Coletar registros do osquery
Neste documento, descrevemos como coletar registros do osquery configurando o osquery e um encaminhador do Google Security Operations. Este documento também lista os tipos de registros e as versões do osquery compatíveis.
Para mais informações, consulte Ingestão de dados no Google Security Operations.
Visão geral
O diagrama de arquitetura de implantação a seguir mostra como os agentes do osquery e o servidor do Fleet são configurados para enviar registros ao Google Security Operations. Cada implantação de cliente pode ser diferente dessa representação e ser mais complexa.
O diagrama da arquitetura mostra os seguintes componentes:
Sistema Linux: o sistema Linux a ser monitorado em que o agente osquery está instalado.
Sistema Microsoft Windows: o sistema Microsoft Windows a ser monitorado em que o agente osquery está instalado.
Sistema Mac: o sistema Mac a ser monitorado em que o agente osquery está instalado
Agente osquery: coleta informações do sistema Microsoft Windows, Linux ou Mac e as encaminha para o servidor do Fleet.
Servidor de frota: monitora e recebe informações dos agentes do osquery, analisa os registros e os encaminha para o encaminhador do Google Security Operations.
Agente do Bindplane: busca registros do osquery e os envia para o Google SecOps.
Encaminhador do Google Security Operations: um componente de software leve implantado na rede do cliente para encaminhar os registros ao Google Security Operations.
Google Security Operations: retém e analisa os registros do servidor da frota.
Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador
com o rótulo de ingestão OSQUERY_EDR.
Antes de começar
Instale o servidor Fleet. Para instalar o servidor Fleet, faça o seguinte:
Use uma versão do osquery compatível com o analisador do Google Security Operations, ou seja, 5.2.3 e 5.3.0.
Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
Verifique se os nomes das tabelas na frota estão de acordo com a documentação oficial da frota.
Configurar o agente, o servidor e o encaminhador do Google Security Operations do osquery
Para configurar o servidor da frota e o encaminhador do Google Security Operations, faça o seguinte:
Para configurar o servidor do Fleet, faça o seguinte:
Adicione hosts ao servidor do Fleet e instale o agente osquery. É possível adicionar seu host ao servidor da frota com um instalador do osquery. O servidor da frota ajuda a gerar um instalador do osquery com o comando do pacote fleetctl.
- Execute o comando do pacote fleetctl instalando a ferramenta de linha de comando fleetctl.
- Instale o agente osquery usando o comando de pacote fleetctl.
Quando você instala o instalador do osquery gerado em um host, ele é registrado automaticamente na instância especificada da frota.
Extraia os registros do agente osquery. Para criar uma consulta na frota e buscar os registros, consulte Criar uma consulta. Para programar uma consulta, consulte Programar uma consulta.
Configure o encaminhador do Google Security Operations em um dispositivo Linux central para enviar os registros ao sistema do Google Security Operations. Para mais informações, acesse Instalar e configurar o encaminhador no Linux. Confira a seguir um exemplo de configuração de encaminhador do Google SecOps:
- file: common: enabled: true data_type: OSQUERY_EDR data_hint: batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path> filter:
Encaminhar registros para o Google SecOps usando o agente do Bindplane
- Instale e configure uma máquina virtual Linux.
- Instale e configure o agente do Bindplane no Linux para encaminhar registros ao Google SecOps. Para mais informações sobre como instalar e configurar o agente do Bindplane, consulte as instruções de instalação e configuração do agente do Bindplane.
Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google SecOps.
Formatos de registro do osquery aceitos
O analisador osquery é compatível com registros no formato JSON.
Registros de amostra do osquery compatíveis
JSON:
{ "name": "account_policy_data", "hostIdentifier": "dummyhostidentifier", "calendarTime": "Tue May 17 11:27:28 2022 UTC", "unixTime": 1652786848, "epoch": 0, "counter": 0, "numerics": false, "decorations": { "host_uuid": "dummy_host_uuid", "hostname": "dummyhostname" }, "columns": { "creation_time": "1637733429.23442", "failed_login_count": "0", "failed_login_timestamp": "0.0", "password_last_set_time": "1645164584.43137", "uid": "501" }, "action": "added" }
Referência de mapeamento de campos
Esta seção explica como o analisador do Google Security Operations mapeia campos de registro do osquery para campos do Modelo de Dados Unificado (UDM) do Google Security Operations no esquema e no sistema operacional. Para mais informações, consulte o esquema do osquery para a versão 5.2.3 e a versão 5.3.0.
account_policy_data
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema account_policy_data e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema "ad_config" e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome | about.labels.key/value (descontinuado) additional.fields |
| domínio | target.administrative_domain |
| opção | about.labels.key (descontinuado) additional.fields.key |
| valor | about.labels.value (descontinuado) additional.fields.value.string_value |
alf
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema alf e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| allow_signed_enabled | about.labels.key/value (descontinuado) additional.fields |
| firewall_unload | about.labels.key/value (descontinuado) additional.fields |
| global_state | about.labels.key/value (descontinuado) additional.fields |
| logging_enabled | about.labels.key/value (descontinuado) additional.fields |
| logging_option | about.labels.key/value (descontinuado) additional.fields |
| stealth_enabled | about.labels.key/value (descontinuado) additional.fields |
| version | target.platform_version |
alf_exceptions
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema alf_exceptions e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| estado | about.labels.key/value (descontinuado) additional.fields |
alf_explicit_auths
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema alf_explicit_auths e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| difusão reversa que restaura | target.process.pid |
app_schemes
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema app_schemes e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| esquema | about.labels.key/value (descontinuado) additional.fields |
| handler | about.labels.key/value (descontinuado) additional.fields |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| externo | about.labels.key/value (descontinuado) additional.fields |
| protegido | about.labels.key/value (descontinuado) additional.fields |
apparmor_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema apparmor_events e o SO Linux:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| mensagem | metadata.description |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | security_result.rule_id |
| apparmor | security_result.action |
| operação | about.labels.key/value (descontinuado) additional.fields |
| primária | target.process.parent_process.pid |
| perfil | about.labels.key/value (descontinuado) additional.fields |
| nome | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value (descontinuado) additional.fields |
| capname | about.labels.key/value (descontinuado) additional.fields |
| fsuid | target.user.attribute.labels.key/value |
| ouid | target.user.attribute.labels.key/value |
| capacidade | about.labels.key/value (descontinuado) additional.fields |
| requested_mask | target.process.access_mask |
| informações | about.labels.key/value (descontinuado) additional.fields |
| erro | security_result.summary |
| namespace | about.labels.key/value (descontinuado) additional.fields |
| o rótulo. | about.labels.key/value (descontinuado) additional.fields |
apparmor_profiles
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema apparmor_profiles e o SO Linux:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| nome | target.resource.name |
| anexar | about.labels.key/value (descontinuado) additional.fields |
| modo | about.labels.key/value (descontinuado) additional.fields |
| sha1 | target.file.sha1 |
apps
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os apps de esquema e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome | target.application |
| path | target.file.full_path |
| bundle_executable | about.labels.key/value (descontinuado) additional.fields |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value (descontinuado) additional.fields |
| ambiente | about.labels.key/value (descontinuado) additional.fields |
| elemento | about.labels.key/value (descontinuado) additional.fields |
| compilador | about.labels.key/value (descontinuado) additional.fields |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value (descontinuado) additional.fields |
| info_string | about.labels.key/value (descontinuado) additional.fields |
| minimum_system_version | about.labels.key/value (descontinuado) additional.fields |
| categoria | about.labels.key/value (descontinuado) additional.fields |
| applescript_enabled | about.labels.key/value (descontinuado) additional.fields |
| direitos autorais | about.labels.key/value (descontinuado) additional.fields |
| last_opened_time | target.file.last_seen_time |
asl
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema asl e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| time_nano_sec | about.labels.key/value (descontinuado) additional.fields |
| host | target.hostname |
| sender | about.labels.key/value (descontinuado) additional.fields |
| residencial geriátrico | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| gid | target.user.group_identifiers |
| uid | target.user.userid |
| level | about.labels.key/value (descontinuado) additional.fields |
| mensagem | metadata.description |
| ref_pid | about.labels.key/value (descontinuado) additional.fields |
| ref_proc | about.labels.key/value (descontinuado) additional.fields |
| extra | about.labels.key/value (descontinuado) additional.fields |
Authenticode
A tabela a seguir lista os campos de registro e os mapeamentos da UDM correspondentes para o authenticode do esquema e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| original_program_name | about.labels.key/value (descontinuado) additional.fields |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| result | security_result.summary |
authorization_mechanisms
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema "authorization_mechanisms" e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| o rótulo. | about.labels.key/value (descontinuado) additional.fields |
| plugin | about.labels.key/value (descontinuado) additional.fields |
| mecanismo | about.labels.key/value (descontinuado) additional.fields |
| privilegiado | about.labels.key/value (descontinuado) additional.fields |
| entry | about.labels.key/value (descontinuado) additional.fields |
autorizações
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para as autorizações de esquema e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| o rótulo. | about.labels.key/value (descontinuado) additional.fields |
| modificada(s) | about.labels.key/value (descontinuado) additional.fields |
| allow_root | about.labels.key/value (descontinuado) additional.fields |
| timeout | about.labels.key/value (descontinuado) additional.fields |
| version | about.labels.key/value (descontinuado) additional.fields |
| tentativas | about.labels.key/value (descontinuado) additional.fields |
| authenticate_user | about.labels.key/value (descontinuado) additional.fields |
| compartilhados | about.labels.key/value (descontinuado) additional.fields |
| comentário | about.labels.key/value (descontinuado) additional.fields |
| created | about.labels.key/value (descontinuado) additional.fields |
| classe | about.labels.key/value (descontinuado) additional.fields |
| session_owner | about.labels.key/value (descontinuado) additional.fields |
autoexec
A tabela a seguir lista os campos de registro e os mapeamentos da UDM correspondentes para o autoexec do esquema e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| nome | target.application |
| source | target.resource.name |
bitlocker_info
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema "bitlocker_info" e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value (descontinuado) additional.fields |
| conversion_status | target.resource.attirbute.labels.key/value |
| protection_status | target.resource.attirbute.labels.key/value |
| encryption_method | target.resource.attirbute.labels.key/value |
| version | metadata.product_version |
| percentage_encrypted | target.resource.attirbute.labels.key/value |
| lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema bpf_process_events e o SO Linux:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| tid | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| primária | target.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (descontinuado) additional.fields |
| exit_code | about.labels.key/value (descontinuado) additional.fields |
| probe_error | about.labels.key/value (descontinuado) additional.fields |
| syscall | about.labels.key/value (descontinuado) additional.fields |
| path | target.process.file.full_path |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| cmdline | target.process.command_line |
| duration | about.labels.key/value (descontinuado) additional.fields |
| json_cmdline | about.labels.key/value (descontinuado) additional.fields |
| ntime | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
bpf_socket_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema bpf_socket_events e o SO Linux:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| tid | about.labels.key/value (descontinuado) additional.fields |
| pid | principal.process.pid |
| primária | principal.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (descontinuado) additional.fields |
| exit_code | about.labels.key/value (descontinuado) additional.fields |
| probe_error | about.labels.key/value (descontinuado) additional.fields |
| syscall | about.labels.key/value (descontinuado) additional.fields |
| path | target.file.full_path |
| fd | about.labels.key/value (descontinuado) additional.fields |
| família | about.labels.key/value (descontinuado) additional.fields |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| duration | about.labels.key/value (descontinuado) additional.fields |
| ntime | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
certificados
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os certificados de esquema e os SOs macOS e Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| common_name | about.labels.key/value (descontinuado) additional.fields |
| subject | network.tls.client.certificate.subject |
| issuer | network.tls.client.certificate.issuer |
| ac | about.labels.key/value (descontinuado) additional.fields |
| self_signed | about.labels.key/value (descontinuado) additional.fields |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value (descontinuado) additional.fields |
| key_algorithm | about.labels.key/value (descontinuado) additional.fields |
| key_strength | about.labels.key/value (descontinuado) additional.fields |
| key_usage | about.labels.key/value (descontinuado) additional.fields |
| subject_key_id | about.labels.key/value (descontinuado) additional.fields |
| authority_key_id | about.labels.key/value (descontinuado) additional.fields |
| sha1 | network.tls.client.certificate.sha1 |
| path | about.labels.key/value (descontinuado) additional.fields |
| serial | network.tls.client.certificate.serial |
| sid | about.labels.key/value (descontinuado) additional.fields |
| store_location | about.labels.key/value (descontinuado) additional.fields |
| loja | about.labels.key/value (descontinuado) additional.fields |
| nome de usuário | principal.user.user_display_name |
| store_id | about.labels.key/value (descontinuado) additional.fields |
chassis_info
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema chassis_info e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| audible_alarm | about.labels.key/value (descontinuado) additional.fields |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value (descontinuado) additional.fields |
| description | metadata.description |
| cadeado | about.labels.key/value (descontinuado) additional.fields |
| fabricante | principal.asset.hardware.manufacturer |
| modelo | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| serial | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value (descontinuado) additional.fields |
| SKU | about.labels.key/value (descontinuado) additional.fields |
| status | about.labels.key/value (descontinuado) additional.fields |
| visible_alarm | about.labels.key/value (descontinuado) additional.fields |
chrome_extensions
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema chrome_extensions e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| nome | target.resource.name |
| perfil | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| identificador | target.resource.attribute.labels.key/value |
| version | target.resource.attribute.labels.key/value |
| description | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| author (autor) | target.resource.attribute.labels.key/value |
| permanentes | target.resource.attribute.labels.key/value |
| path | target.file.full_path |
| permissões | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| referenciados | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| estado | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| chave | target.resource.attribute.labels.key/value |
conectividade
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para a conectividade de esquema e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| desconectado | about.labels.key/value (descontinuado) additional.fields |
| ipv4_no_traffic | about.labels.key/value (descontinuado) additional.fields |
| ipv6_no_traffic | about.labels.key/value (descontinuado) additional.fields |
| ipv4_subnet | about.labels.key/value (descontinuado) additional.fields |
| ipv4_local_network | about.labels.key/value (descontinuado) additional.fields |
| ipv4_internet | about.labels.key/value (descontinuado) additional.fields |
| ipv6_subnet | about.labels.key/value (descontinuado) additional.fields |
| ipv6_local_network | about.labels.key/value (descontinuado) additional.fields |
| ipv6_internet | about.labels.key/value (descontinuado) additional.fields |
cpu_info
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema cpu_info e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| device_id | principal.asset.product_object_id |
| modelo | principal.asset.hardware.model |
| fabricante | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value (descontinuado) additional.fields |
| Disponibilidade | about.labels.key/value (descontinuado) additional.fields |
| cpu_status | about.labels.key/value (descontinuado) additional.fields |
| number_of_cores | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value (descontinuado) additional.fields |
| address_width | about.labels.key/value (descontinuado) additional.fields |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value (descontinuado) additional.fields |
falhas
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para falhas de esquema e SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| path | target.process.file.full_path |
| crash_path | target.file.full_path |
| identificador | about.labels.key/value (descontinuado) additional.fields |
| version | about.labels.key/value (descontinuado) additional.fields |
| primária | target.process.parent_process.pid |
| responsável | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| datetime | metadata.event_timestamp |
| crashed_thread | about.labels.key/value (descontinuado) additional.fields |
| stack_trace | about.labels.key/value (descontinuado) additional.fields |
| exception_type | about.labels.key/value (descontinuado) additional.fields |
| exception_codes | about.labels.key/value (descontinuado) additional.fields |
| exception_notes | about.labels.key/value (descontinuado) additional.fields |
| registros | about.labels.key/value (descontinuado) additional.fields |
crontab
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o crontab de esquema e o SO Linux, macOS, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| evento | about.labels.key/value (descontinuado) additional.fields |
| minuto | about.labels.key/value (descontinuado) additional.fields |
| hora | about.labels.key/value (descontinuado) additional.fields |
| day_of_month | about.labels.key/value (descontinuado) additional.fields |
| mês | about.labels.key/value (descontinuado) additional.fields |
| day_of_week | about.labels.key/value (descontinuado) additional.fields |
| comando | principal.process.command_line |
| path | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
curl
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema curl e SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| url | network.http.referral_url |
| método | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| bytes | network.received_bytes |
| result | about.labels.key/value (descontinuado) additional.fields |
curl_certificate
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema curl_certificate e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome do host | principal.hostname |
| common_name | about.labels.key/value (descontinuado) additional.fields |
| organização | network.organization_name |
| organization_unit | about.labels.key/value (descontinuado) additional.fields |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value (descontinuado) additional.fields |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value (descontinuado) additional.fields |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| version | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value (descontinuado) additional.fields |
| signature | about.labels.key/value (descontinuado) additional.fields |
| subject_key_identifier | about.labels.key/value (descontinuado) additional.fields |
| authority_key_identifier | about.labels.key/value (descontinuado) additional.fields |
| key_usage | about.labels.key/value (descontinuado) additional.fields |
| extended_key_usage | about.labels.key/value (descontinuado) additional.fields |
| políticas | about.labels.key/value (descontinuado) additional.fields |
| subject_alternative_names | about.labels.key/value (descontinuado) additional.fields |
| issuer_alternative_names | about.labels.key/value (descontinuado) additional.fields |
| info_access | about.labels.key/value (descontinuado) additional.fields |
| subject_info_access | about.labels.key/value (descontinuado) additional.fields |
| policy_mappings | about.labels.key/value (descontinuado) additional.fields |
| has_expired | about.labels.key/value (descontinuado) additional.fields |
| basic_constraint | about.labels.key/value (descontinuado) additional.fields |
| name_constraints | about.labels.key/value (descontinuado) additional.fields |
| policy_constraints | about.labels.key/value (descontinuado) additional.fields |
| dump_certificate | about.labels.key/value (descontinuado) additional.fields |
| timeout | about.labels.key/value (descontinuado) additional.fields |
| pem | about.labels.key/value (descontinuado) additional.fields |
device_file
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema device_file e os SOs Linux, macOS, freebsd e Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| device | about.labels.key/value (descontinuado) additional.fields |
| partição | about.labels.key/value (descontinuado) additional.fields |
| path | target.file.full_path |
| filename | target.file.names |
| inode | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| modo | about.labels.key/value (descontinuado) additional.fields |
| tamanho | target.file.size |
| block_size | about.labels.key/value (descontinuado) additional.fields |
| atime | about.labels.key/value (descontinuado) additional.fields |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (descontinuado) additional.fields |
| hard_links | about.labels.key/value (descontinuado) additional.fields |
| tipo | about.labels.key/value (descontinuado) additional.fields |
device_hash
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema device_hash e os SOs Linux, macOS, freebsd e Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| device | target.file.full_path |
| partição | about.labels.key/value (descontinuado) additional.fields |
| inode | about.labels.key/value (descontinuado) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema disk_info e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| partições | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| tipo | principal.asset.attribute.labels.key/value |
| ID | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value (descontinuado) additional.fields |
| disk_size | principal.asset.attribute.labels.key/value |
| fabricante | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| nome | principal.asset.attribute.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| description | principal.asset.attribute.labels.key/value |
dns_cache
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema dns_cache e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome | network.dns.additional.name |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| flags | about.labels.key/value (descontinuado) additional.fields |
dns_resolvers
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema dns_resolvers e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ID | about.labels.key/value (descontinuado) additional.fields |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| address | principal.ip |
| netmask | about.labels.key/value (descontinuado) additional.fields |
| opções | about.labels.key/value (descontinuado) additional.fields |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
docker_container_networks
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os esquemas docker_container_networks e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ID | target.asset.product_object_id |
| nome | network.carrier_name |
| network_id | about.labels.key/value (descontinuado) additional.fields |
| endpoint_id | about.labels.key/value (descontinuado) additional.fields |
| gateway | about.labels.key/value (descontinuado) additional.fields |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value (descontinuado) additional.fields |
| ipv6_gateway | about.labels.key/value (descontinuado) additional.fields |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value (descontinuado) additional.fields |
| mac_address | target.mac |
docker_container_ports
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema docker_container_ports e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ID | target.asset.product_object_id |
| tipo | network.ip_protocol |
| porta | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema docker_container_processes e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ID | target.asset.product_object_id |
| pid | target.process.pid |
| nome | target.process.file.full_path |
| cmdline | target.process.command_line |
| estado | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | target.user.attribute.labels.key/value |
| egid | target.group.attribute.labels.key/value |
| suid | target.user.attribute.labels.key/value |
| sgid | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value (descontinuado) additional.fields |
| resident_size | about.labels.key/value (descontinuado) additional.fields |
| total_size | about.labels.key/value (descontinuado) additional.fields |
| start_time | about.labels.key/value (descontinuado) additional.fields |
| primária | target.process.parent_process.pid |
| pgroup | about.labels.key/value (descontinuado) additional.fields |
| threads | about.labels.key/value (descontinuado) additional.fields |
| legal | about.labels.key/value (descontinuado) additional.fields |
| usuário | target.user.user_display_name |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| cpu | about.labels.key/value (descontinuado) additional.fields |
| mem | about.labels.key/value (descontinuado) additional.fields |
docker_container_stats
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema docker_container_stats e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ID | target.resource.product_object_id |
| nome | target.resource.name |
| pids | about.labels.key/value (descontinuado) additional.fields |
| ler | about.labels.key/value (descontinuado) additional.fields |
| preread | about.labels.key/value (descontinuado) additional.fields |
| interval | about.labels.key/value (descontinuado) additional.fields |
| disk_read | about.labels.key/value (descontinuado) additional.fields |
| disk_write | about.labels.key/value (descontinuado) additional.fields |
| num_procs | about.labels.key/value (descontinuado) additional.fields |
| cpu_total_usage | about.labels.key/value (descontinuado) additional.fields |
| cpu_kernelmode_usage | about.labels.key/value (descontinuado) additional.fields |
| cpu_usermode_usage | about.labels.key/value (descontinuado) additional.fields |
| system_cpu_usage | about.labels.key/value (descontinuado) additional.fields |
| online_cpus | about.labels.key/value (descontinuado) additional.fields |
| pre_cpu_total_usage | about.labels.key/value (descontinuado) additional.fields |
| pre_cpu_kernelmode_usage | about.labels.key/value (descontinuado) additional.fields |
| pre_cpu_usermode_usage | about.labels.key/value (descontinuado) additional.fields |
| pre_system_cpu_usage | about.labels.key/value (descontinuado) additional.fields |
| pre_online_cpus | about.labels.key/value (descontinuado) additional.fields |
| memory_usage | about.labels.key/value (descontinuado) additional.fields |
| memory_max_usage | about.labels.key/value (descontinuado) additional.fields |
| memory_limit | about.labels.key/value (descontinuado) additional.fields |
| network_rx_bytes | about.labels.key/value (descontinuado) additional.fields |
| network_tx_bytes | about.labels.key/value (descontinuado) additional.fields |
docker_info
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema docker_info e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ID | target.resource.product_object_id |
| Contêineres | about.labels.key/value (descontinuado) additional.fields |
| containers_running | about.labels.key/value (descontinuado) additional.fields |
| containers_paused | about.labels.key/value (descontinuado) additional.fields |
| containers_stopped | about.labels.key/value (descontinuado) additional.fields |
| imagens | about.labels.key/value (descontinuado) additional.fields |
| storage_driver | about.labels.key/value (descontinuado) additional.fields |
| memory_limit | about.labels.key/value (descontinuado) additional.fields |
| swap_limit | about.labels.key/value (descontinuado) additional.fields |
| kernel_memory | about.labels.key/value (descontinuado) additional.fields |
| cpu_cfs_period | about.labels.key/value (descontinuado) additional.fields |
| cpu_cfs_quota | about.labels.key/value (descontinuado) additional.fields |
| cpu_shares | about.labels.key/value (descontinuado) additional.fields |
| cpu_set | about.labels.key/value (descontinuado) additional.fields |
| ipv4_forwarding | about.labels.key/value (descontinuado) additional.fields |
| bridge_nf_iptables | about.labels.key/value (descontinuado) additional.fields |
| bridge_nf_ip6tables | about.labels.key/value (descontinuado) additional.fields |
| oom_kill_disable | about.labels.key/value (descontinuado) additional.fields |
| logging_driver | about.labels.key/value (descontinuado) additional.fields |
| cgroup_driver | about.labels.key/value (descontinuado) additional.fields |
| kernel_version | about.labels.key/value (descontinuado) additional.fields |
| os | about.labels.key/value (descontinuado) additional.fields |
| os_type | target.platform(enum) |
| arquitetura | about.labels.key/value (descontinuado) additional.fields |
| cpus | about.labels.key/value (descontinuado) additional.fields |
| memória | about.labels.key/value (descontinuado) additional.fields |
| http_proxy | about.labels.key/value (descontinuado) additional.fields |
| https_proxy | about.labels.key/value (descontinuado) additional.fields |
| no_proxy | about.labels.key/value (descontinuado) additional.fields |
| nome | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema docker_network_labels e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ID | target.resource.product_object_id |
| chave | target.resource.attribute.labels.key/value |
| valor | about.labels.key/value (descontinuado) additional.fields |
docker_networks
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os esquemas docker_networks e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ID | target.resource.product_object_id |
| nome | about.labels.key/value (descontinuado) additional.fields |
| motorista | about.labels.key/value (descontinuado) additional.fields |
| created | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value (descontinuado) additional.fields |
| sub-rede | about.labels.key/value (descontinuado) additional.fields |
| gateway | about.labels.key/value (descontinuado) additional.fields |
ec2_instance_metadata
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema ec2_instance_metadata e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value (descontinuado) additional.fields |
| arquitetura | about.labels.key/value (descontinuado) additional.fields |
| região | target.location.country_or_region |
| availability_zone | about.labels.key/value (descontinuado) additional.fields |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| mac | target.mac |
| security_groups | about.labels.key/value (descontinuado) additional.fields |
| iam_arn | about.labels.key/value (descontinuado) additional.fields |
| ami_id | about.labels.key/value (descontinuado) additional.fields |
| reservation_id | about.labels.key/value (descontinuado) additional.fields |
| account_id | target.user.userid |
| ssh_public_key | about.labels.key/value (descontinuado) additional.fields |
es_process_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema es_process_events e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| version | target.platform_version |
| seq_num | about.labels.key/value (descontinuado) additional.fields |
| global_seq_num | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| path | target.process.file.full_path |
| primária | target.process.parent_process.pid |
| original_parent | about.labels.key/value (descontinuado) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (descontinuado) additional.fields |
| env | about.labels.key/value (descontinuado) additional.fields |
| env_count | about.labels.key/value (descontinuado) additional.fields |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (descontinuado) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value (descontinuado) additional.fields |
| nome de usuário | target.user.user_display_name |
| signing_id | about.labels.key/value (descontinuado) additional.fields |
| team_id | about.labels.key/value (descontinuado) additional.fields |
| cdhash | about.labels.key/value (descontinuado) additional.fields |
| platform_binary | about.labels.key/value (descontinuado) additional.fields |
| exit_code | about.labels.key/value (descontinuado) additional.fields |
| child_pid | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| event_type | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
etc_hosts
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema etc_hosts e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| address | target.ip |
| nomes de host | about.hostname |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
etc_protocols
A tabela a seguir lista os campos de registro e os mapeamentos da UDM correspondentes para o esquema etc_protocols e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome | network.ip_protocol |
| número | about.labels.key/value (descontinuado) additional.fields |
| alias | about.labels.key/value (descontinuado) additional.fields |
| comentário | about.labels.key/value (descontinuado) additional.fields |
etc_services
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema etc_services e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome | target.resource.name |
| porta | target.port |
| protocolo | network.ip_protocol |
| aliases | about.labels.key/value (descontinuado) additional.fields |
| comentário | about.labels.key/value (descontinuado) additional.fields |
arquivo
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o arquivo de esquema e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| diretório | about.labels.key/value (descontinuado) additional.fields |
| filename | target.file.names |
| inode | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| modo | about.labels.key/value (descontinuado) additional.fields |
| device | target.asset.asset_id |
| tamanho | target.file.size |
| block_size | about.labels.key/value (descontinuado) additional.fields |
| atime | target.file.last_seen_time |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (descontinuado) additional.fields |
| btime | about.labels.key/value (descontinuado) additional.fields |
| hard_links | about.labels.key/value (descontinuado) additional.fields |
| symlink | about.labels.key/value (descontinuado) additional.fields |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| atributos | about.labels.key/value (descontinuado) additional.fields |
| volume_serial | about.labels.key/value (descontinuado) additional.fields |
| file_id | about.labels.key/value (descontinuado) additional.fields |
| file_version | about.labels.key/value (descontinuado) additional.fields |
| product_version | about.labels.key/value (descontinuado) additional.fields |
| bsd_flags | about.labels.key/value (descontinuado) additional.fields |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
| mount_namespace_id | about.labels.key/value (descontinuado) additional.fields |
file_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema file_events e o SO Linux:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| operação | about.labels.key/value (descontinuado) additional.fields |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| executável | about.labels.key/value (descontinuado) additional.fields |
| parcial | about.labels.key/value (descontinuado) additional.fields |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| path | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| auid | about.labels.key/value (descontinuado) additional.fields |
| euid | about.labels.key/value (descontinuado) additional.fields |
| egid | about.labels.key/value (descontinuado) additional.fields |
| fsuid | about.labels.key/value (descontinuado) additional.fields |
| fsgid | about.labels.key/value (descontinuado) additional.fields |
| suid | about.labels.key/value (descontinuado) additional.fields |
| sgid | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
empresa guardiã
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o gatekeeper de esquema e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| assessments_enabled | about.labels.key/value (descontinuado) additional.fields |
| dev_id_enabled | about.labels.key/value (descontinuado) additional.fields |
| version | target.asset.software.version |
| opaque_version | about.labels.key/value (descontinuado) additional.fields |
gatekeeper_approved_apps
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o gatekeeper_approved_apps do esquema e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| requisito | about.labels.key/value (descontinuado) additional.fields |
| ctime | about.labels.key/value (descontinuado) additional.fields |
| mtime | target.resource.attribute.last_update_time |
grupos
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os grupos de esquema e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| gid | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| groupname | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| comentário | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema hardware_events e os SOs Linux e macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ação | security_result.action_details |
| path | target.asset.attribute.labels.key/value |
| tipo | target.asset.attribute.labels.key/value |
| motorista | target.asset.attribute.labels.key/value |
| fornecedor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| modelo | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| serial | target.asset.attribute.labels.key/value |
| revisão | target.asset.attribute.labels.key/value |
| tempo | metadata.event_timestamp |
| eid | metadata.product_log_id |
jogo da velha
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o hash de esquema e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| diretório | about.labels.key/value (descontinuado) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
| mount_namespace_id | about.labels.key/value (descontinuado) additional.fields |
interface_addresses
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema interface_addresses e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| Interface | about.labels.key/value (descontinuado) additional.fields |
| address | target.ip |
| máscara | about.labels.key/value (descontinuado) additional.fields |
| transmitir | about.labels.key/value (descontinuado) additional.fields |
| point_to_point | about.labels.key/value (descontinuado) additional.fields |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| friendly_name | about.labels.key/value (descontinuado) additional.fields |
interface_details
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema interface_details e os SOs macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| Interface | about.labels.key/value (descontinuado) additional.fields |
| mac | target.mac |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| mtu | about.labels.key/value (descontinuado) additional.fields |
| métrica | about.labels.key/value (descontinuado) additional.fields |
| flags | about.labels.key/value (descontinuado) additional.fields |
| ipackets | about.labels.key/value (descontinuado) additional.fields |
| opackets | about.labels.key/value (descontinuado) additional.fields |
| ibytes | network.sent_bytes |
| obytes | network.received_bytes |
| ierrors | about.labels.key/value (descontinuado) additional.fields |
| oerrors | about.labels.key/value (descontinuado) additional.fields |
| idrops | about.labels.key/value (descontinuado) additional.fields |
| odrops | about.labels.key/value (descontinuado) additional.fields |
| colisões | about.labels.key/value (descontinuado) additional.fields |
| last_change | about.labels.key/value (descontinuado) additional.fields |
| link_speed | about.labels.key/value (descontinuado) additional.fields |
| pci_slot | about.labels.key/value (descontinuado) additional.fields |
| friendly_name | about.labels.key/value (descontinuado) additional.fields |
| description | about.labels.key/value (descontinuado) additional.fields |
| fabricante | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value (descontinuado) additional.fields |
| connection_status | about.labels.key/value (descontinuado) additional.fields |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| physical_adapter | about.labels.key/value (descontinuado) additional.fields |
| velocidade | about.labels.key/value (descontinuado) additional.fields |
| serviço | target.application |
| dhcp_enabled | about.labels.key/value (descontinuado) additional.fields |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value (descontinuado) additional.fields |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value (descontinuado) additional.fields |
| dns_host_name | about.labels.key/value (descontinuado) additional.fields |
| dns_server_search_order | about.labels.key/value (descontinuado) additional.fields |
interface_ipv6
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para a interface schema_ipv6 e os SOs Linux, macOS e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| Interface | about.labels.key/value (descontinuado) additional.fields |
| hop_limit | about.labels.key/value (descontinuado) additional.fields |
| forwarding_enabled | about.labels.key/value (descontinuado) additional.fields |
| redirect_accept | about.labels.key/value (descontinuado) additional.fields |
| rtadv_accept | about.labels.key/value (descontinuado) additional.fields |
iptables
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema iptables e o SO Linux:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| filter_name | about.labels.key/value (descontinuado) additional.fields |
| cadeia | about.labels.key/value (descontinuado) additional.fields |
| política | about.labels.key/value (descontinuado) additional.fields |
| target | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value (descontinuado) additional.fields |
| iniface | about.labels.key/value (descontinuado) additional.fields |
| iniface_mask | about.labels.key/value (descontinuado) additional.fields |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value (descontinuado) additional.fields |
| outiface | about.labels.key/value (descontinuado) additional.fields |
| outiface_mask | about.labels.key/value (descontinuado) additional.fields |
| correspondência | about.labels.key/value (descontinuado) additional.fields |
| pacotes | about.labels.key/value (descontinuado) additional.fields |
| bytes | network.received_bytes |
kernel_panics
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o kernel_panics do esquema e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| registros | about.labels.key/value (descontinuado) additional.fields |
| frame_backtrace | about.labels.key/value (descontinuado) additional.fields |
| module_backtrace | about.labels.key/value (descontinuado) additional.fields |
| dependências | about.labels.key/value (descontinuado) additional.fields |
| nome | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value (descontinuado) additional.fields |
| system_model | target.asset.hardware.model |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| last_loaded | about.labels.key/value (descontinuado) additional.fields |
| last_unloaded | about.labels.key/value (descontinuado) additional.fields |
keychain_acls
A tabela a seguir lista os campos de registro e os mapeamentos da UDM correspondentes para o keychain_acls do esquema e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| keychain_path | about.labels.key/value (descontinuado) additional.fields |
| autorizações | about.labels.key/value (descontinuado) additional.fields |
| path | target.file.full_path |
| description | metadata.description |
| o rótulo. | about.labels.key/value (descontinuado) additional.fields |
known_hosts
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os esquemas known_hosts e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| uid | target.user.userid |
| chave | about.labels.key/value (descontinuado) additional.fields |
| key_file | target.file.full_path |
último
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema last e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome de usuário | target.user.user_display_name |
| tty | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| type_name | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| host | target.hostname |
listening_ports
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema listening_ports e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| pid | target.process.pid |
| porta | target.port |
| protocolo | network.ip_protocol |
| família | about.labels.key/value (descontinuado) additional.fields |
| address | target.ip |
| fd | about.labels.key/value (descontinuado) additional.fields |
| socket | about.labels.key/value (descontinuado) additional.fields |
| path | target.process.file.full_path |
| net_namespace | about.labels.key/value (descontinuado) additional.fields |
logged_in_users
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema logged_in_users e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| usuário | target.user.userid |
| tty | about.labels.key/value (descontinuado) additional.fields |
| host | target.hostname |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| sid | about.labels.key/value (descontinuado) additional.fields |
| registry_hive | about.labels.key/value (descontinuado) additional.fields |
logon_sessions
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema logon_sessions e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| logon_id | about.labels.key/value (descontinuado) additional.fields |
| usuário | target.user.user_display_name |
| logon_domain | about.labels.key/value (descontinuado) additional.fields |
| authentication_package | about.labels.key/value (descontinuado) additional.fields |
| logon_type | about.labels.key/value (descontinuado) additional.fields |
| session_id | network.session_id |
| logon_sid | about.labels.key/value (descontinuado) additional.fields |
| logon_time | about.labels.key/value (descontinuado) additional.fields |
| logon_server | about.labels.key/value (descontinuado) additional.fields |
| dns_domain_name | network.dns_domain |
| upn | about.labels.key/value (descontinuado) additional.fields |
| logon_script | about.labels.key/value (descontinuado) additional.fields |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value (descontinuado) additional.fields |
| home_directory_drive | about.labels.key/value (descontinuado) additional.fields |
lxd_certificates
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema lxd_certificates e o SO Linux:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome | security_result.detection_fields.key/value |
| tipo | security_result.detection_fields.key/value |
| Impressão digital | security_result.detection_fields.key/value |
| certificado | security_result.detection_fields.key/value |
lxd_networks
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema lxd_networks e o SO Linux:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome | about.labels.key/value (descontinuado) additional.fields |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| gerenciado | about.labels.key/value (descontinuado) additional.fields |
| ipv4_address | about.labels.key/value (descontinuado) additional.fields |
| ipv6_address | about.labels.key/value (descontinuado) additional.fields |
| used_by | about.labels.key/value (descontinuado) additional.fields |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value (descontinuado) additional.fields |
| packets_sent | about.labels.key/value (descontinuado) additional.fields |
| hwaddr | about.labels.key/value (descontinuado) additional.fields |
| estado | about.labels.key/value (descontinuado) additional.fields |
| mtu | about.labels.key/value (descontinuado) additional.fields |
managed_policies
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema managed_policies e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| domínio | target.administrative_domain |
| uuid | about.labels.key/value (descontinuado) additional.fields |
| nome | about.labels.key/value (descontinuado) additional.fields |
| valor | about.labels.key/value (descontinuado) additional.fields |
| nome de usuário | target.user.user_display_name |
| manual | about.labels.key/value (descontinuado) additional.fields |
memory_devices
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema memory_devices e os SOs Linux e macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| handle | about.labels.key/value (descontinuado) additional.fields |
| array_handle | about.labels.key/value (descontinuado) additional.fields |
| form_factor | about.labels.key/value (descontinuado) additional.fields |
| total_width | about.labels.key/value (descontinuado) additional.fields |
| data_width | about.labels.key/value (descontinuado) additional.fields |
| tamanho | about.labels.key/value (descontinuado) additional.fields |
| set | about.labels.key/value (descontinuado) additional.fields |
| device_locator | about.labels.key/value (descontinuado) additional.fields |
| bank_locator | about.labels.key/value (descontinuado) additional.fields |
| memory_type | about.labels.key/value (descontinuado) additional.fields |
| memory_type_details | about.labels.key/value (descontinuado) additional.fields |
| max_speed | about.labels.key/value (descontinuado) additional.fields |
| configured_clock_speed | about.labels.key/value (descontinuado) additional.fields |
| fabricante | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value (descontinuado) additional.fields |
| min_voltage | about.labels.key/value (descontinuado) additional.fields |
| max_voltage | about.labels.key/value (descontinuado) additional.fields |
| configured_voltage | about.labels.key/value (descontinuado) additional.fields |
ntdomains
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os esquemas ntdomains e OS Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome | about.labels.key/value (descontinuado) additional.fields |
| client_site_name | about.labels.key/value (descontinuado) additional.fields |
| dc_site_name | about.labels.key/value (descontinuado) additional.fields |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value (descontinuado) additional.fields |
| domain_name | target.administrative_domain |
| status | about.labels.key/value (descontinuado) additional.fields |
ntfs_acl_permissions
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema ntfs_acl_permissions e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| participante | about.labels.key/value (descontinuado) additional.fields |
| acesso | about.labels.key/value (descontinuado) additional.fields |
| inherited_from | about.labels.key/value (descontinuado) additional.fields |
os_version
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema os_version e os sistemas operacionais macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome | about.labels.key/value (descontinuado) additional.fields |
| version | principal.platform_version |
| principal | about.labels.key/value (descontinuado) additional.fields |
| menor | about.labels.key/value (descontinuado) additional.fields |
| patch | principal.platform_patch_level |
| build | about.labels.key/value (descontinuado) additional.fields |
| plataforma | principal.platform |
| platform_like | about.labels.key/value (descontinuado) additional.fields |
| codinome | about.labels.key/value (descontinuado) additional.fields |
| arch | about.labels.key/value (descontinuado) additional.fields |
| install_date | about.labels.key/value (descontinuado) additional.fields |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
| mount_namespace_id | about.labels.key/value (descontinuado) additional.fields |
osquery_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema osquery_events e os sistemas operacionais macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome | target.resource.name |
| editor | about.label.key/value |
| tipo | about.label.key/value |
| assinaturas | about.label.key/value |
| ao vivo | about.label.key/value |
| atualizações | about.label.key/value |
| ativo | about.label.key/value |
patches
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os patches de esquema e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| csname | target.hostname |
| hotfix_id | about.labels.key/value (descontinuado) additional.fields |
| caption | about.labels.key/value (descontinuado) additional.fields |
| description | metadata.description |
| fix_comments | about.labels.key/value (descontinuado) additional.fields |
| installed_by | about.labels.key/value (descontinuado) additional.fields |
| install_date | about.labels.key/value (descontinuado) additional.fields |
| installed_on | about.labels.key/value (descontinuado) additional.fields |
pci_devices
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema pci_devices e os SOs Linux e macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| pci_slot | principal.labels.key/value (descontinuado) additional.fields |
| pci_class | principal.labels.key/value (descontinuado) additional.fields |
| motorista | principal.labels.key/value (descontinuado) additional.fields |
| fornecedor | principal.labels.key/value (descontinuado) additional.fields |
| vendor_id | principal.labels.key/value (descontinuado) additional.fields |
| modelo | principal.asset.hardware.model |
| model_id | principal.labels.key/value (descontinuado) additional.fields |
| subsystem | principal.labels.key/value (descontinuado) additional.fields |
| express | principal.labels.key/value (descontinuado) additional.fields |
| trovoada | principal.labels.key/value (descontinuado) additional.fields |
| removível | principal.labels.key/value (descontinuado) additional.fields |
| pci_class_id | principal.labels.key/value (descontinuado) additional.fields |
| pci_subclass_id | principal.labels.key/value (descontinuado) additional.fields |
| pci_subclass | principal.labels.key/value (descontinuado) additional.fields |
| subsystem_vendor_id | principal.labels.key/value (descontinuado) additional.fields |
| subsystem_vendor | principal.labels.key/value (descontinuado) additional.fields |
| subsystem_model_id | principal.labels.key/value (descontinuado) additional.fields |
| subsystem_model | principal.labels.key/value (descontinuado) additional.fields |
tubos
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os pipes de esquema e o SO Linux:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| pid | target.process.pid |
| nome | target.resource.name |
| instâncias | about.labels.key/value (descontinuado) additional.fields |
| max_instances | about.labels.key/value (descontinuado) additional.fields |
| flags | about.labels.key/value (descontinuado) additional.fields |
powershell_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema "powershell_events" e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| tempo | metadata.collected_timestamp |
| datetime | about.labels.key/value (descontinuado) additional.fields |
| script_block_id | about.labels.key/value (descontinuado) additional.fields |
| script_block_count | about.labels.key/value (descontinuado) additional.fields |
| script_text | about.labels.key/value (descontinuado) additional.fields |
| script_name | about.labels.key/value (descontinuado) additional.fields |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value (descontinuado) additional.fields |
process_envs
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema process_envs e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| pid | target.process.pid |
| chave | about.labels.key |
| valor | about.labels.value |
process_events
A tabela a seguir lista os campos de registro e os mapeamentos da UDM correspondentes para o esquema process_events e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| version | target.platform_version |
| seq_num | about.labels.key/value (descontinuado) additional.fields |
| global_seq_num | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| path | target.file.full_path |
| primária | target.process.parent_process.pid |
| original_parent | about.labels.key/value (descontinuado) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (descontinuado) additional.fields |
| env | about.labels.key/value (descontinuado) additional.fields |
| env_count | about.labels.key/value (descontinuado) additional.fields |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (descontinuado) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value (descontinuado) additional.fields |
| nome de usuário | target.user.user_display_name |
| signing_id | about.labels.key/value (descontinuado) additional.fields |
| team_id | about.labels.key/value (descontinuado) additional.fields |
| cdhash | about.labels.key/value (descontinuado) additional.fields |
| platform_binary | about.labels.key/value (descontinuado) additional.fields |
| exit_code | about.labels.key/value (descontinuado) additional.fields |
| child_pid | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| event_type | about.labels.key/value (descontinuado) additional.fields |
| eid | about.labels.key/value (descontinuado) additional.fields |
process_file_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema process_file_events e o SO Linux:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| operação | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| executável | about.labels.key/value (descontinuado) additional.fields |
| parcial | about.labels.key/value (descontinuado) additional.fields |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| path | target.file.full_path |
| dest_path | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| auid | about.labels.key/value (descontinuado) additional.fields |
| euid | about.labels.key/value (descontinuado) additional.fields |
| egid | about.labels.key/value (descontinuado) additional.fields |
| fsuid | about.labels.key/value (descontinuado) additional.fields |
| fsgid | about.labels.key/value (descontinuado) additional.fields |
| suid | about.labels.key/value (descontinuado) additional.fields |
| sgid | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
process_open_sockets
A tabela a seguir lista os campos de registro e os mapeamentos da UDM correspondentes para o esquema process_open_sockets e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| pid | principal.process.pid |
| fd | about.labels.key/value (descontinuado) additional.fields |
| socket | about.labels.key/value (descontinuado) additional.fields |
| família | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| path | target.file.full_path |
| estado | about.labels.key/value (descontinuado) additional.fields |
| net_namespace | about.labels.key/value (descontinuado) additional.fields |
processes
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os processos de esquema e SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| pid | target.process.pid |
| nome | about.labels.key/value (descontinuado) additional.fields |
| path | target.process.file.full_path |
| cmdline | target.process.command_line |
| estado | target.process.attribute.labels.key/value |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| root | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | about.labels.key/value (descontinuado) additional.fields |
| egid | about.labels.key/value (descontinuado) additional.fields |
| suid | about.labels.key/value (descontinuado) additional.fields |
| sgid | about.labels.key/value (descontinuado) additional.fields |
| on_disk | about.labels.key/value (descontinuado) additional.fields |
| wired_size | about.labels.key/value (descontinuado) additional.fields |
| resident_size | about.labels.key/value (descontinuado) additional.fields |
| total_size | about.labels.key/value (descontinuado) additional.fields |
| user_time | about.labels.key/value (descontinuado) additional.fields |
| system_time | about.labels.key/value (descontinuado) additional.fields |
| disk_bytes_read | about.labels.key/value (descontinuado) additional.fields |
| disk_bytes_written | about.labels.key/value (descontinuado) additional.fields |
| start_time | about.labels.key/value (descontinuado) additional.fields |
| primária | target.process.parent_process.pid |
| pgroup | about.labels.key/value (descontinuado) additional.fields |
| threads | about.labels.key/value (descontinuado) additional.fields |
| legal | about.labels.key/value (descontinuado) additional.fields |
| elevated_token | about.labels.key/value (descontinuado) additional.fields |
| secure_process | about.labels.key/value (descontinuado) additional.fields |
| protection_type | about.labels.key/value (descontinuado) additional.fields |
| virtual_process | about.labels.key/value (descontinuado) additional.fields |
| elapsed_time | about.labels.key/value (descontinuado) additional.fields |
| handle_count | about.labels.key/value (descontinuado) additional.fields |
| percent_processor_time | about.labels.key/value (descontinuado) additional.fields |
| upid | about.labels.key/value (descontinuado) additional.fields |
| uppid | about.labels.key/value (descontinuado) additional.fields |
| cpu_type | about.labels.key/value (descontinuado) additional.fields |
| cpu_subtype | about.labels.key/value (descontinuado) additional.fields |
programas
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os programas de esquema e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome | target.resource.name |
| version | target.platform_version |
| install_location | about.labels.key/value (descontinuado) additional.fields |
| install_source | about.labels.key/value (descontinuado) additional.fields |
| idioma | about.labels.key/value (descontinuado) additional.fields |
| editor | about.labels.key/value (descontinuado) additional.fields |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value (descontinuado) additional.fields |
| identifying_number | about.labels.key/value (descontinuado) additional.fields |
scheduled_tasks
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema scheduled_tasks e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome | target.resource.name |
| ação | security_result.action_details |
| path | target.file.full_path |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| estado | about.labels.key/value (descontinuado) additional.fields |
| escondida | about.labels.key/value (descontinuado) additional.fields |
| last_run_time | about.labels.key/value (descontinuado) additional.fields |
| next_run_time | about.labels.key/value (descontinuado) additional.fields |
| last_run_message | about.labels.key/value (descontinuado) additional.fields |
| last_run_code | about.labels.key/value (descontinuado) additional.fields |
seccomp_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema seccomp_events e o SO Linux:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| auid | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| ses | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| comm | about.labels.key/value (descontinuado) additional.fields |
| exe | target.file.full_path |
| sig | about.labels.key/value (descontinuado) additional.fields |
| arch | about.labels.key/value (descontinuado) additional.fields |
| syscall | about.labels.key/value (descontinuado) additional.fields |
| compat | about.labels.key/value (descontinuado) additional.fields |
| ip | about.labels.key/value (descontinuado) additional.fields |
| código | about.labels.key/value (descontinuado) additional.fields |
seLinux_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os esquemas seLinux_events e OS Linux:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| mensagem | metadata.description |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
shadow
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o shadow de esquema e o SO Linux:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| password_status | about.labels.key/value (descontinuado) additional.fields |
| hash_alg | about.labels.key/value (descontinuado) additional.fields |
| last_change | about.labels.key/value (descontinuado) additional.fields |
| min | about.labels.key/value (descontinuado) additional.fields |
| max | about.labels.key/value (descontinuado) additional.fields |
| aviso | about.labels.key/value (descontinuado) additional.fields |
| inativo | about.labels.key/value (descontinuado) additional.fields |
| expire | about.labels.key/value (descontinuado) additional.fields |
| flag | about.labels.key/value (descontinuado) additional.fields |
| nome de usuário | principal.user.user_display_name |
shell_history
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o shell_history do esquema e os SOs Linux, macOS e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| comando | principal.process.command_line |
| history_file | principal.process.file.full_path |
shimcache
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o shimcache de esquema e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| entry | about.labels.key/value (descontinuado) additional.fields |
| path | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value (descontinuado) additional.fields |
signature
A tabela a seguir lista os campos de registro e os mapeamentos da UDM correspondentes para a assinatura do esquema e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| hash_resources | about.labels.key/value (descontinuado) additional.fields |
| arch | about.labels.key/value (descontinuado) additional.fields |
| item assinado | target.file.pe_file.signature_info.verified |
| identificador | target.file.pe_file.signature_info.signer |
| cdhash | about.labels.key/value (descontinuado) additional.fields |
| team_identifier | about.labels.key/value (descontinuado) additional.fields |
| autoridade | about.labels.key/value (descontinuado) additional.fields |
sip_config
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema sip_config e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| config_flag | about.labels.key/value (descontinuado) additional.fields |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| enabled_nvram | about.labels.key/value (descontinuado) additional.fields |
socket_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema socket_events e os SOs Linux e macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ação | security_result.action_details |
| pid | target.process.pid |
| path | target.process.file.full_path |
| fd | about.labels.key/value (descontinuado) additional.fields |
| auid | target.user.userid |
| status | about.labels.key/value (descontinuado) additional.fields |
| família | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| socket | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
| sucesso | about.labels.key/value (descontinuado) additional.fields |
sudoers
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os esquemas sudoers e SO Linux, macOS, freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| source | about.labels.key/value (descontinuado) additional.fields |
| cabeçalho | about.labels.key/value (descontinuado) additional.fields |
| rule_details | about.labels.key/value (descontinuado) additional.fields |
syslog_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema syslog_events e o SO Linux:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| datetime | about.labels.key/value (descontinuado) additional.fields |
| host | target.hostname |
| gravidade, | security_result.severity (enum) |
| residencial geriátrico | about.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
| mensagem | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
system_info
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema system_info e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome do host | principal.administrative_domain |
| uuid | about.labels.key/value (descontinuado) additional.fields |
| cpu_type | about.labels.key/value (descontinuado) additional.fields |
| cpu_subtype | about.labels.key/value (descontinuado) additional.fields |
| cpu_brand | about.labels.key/value (descontinuado) additional.fields |
| cpu_physical_cores | about.labels.key/value (descontinuado) additional.fields |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value (descontinuado) additional.fields |
| physical_memory | about.labels.key/value (descontinuado) additional.fields |
| hardware_vendor | about.labels.key/value (descontinuado) additional.fields |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value (descontinuado) additional.fields |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value (descontinuado) additional.fields |
| board_model | about.labels.key/value (descontinuado) additional.fields |
| board_version | about.labels.key/value (descontinuado) additional.fields |
| board_serial | about.labels.key/value (descontinuado) additional.fields |
| computer_name | about.labels.key/value (descontinuado) additional.fields |
| local_hostname | about.labels.key/value (descontinuado) additional.fields |
tpm_info
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema tpm_info e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| em poucos segundos em uma infraestrutura | about.labels.key/value (descontinuado) additional.fields |
| manufacturer_version | about.labels.key/value (descontinuado) additional.fields |
| manufacturer_id | about.labels.key/value (descontinuado) additional.fields |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value (descontinuado) additional.fields |
| spec_version | about.labels.key/value (descontinuado) additional.fields |
usb_devices
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema "usb_devices" e os SOs Linux e macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| usb_address | about.labels.key/value (descontinuado) additional.fields |
| usb_port | about.labels.key/value (descontinuado) additional.fields |
| fornecedor | about.labels.key/value (descontinuado) additional.fields |
| vendor_id | about.labels.key/value (descontinuado) additional.fields |
| version | about.labels.key/value (descontinuado) additional.fields |
| modelo | target.asset.hardware.model |
| model_id | about.labels.key/value (descontinuado) additional.fields |
| serial | target.asset.hardware.serial_number |
| classe | about.labels.key/value (descontinuado) additional.fields |
| subclasse | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| removível | about.labels.key/value (descontinuado) additional.fields |
user_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema user_events e os SOs Linux, macOS e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| auid | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| mensagem | metadata.description |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| path | target.file.full_path |
| address | about.labels.key/value (descontinuado) additional.fields |
| terminal | about.labels.key/value (descontinuado) additional.fields |
| tempo | metadata.collected_timestamp |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
user_groups
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os grupos de usuários do esquema e os SOs Linux, macOS e Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
usuários
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os usuários do esquema e os SOs macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value (descontinuado) additional.fields |
| gid_signed | about.labels.key/value (descontinuado) additional.fields |
| nome de usuário | principal.user.user_display_name |
| description | about.labels.key/value (descontinuado) additional.fields |
| diretório | about.labels.key/value (descontinuado) additional.fields |
| shell | about.labels.key/value (descontinuado) additional.fields |
| uuid | principal.user.product_object_id |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| is_hidden | about.labels.key/value (descontinuado) additional.fields |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
wifi_networks
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema wifi_networks e o SO macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ssid | target.labels.key/value (descontinuado) additional.fields |
| network_name | target.labels.key/value (descontinuado) additional.fields |
| security_type | target.labels.key/value (descontinuado) additional.fields |
| last_connected | about.labels.key/value (descontinuado) additional.fields |
| passpoint | about.labels.key/value (descontinuado) additional.fields |
| possibly_hidden | about.labels.key/value (descontinuado) additional.fields |
| roaming | about.labels.key/value (descontinuado) additional.fields |
| roaming_profile | about.labels.key/value (descontinuado) additional.fields |
| captive_portal | about.labels.key/value (descontinuado) additional.fields |
| auto_login | target.labels.key/value (descontinuado) additional.fields |
| temporarily_disabled | target.labels.key/value (descontinuado) additional.fields |
| desativado | target.labels.key/value (descontinuado) additional.fields |
windows_crashes
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para os esquemas "Windows_crashes" e "OS Windows":
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| datetime | about.labels.key/value (descontinuado) additional.fields |
| module | about.labels.key/value (descontinuado) additional.fields |
| path | target.process.file.full_path |
| pid | target.process.pid |
| tid | about.labels.key/value (descontinuado) additional.fields |
| version | about.labels.key/value (descontinuado) additional.fields |
| process_uptime | about.labels.key/value (descontinuado) additional.fields |
| stack_trace | about.labels.key/value (descontinuado) additional.fields |
| exception_code | about.labels.key/value (descontinuado) additional.fields |
| exception_message | about.labels.key/value (descontinuado) additional.fields |
| exception_address | about.labels.key/value (descontinuado) additional.fields |
| registros | about.labels.key/value (descontinuado) additional.fields |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value (descontinuado) additional.fields |
| nome de usuário | target.user.user_display_name |
| machine_name | about.labels.key/value (descontinuado) additional.fields |
| major_version | about.labels.key/value (descontinuado) additional.fields |
| minor_version | about.labels.key/value (descontinuado) additional.fields |
| build_number | target.platform_version |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| crash_path | about.labels.key/value (descontinuado) additional.fields |
windows_eventlog
O analisador de eventos do Windows (WINEVTLOG) mapeia esses eventos. Consulte Coletar dados de eventos do Microsoft Windows para mais informações."
windows_events
O analisador de eventos do Windows (WINEVTLOG) mapeia esses eventos. Consulte Coletar dados de eventos do Microsoft Windows para mais informações.
windows_firewall_rules
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema Windows_firewall_rules e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome | about.labels.key/value (descontinuado) additional.fields |
| app_name | target.application |
| ação | security_result.action (enum) |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| agrupamento | about.labels.key/value (descontinuado) additional.fields |
| direção | network.direction |
| protocolo | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value (descontinuado) additional.fields |
| profile_domain | about.labels.key/value (descontinuado) additional.fields |
| profile_private | about.labels.key/value (descontinuado) additional.fields |
| profile_public | about.labels.key/value (descontinuado) additional.fields |
| service_name | about.labels.key/value (descontinuado) additional.fields |
windows_security_center
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema Windows_security_center e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| firewall | security_result.detection_fields.key/value |
| autoupdate | security_result.detection_fields.key/value |
| antivírus | security_result.detection_fields.key/value |
| antispyware | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema Windows_security_products e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| nome | target.resource.name |
| estado | about.labels.key/value (descontinuado) additional.fields |
| state_timestamp | about.labels.key/value (descontinuado) additional.fields |
| remediation_path | about.labels.key/value (descontinuado) additional.fields |
| signatures_up_to_date | about.labels.key/value (descontinuado) additional.fields |
wmi_bios_info
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema wmi_bios_info e o SO Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome | about.labels.key/value (descontinuado) additional.fields |
| valor | about.labels.key/value (descontinuado) additional.fields |
yara
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema yara e os SOs Linux, macOS, freebsd e Windows:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| correspondências | about.labels.key/value (descontinuado) additional.fields |
| contagem | about.labels.key/value (descontinuado) additional.fields |
| sig_group | security_result.detection_fields.key/value |
| sigfile | security_result.detection_fields.key/value |
| sigrule | security_result.detection_fields.key/value |
| strings | about.labels.key/value (descontinuado) additional.fields |
| tags | about.labels.key/value (descontinuado) additional.fields |
| sigurl | security_result.detection_fields.key/value |
yara_events
A tabela a seguir lista os campos de registro e os mapeamentos correspondentes da UDM para o esquema yara_events e os sistemas operacionais Linux e macOS:
| Campo de registro | Mapeamento da UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| target_path | target.file.full_path |
| categoria | about.labels.key/value (descontinuado) additional.fields |
| ação | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| correspondências | about.labels.key/value (descontinuado) additional.fields |
| contagem | about.labels.key/value (descontinuado) additional.fields |
| strings | about.labels.key/value (descontinuado) additional.fields |
| tags | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
A seguir
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.