioni di sicurezza spesso si traducono meglio nel campo UDM più generale Security_Result.action. Tuttavia, potrebbe essere necessario scrivere regole per la descrizione esatta dell'azione fornita dal fornitore.
  • Codifica: stringa.
  • Esempi: drop, block, decrypt, encrypt.

SecurityResult.category

  • Scopo: specifica una categoria di sicurezza.
  • Codifica: enum.
  • Valori possibili: Google SecOps UDM definisce le seguenti categorie di sicurezza:
    • ACL_VIOLATION: tentativo di accesso non autorizzato, incluso il tentativo di accesso a file, servizi web, processi, oggetti web e così via.
    • AUTH_VIOLATION: autenticazione non riuscita, ad esempio password errata o autenticazione a due fattori errata.
    • DATA_AT_REST—DLP: dati dei sensori trovati at-rest in una scansione.
    • DATA_DESTRUCTION: tentativo di distruggere/eliminare i dati.
    • DATA_EXFILTRATION—DLP: trasmissione dei dati dei sensori, copia su unità flash.
    • EXPLOIT: tentativi di overflow, codifiche di protocollo errate, ROP, SQL injection e così via, sia basati sulla rete che sull'host.
    • MAIL_PHISHING: email di phishing, messaggi di chat e così via.
    • MAIL_SPAM: email, messaggio e così via di spam.
    • MAIL_SPOOFING: indirizzo email di origine falsificato e così via.
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL: se il canale di comando e controllo è noto.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS: comando e controllo, exploit di rete, attività sospetta, potenziale tunnel inverso e così via.
    • NETWORK_SUSPICIOUS: non correlato alla sicurezza, ad esempio l'URL è collegato a giochi e scommesse e così via.
    • NETWORK_RECON: scansione delle porte rilevata da un IDS, probing da parte di un'applicazione web.
    • POLICY_VIOLATION: violazione delle norme di sicurezza, incluse violazioni di regole firewall, proxy e HIPS o azioni di blocco NAC.
    • SOFTWARE_MALICIOUS: malware, spyware, rootkit e così via.
    • SOFTWARE_PUA: app potenzialmente indesiderata, ad esempio adware e così via.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • Scopo: specifica un livello di confidenza in merito a un evento di sicurezza stimato dal prodotto.
  • Codifica: enum.
  • Valori possibili: UDM di Google SecOps definisce le seguenti categorie di confidenza del prodotto:
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Scopo: ulteriori dettagli sulla confidenza di un evento di sicurezza stimata dal fornitore del prodotto.
  • Codifica: stringa.

SecurityResult.priority

  • Scopo: specifica una priorità in relazione a un evento di sicurezza stimata dal fornitore del prodotto.
  • Codifica: enum.
  • Valori possibili: UDM di Google SecOps definisce le seguenti categorie di priorità del prodotto:
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIUM_PRIORITY
    • HIGH_PRIORITY

SecurityResult.priority_details

  • Scopo: informazioni specifiche del fornitore sulla priorità dei risultati di sicurezza.
  • Codifica: stringa.

SecurityResult.rule_id

  • Scopo: identificatore della regola di sicurezza.
  • Codifica: stringa.
  • Esempi:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Scopo: nome della regola di sicurezza.
  • Codifica: stringa.
  • Esempio: BlockInboundToOracle.

SecurityResult.severity

  • Scopo: gravità di un evento di sicurezza stimata dal fornitore del prodotto utilizzando i valori definiti da Google SecOps UDM.
  • Codifica: enum.
  • Valori possibili: UDM di Google SecOps definisce le seguenti gravità del prodotto:
    • UNKNOWN_SEVERITY - Non dannoso
    • INFORMATIVA - Non dannoso
    • ERRORE: non dannoso
    • BASSO: dannoso
    • MEDIO: dannoso
    • ALTO: dannoso

SecurityResult.severity_details

  • Scopo: gravità di un evento di sicurezza stimata dal fornitore del prodotto.
  • Codifica: stringa.

SecurityResult.threat_name

  • Scopo: nome della minaccia alla sicurezza.
  • Codifica: stringa.
  • Esempi:
    • W32/File-A
    • Slammer

SecurityResult.url_back_to_product

  • Scopo: URL che ti indirizza alla console del prodotto di origine per questo evento di sicurezza.
  • Codifica: stringa.

Popolazione dei metadati utente

User.email_addresses

  • Scopo: memorizza gli indirizzi email dell'utente.
  • Codifica: stringa ripetuta.
  • Esempio: johnlocke@company.example.com

User.employee_id

  • Scopo: memorizza l'ID dipendente delle risorse umane per l'utente.
  • Codifica: stringa.
  • Esempio: 11223344.

User.first_name

  • Scopo: memorizza il nome dell'utente.
  • Codifica: stringa.
  • Esempio: Mario.

User.middle_name

  • Scopo: memorizza il secondo nome dell'utente.
  • Codifica: stringa.
  • Esempio: Anthony.

User.last_name

  • Scopo: memorizza il cognome dell'utente.
  • Codifica: stringa.
  • Esempio: Locke.

User.group_identifiers

  • Scopo: memorizza gli ID gruppo (un GUID, un OID LDAP o simili) associati a un utente.
  • Codifica: stringa ripetuta.
  • Esempio: admin-users.

User.phone_numbers

  • Scopo: memorizza i numeri di telefono dell'utente.
  • Codifica: stringa ripetuta.
  • Esempio: 800-555-0101

User.title

  • Scopo: memorizza la qualifica dell'utente.
  • Codifica: stringa.
  • Esempio: Customer Relationship Manager.

User.user_display_name

  • Scopo: memorizza il nome visualizzato dell'utente.
  • Codifica: stringa.
  • Esempio: John Locke.

User.userid

  • Scopo: memorizza l'ID utente.
  • Codifica: stringa.
  • Esempio: jlocke.

User.windows_sid

  • Scopo: memorizza l'identificatore di sicurezza (SID) di Microsoft Windows associato a un utente.
  • Codifica: stringa.
  • Esempio: S-1-5-21-1180649209-123456789-3582944384-1064

Popolazione dei metadati delle vulnerabilità

Vulnerability.about

  • Scopo: se la vulnerabilità riguarda un sostantivo specifico (ad esempio, un eseguibile), aggiungilo qui.
  • Codifica: sostantivo. Consulta Popolazione dei metadati Noun
  • Esempio: eseguibile.

Vulnerability.cvss_base_score

  • Scopo: punteggio base per il Common Vulnerability Scoring System (CVSS).
  • Codifica: virgola mobile.
  • Intervallo: da 0.0 a 10.0
  • Esempio: 8,5

Vulnerability.cvss_vector

  • Scopo: vettore per le proprietà CVSS della vulnerabilità. Un punteggio CVSS è composto dalle seguenti metriche:

    • Vettore d'attacco (AV)
    • Complessità di accesso (AC)
    • Autenticazione (Au)
    • Impatto sulla riservatezza (C)
    • Impatto sull'integrità (I)
    • Impatto sulla disponibilità (A)

    Per ulteriori informazioni, visita la pagina https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.

  • Codifica: stringa.

  • Esempio: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Scopo: versione CVSS per il punteggio o il vettore della vulnerabilità.
  • Codifica: stringa.
  • Esempio: 3.1

Vulnerability.description

  • Scopo: descrizione della vulnerabilità.
  • Codifica: stringa.

Vulnerability.first_found

  • Scopo: i prodotti che mantengono una cronologia delle scansioni delle vulnerabilità devono compilare first_found con l'ora in cui è stata rilevata per la prima volta la vulnerabilità per questa risorsa.
  • Codifica: stringa.

Vulnerability.last_found

  • Scopo: i prodotti che mantengono una cronologia delle scansioni delle vulnerabilità devono compilare last_found con l'ora in cui è stata rilevata più di recente la vulnerabilità per questo asset.
  • Codifica: stringa.

Vulnerability.name

  • Scopo: il nome della vulnerabilità.
  • Codifica: stringa.
  • Esempio: è stata rilevata una versione del sistema operativo non supportata.

Vulnerability.scan_end_time

  • Scopo: se la vulnerabilità è stata scoperta durante una scansione delle risorse, compila questo campo con l'ora in cui è terminata la scansione. Lascia vuoto questo campo se l'ora di fine non è disponibile o non è applicabile.
  • Codifica: stringa.

Vulnerability.scan_start_time

  • Scopo: se la vulnerabilità è stata scoperta durante una scansione degli asset, inserisci in questo campo l'ora di inizio della scansione. Lascia vuoto questo campo se l'ora di inizio non è disponibile o non è applicabile.
  • Codifica: stringa.

Vulnerability.severity

  • Scopo: gravità della vulnerabilità.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_SEVERITY
    • BASSO
    • MEDIO
    • ALTO

Vulnerability.severity_details

  • Scopo: dettagli di gravità specifici del fornitore.
  • Codifica: stringa.

Popolazione dei metadati avviso

idm.is_significant

  • Scopo: specifica se visualizzare l'avviso in Enterprise Insights.
  • Codifica: booleano.

idm.is_alert

  • Scopo: indica se l'evento è un avviso.
  • Codifica: booleano.

Campi obbligatori e facoltativi per ogni tipo di evento

Questa sezione descrive i campi obbligatori e facoltativi che devono essere compilati per ogni tipo di evento UDM.

Per informazioni dettagliate su campi UDM specifici (ad esempio, numeri enum), consulta l'elenco dei campi Unified Data Model.

EMAIL_TRANSACTION

Campi obbligatori:

  • metadati: includi i campi obbligatori.
  • principal: inserisci le informazioni sulla macchina da cui è stato inviato il messaggio email (ad esempio, l'indirizzo IP del mittente).

Campi facoltativi:

  • about: URL, IP, domini e allegati incorporati nel corpo dell'email.
  • securityResult.about: URL, IP e file dannosi incorporati nel corpo dell'email.
  • network.email: informazioni sul mittente o sul destinatario dell'email.
  • principal: se sono presenti dati della macchina client su chi ha inviato l'email, inserisci i dettagli del server in principal (ad esempio, il processo client, i numeri di porta, il nome utente e così via).
  • target: se sono presenti dati del server di posta di destinazione, inserisci i dettagli del server nel target (ad esempio, l'indirizzo IP).
  • intermediario: se sono presenti dati del server di posta o del proxy di posta, compila i dettagli del server in intermediary.

Note:

  • Non compilare mai principal.email o target.email.
  • Compila solo il campo email in security_result.about o network.email.
  • I risultati di sicurezza di primo livello in genere hanno un insieme di sostantivi (facoltativo per lo spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ e FILE_OPEN

Campi obbligatori:

  • metadati: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore della macchina.
    • (Facoltativo) Riempi principal.process con informazioni sul processo che accede al file.
  • target:
    • Se il file è remoto (ad esempio una condivisione SMB), la destinazione deve includere almeno un identificatore macchina per la macchina di destinazione, altrimenti tutti gli identificatori macchina devono essere vuoti.
    • Compila target.file con le informazioni sul file.

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: compila se sono disponibili informazioni utente sul processo.

FILE_COPY

Campi obbligatori:

  • metadati: includi i campi obbligatori come descritto.
  • principal:
    • Almeno un identificatore della macchina.
    • (Facoltativo) Compila principal.process con informazioni sul processo che esegue l'operazione di copia dei file.
  • src:
    • Compila src.file con le informazioni sul file di origine.
    • Se il file è remoto (ad esempio una condivisione SMB), src deve includere almeno un identificatore macchina per la macchina di origine che archivia il file di origine.
  • target:
    • Compila target.file con le informazioni sul file di destinazione.
    • Se il file è remoto (ad esempio una condivisione SMB), il campo target deve includere almeno un identificatore macchina per la macchina di destinazione che contiene il file di destinazione.

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: compila se sono disponibili informazioni utente sul processo.

MUTEX_CREATION

Campi obbligatori:

  • metadati: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore della macchina.
    • Compila principal.process con informazioni sul processo di creazione del mutex.
  • target:
    • Compila target.resource.
    • Compila target.resource.type con MUTEX.
    • Compila target.resource.name con il nome del mutex creato.

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: compila se sono disponibili informazioni utente sul processo.
Esempio di UDM per MUTEX_CREATION

L'esempio seguente illustra come verrebbe formattato un evento di tipo MUTEX_CREATION per Google SecOps UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: Device and process details.
  • target: Informazioni sul mutex.

NETWORK_CONNECTION

Campi obbligatori:

  • metadata: event_timestamp
  • principal: includi dettagli sulla macchina che ha avviato la connessione di rete (ad esempio, l'origine).
  • target: includi i dettagli della macchina di destinazione se diversa dalla macchina principale.
  • network: acquisisci i dettagli sulla connessione di rete (porte, protocollo, ecc.).

Campi facoltativi:

  • principal.process e target.process: includono le informazioni sul processo associate al soggetto e alla destinazione della connessione di rete (se disponibili).
  • principal.user e target.user: includi le informazioni utente associate al soggetto e alla destinazione della connessione di rete (se disponibili).

NETWORK_HTTP

Il tipo di evento NETWORK_HTTP rappresenta una connessione di rete HTTP da un principal a un server web di destinazione.

Campi obbligatori:

  • metadati: includi i campi obbligatori.
  • principal: rappresenta il client che avvia la richiesta web e include almeno un identificatore macchina (ad esempio, nome host, IP, MAC, identificatore asset proprietario) o un identificatore utente (ad esempio, nome utente). Se viene descritta una connessione di rete specifica ed è disponibile un numero di porta client, deve essere specificato un solo indirizzo IP insieme al numero di porta associato a quella connessione di rete (anche se è possibile fornire altri identificatori della macchina per descrivere meglio il dispositivo del partecipante). Se non è disponibile alcuna porta di origine, è possibile specificare tutti gli indirizzi IP e MAC, gli identificatori asset e i valori del nome host che descrivono il dispositivo principale.
  • target: rappresenta il server web e include informazioni sul dispositivo e, facoltativamente, un numero di porta. Se è disponibile un numero di porta di destinazione, specifica solo un indirizzo IP oltre al numero di porta associato a quella connessione di rete (anche se è possibile fornire più identificatori di altre macchine per la destinazione). Per target.url, inserisci l'URL a cui è stato eseguito l'accesso.
  • network e network.http: include i dettagli sulla connessione di rete HTTP. Devi compilare i seguenti campi:
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Campi facoltativi:

  • about: rappresenta altre entità trovate nella transazione HTTP (ad esempio, un file caricato o scaricato).
  • intermediary: rappresenta un server proxy (se diverso dal principale o dalla destinazione).
  • metadata: compila gli altri campi dei metadati.
  • network: compila gli altri campi della rete.
  • network.email: se la connessione di rete HTTP ha avuto origine da un URL visualizzato in un messaggio email, compila network.email con i dettagli.
  • observer: rappresenta un'analisi passiva (se presente).
  • security_result: aggiungi uno o più elementi al campo security_result per rappresentare l'attività dannosa rilevata.
Esempio di UDM per NETWORK_HTTP

L'esempio seguente illustra come un evento antivirus Sophos di tipo NETWORK_HTTP verrebbe convertito nel formato UDM di Google SecOps.

Di seguito è riportato l'evento antivirus Sophos originale:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Ecco come formattare le stesse informazioni in Proto3 utilizzando la sintassi UDM di Google SecOps:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Google Security Operations-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: Il dispositivo di sicurezza che ha rilevato l'evento.
  • target: il dispositivo che ha ricevuto il software dannoso.
  • network: Informazioni di rete sull'host dannoso.
  • security_result: dettagli di sicurezza sul software dannoso.
  • additional: Vendor information outside the scope of the UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Campi obbligatori:

  • metadati: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore della macchina.
    • Per gli eventi di iniezione di processi e terminazione di processi, se disponibili, principal.process deve includere informazioni sul processo che avvia l'azione (ad esempio, per un evento di avvio del processo, principal.process deve includere i dettagli sul processo padre, se disponibili).
  • target:
    • target.process: include informazioni sul processo che viene inserito, aperto, avviato o terminato.
    • Se il processo di destinazione è remoto, la destinazione deve includere almeno un identificatore macchina per la macchina di destinazione (ad esempio, un indirizzo IP, MAC, nome host o identificatore asset di terze parti).

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user e target.user: compila il processo di avvio (principal) e il processo di destinazione se le informazioni sull'utente sono disponibili.
Esempio di UDM per PROCESS_LAUNCH

L'esempio seguente illustra come formattare un evento PROCESS_LAUNCH utilizzando la sintassi UDM di Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: Device details.
  • target: Process details.

PROCESS_MODULE_LOAD

Campi obbligatori:

  • metadati: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore della macchina.
    • principal.process: Processo di caricamento del modulo.
  • target:
    • target.process: include informazioni sul processo.
    • target.process.file: Module loaded (for example, the DLL or shared object).

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: compila se sono disponibili informazioni utente sul processo.
Esempio di UDM per PROCESS_MODULE_LOAD

L'esempio seguente illustra come formattare un evento PROCESS_MODULE_LOAD utilizzando la sintassi UDM di Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: Dettagli sul dispositivo e sul processo di caricamento del modulo.
  • target: Dettagli del processo e del modulo.

PROCESS_PRIVILEGE_ESCALATION

Campi obbligatori:

  • metadati: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore della macchina.
    • principal.process: Processo di caricamento del modulo.
    • principal.user: utente che carica il modulo.

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
Esempio di UDM per PROCESS_PRIVILEGE_ESCALATION

L'esempio seguente illustra come formattare un evento PROCESS_PRIVILEGE_ESCALATION utilizzando la sintassi UDM di Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: Dettagli sul dispositivo, sull'utente e sul processo di caricamento del modulo.
  • target: Dettagli del processo e del modulo.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Campi obbligatori:

  • metadati: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore della macchina.
    • Se un processo in modalità utente esegue la modifica del registro, principal.process deve includere informazioni sul processo che modifica il registro.
    • Se una procedura del kernel esegue la modifica del registro, il principal non deve includere informazioni sul processo.
  • target:
    • target.registry: se il registry di destinazione è remoto, la destinazione deve includere almeno un identificatore per la macchina di destinazione (ad esempio un indirizzo IP, MAC, nome host o identificatore di asset di terze parti).
    • target.registry.registry_key: tutti gli eventi del registry devono includere la chiave del registry interessata.

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata. Ad esempio, una chiave del Registro di sistema errata.
  • principal.user: compila se sono disponibili informazioni utente sul processo.
Esempio di UDM per REGISTRY_MODIFICATION

L'esempio seguente illustra come formattare un evento REGISTRY_MODIFICATION in Proto3 utilizzando la sintassi UDM di Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: dettagli su dispositivo, utente e processo.
  • target: Voce del Registro di sistema interessata dalla modifica.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Campi obbligatori:

  • metadati: event_timestamp e informazioni di base sull'evento.
  • observer: acquisisce informazioni sullo scanner stesso. Se lo scanner è remoto, i dettagli della macchina devono essere acquisiti dal campo Osservatore. Per uno scanner locale, lascia vuoto il campo.
  • target: acquisisci informazioni sulla macchina che contiene l'oggetto in fase di scansione. Se un file viene scansionato, target.file deve acquisire informazioni sul file scansionato. Se viene eseguita la scansione di un processo, target.process deve acquisire informazioni sul processo scansionato.
  • extensions: per SCAN_VULN_HOST e SCAN_VULN_NETWORK, definisci la vulnerabilità utilizzando il campo extensions.vuln.

Campi facoltativi:

  • principal: rappresenta il dispositivo che avvia la connessione e include almeno un identificatore macchina (ad esempio, nome host, indirizzo IP, indirizzo MAC, identificatore asset proprietario) o un identificatore utente.
  • target: i dettagli dell'utente relativi all'oggetto target (ad esempio, il creatore del file o il proprietario del processo) devono essere acquisiti in target.user.
  • security_result: descrivi l'attività dannosa rilevata.
Esempio di UDM per SCAN_HOST

L'esempio seguente illustra come verrebbe formattato un evento di tipo SCAN_HOST per UDM di Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • target: il dispositivo che ha ricevuto il software dannoso.
  • osservatore: il dispositivo che osserva e segnala l'evento in questione.
  • security_result: dettagli di sicurezza sul software dannoso.
Esempio di UDM per SCAN_VULN_HOST

L'esempio seguente illustra come verrebbe formattato un evento di tipo SCAN_VULN_HOST per UDM di Google SecOps:

metadata: {
  event_timestamp: "2025-05-09T12:59:52.45298Z",
  event_type: 18005,
  product_name: "TestProduct",
  vendor_name: "TestVendor"
  },
principal {
  asset_id: "TEST:Mwl8ABcd",
  ip: "127.0.0.3",
  hostname: "TEST-Localhost",
  mac: ["02:00:00:00:00:01"]
  },
extensions: {
  vulns: {
    vulnerabilities: [
      {
      cve_id: "CVE-6l9VxQmz",
      vendor_vulnerability_id: "TEST:7gmCmFWX",
      name: "CVE pA7DzwPU",
      severity: 2,
      vendor: "TestVendor",
      last_found: "2025-05-09T14:59:52.45300Z",
      first_found: "2025-05-09T13:59:52.45300Z"
       }
      ]
    }
  }

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: Dispositivo che ha ricevuto il software dannoso.
  • estensioni: Vulnerability details.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Campi obbligatori:

  • principal: per tutti gli eventi SCHEDULED_TASK, principal deve includere un identificatore macchina e un identificatore utente.
  • target: la destinazione deve includere una risorsa valida e un tipo di risorsa definito come "TASK".

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
Esempio di UDM per SCHEDULED_TASK_CREATION

L'esempio seguente illustra come potrebbe essere formattato un evento di tipo SCHEDULED_TASK_CREATION per Google SecOps UDM:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: Dispositivo che ha pianificato l'attività sospetta.
  • target: Software preso di mira dall'attività sospetta.
  • intermediario: l'intermediario coinvolto nell'attività sospetta.
  • security_result: dettagli sulla sicurezza dell'attività sospetta.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Campi obbligatori:

  • principal: deve essere presente, non vuoto e includere un identificatore della macchina.
  • target: deve essere presente, non vuoto e includere una risorsa con il tipo specificato come SETTING
Esempio di UDM per il tipo di evento SETTING_MODIFICATION

L'esempio seguente illustra come verrebbe formattato un evento di tipo SETTING_MODIFICATION per Google SecOps UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: Informazioni sul dispositivo su cui è stata modificata l'impostazione.
  • target: Dettagli risorsa.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Campi obbligatori:

  • target: includi l'identificatore utente e specifica il processo o l'applicazione.
  • principal: includi almeno un identificatore della macchina (indirizzo IP o MAC, nome host o identificatore asset).
Esempio di UDM per SERVICE_UNSPECIFIED

L'esempio seguente illustra come verrebbe formattato un evento di tipo SERVICE_UNSPECIFIED per UDM di Google SecOps:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: Dettagli sul dispositivo e sulla posizione.
  • target: Nome host e identificatore utente.
  • application: nome dell'applicazione e tipo di risorsa.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Campi obbligatori:

  • metadati: includi i campi obbligatori.
  • principal: almeno un identificatore macchina (indirizzo IP o MAC, nome host o identificatore asset).
Esempio di UDM per STATUS_HEARTBEAT

L'esempio seguente illustra come verrebbe formattato un evento di tipo STATUS_HEARTBEAT per Google SecOps UDM:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: Dettagli sul dispositivo e sulla posizione.
  • intermediario: indirizzo IP del dispositivo.
  • security_result: Dettagli del risultato di sicurezza.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Campi obbligatori:

  • principal: includi un identificatore utente per l'utente che ha eseguito l'operazione sul log e un identificatore macchina per la macchina in cui il log è o era (in caso di cancellazione) archiviato.
Esempio di UDM per SYSTEM_AUDIT_LOG_WIPE

L'esempio seguente mostra come verrebbe formattato un evento di tipo SYSTEM_AUDIT_LOG_WIPE per UDM di Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: Dettagli del dispositivo e dell'utente.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Campi obbligatori:

  • metadati: includi i campi obbligatori.
  • principal: se l'account utente viene modificato da una posizione remota, inserisci in principal le informazioni sulla macchina da cui ha avuto origine la modifica dell'utente.
  • target: compila target.user con informazioni sull'utente che è stato modificato.
  • intermediary: per gli accessi SSO, l'intermediario deve includere almeno un identificatore macchina per il server SSO, se disponibile.

USER_COMMUNICATION

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati alla comunicazione avviata dall'utente (mittente), ad esempio un messaggio di chat in Google Chat o Slack, una videoconferenza o una conferenza vocale in Zoom o Google Meet o una connessione VoIP.

Campi facoltativi:

  • target: (consigliato) compila il campo target.user con informazioni sull'utente di destinazione (destinatario) della risorsa di comunicazione cloud. Compila il campo target.application con informazioni sull'applicazione di comunicazione cloud di destinazione.

USER_CREATION, USER_DELETION

Campi obbligatori:

  • metadata: event_timestamp.
  • principal: includi informazioni sulla macchina da cui ha avuto origine la richiesta di creazione o eliminazione dell'utente. Per la creazione o l'eliminazione di un utente locale, il principal deve includere almeno un identificatore macchina per la macchina di origine.
  • target: posizione in cui viene creato l'utente. Devono includere anche i dati dell'utente (ad esempio target.user).

Campi facoltativi:

  • principal: dettagli dell'utente e del processo per la macchina in cui è stata avviata la richiesta di creazione o eliminazione dell'utente.
  • target: informazioni sulla macchina di destinazione (se diversa dalla macchina principale).

USER_LOGIN, USER_LOGOUT

Campi obbligatori:

  • metadati: includi i campi obbligatori.
  • principal: per l'attività utente remota (ad esempio, l'accesso remoto), inserisci in principal le informazioni sulla macchina da cui ha origine l'attività utente. Per l'attività utente locale (ad esempio, l'accesso locale), non impostare principal.
  • target: compila target.user con informazioni sull'utente che ha eseguito l'accesso o la disconnessione. Se il principal non è impostato (ad esempio, accesso locale), target deve includere anche almeno un identificatore macchina che identifichi la macchina di destinazione. Per l'attività utente da macchina a macchina (ad esempio accesso remoto, SSO, servizio cloud, VPN), la destinazione deve includere informazioni sull'applicazione di destinazione, sulla macchina di destinazione o sul server VPN di destinazione.
  • intermediary: per gli accessi SSO, l'intermediario deve includere almeno un identificatore macchina per il server SSO, se disponibile.
  • network e network.http: se l'accesso avviene tramite HTTP, devi inserire tutti i dettagli disponibili in network.ip_protocol, network.application_protocol e network.http.
  • Estensione autenticazione: deve identificare il tipo di sistema di autenticazione a cui è correlato l'evento (ad esempio, macchina, SSO o VPN) e il meccanismo utilizzato (nome utente e password, OTP e così via).
  • security_result: aggiungi un campo security_result per rappresentare lo stato di accesso in caso di errore. Specifica security_result.category con il valore AUTH_VIOLATION se l'autenticazione non va a buon fine.

USER_RESOURCE_ACCESS

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli relativi ai tentativi di accesso a una risorsa cloud (ad esempio una richiesta Salesforce, un calendario Office365, un documento Google o un ticket ServiceNow).
  • target: compila il campo target.resource con informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati all'utente creato all'interno di una risorsa cloud (ad esempio, una richiesta di assistenza Salesforce, un calendario Office 365, un documento Google o un ticket ServiceNow).
  • target: compila il campo target.resource con informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_UPDATE_CONTENT

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati all'utente i cui contenuti sono stati aggiornati all'interno di una risorsa cloud (ad esempio una richiesta Salesforce, un calendario Office 365, un documento Google o un ticket ServiceNow).
  • target: compila il campo target.resource con informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_UPDATE_PERMISSIONS

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati all'utente le cui autorizzazioni sono state aggiornate all'interno di una risorsa cloud (ad esempio una richiesta Salesforce, un calendario Office 365, un documento Google o un ticket ServiceNow).
  • target: compila il campo target.resource con informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_UNCATEGORIZED

Campi obbligatori:

  • metadata: event_timestamp
  • principal: includi informazioni sulla macchina da cui ha avuto origine la richiesta di creazione o eliminazione dell'utente. Per la creazione o l'eliminazione di un utente locale, il principal deve includere almeno un identificatore macchina per la macchina di origine.
  • target: posizione in cui viene creato l'utente. Devono includere anche i dati dell'utente (ad esempio target.user).

Campi facoltativi:

  • principal: dettagli dell'utente e del processo per la macchina in cui è stata avviata la richiesta di creazione o eliminazione dell'utente.
  • target: informazioni sulla macchina di destinazione (se diversa dalla macchina principale).