Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Wazuh

Compatível com:

Google SecOps SIEM

Visão geral

Esse analisador do Wazuh ingere registros formatados em SYSLOG e JSON, normaliza campos em um formato comum e os enriquece com metadados específicos do Wazuh. Em seguida, ele usa uma série de instruções condicionais com base nos campos event_type e rule_id para mapear os dados de registro brutos para o tipo e os campos de evento da UDM adequados, processando vários formatos de registro e casos extremos no ecossistema do Wazuh.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Instância do Google SecOps.
Uma instância ativa do Wazuh.
Acesso privilegiado aos arquivos de configuração do Wazuh.

Configurar feeds

Para configurar um feed, siga estas etapas:

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Wazuh.
Selecione Webhook como o Tipo de origem.
Selecione Wazuh como o Tipo de registro.
Clique em Próxima.
Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.
Clique em Próxima.
Revise a configuração do feed na tela Finalizar e clique em Enviar.
Clique em Gerar chave secreta para autenticar o feed.
Copie e armazene a chave secreta. Não é possível ver essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas isso torna a anterior obsoleta.
Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
Clique em Concluído.

Criar uma chave de API para o feed de webhook

Acesse **Google Cloud console > Credenciais.

Ir para Credenciais
Clique em Criar credenciais e, em seguida, selecione Chave de API.
Restrinja o acesso da chave de API à API Google Security Operations.

Especifique o URL do endpoint

No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed do webhook.
Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Recomendação: especifique a chave de API como um cabeçalho em vez de no URL. Se o cliente de webhook não aceitar cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```

Substitua:

ENDPOINT_URL: o URL do endpoint do feed.
API_KEY: a chave de API para autenticar no Google Security Operations.
SECRET: a chave secreta gerada para autenticar o feed.

Configurar o webhook do Wazuh Cloud

Conclua as etapas a seguir para configurar o webhook da nuvem do Wazuh:

Faça login no Wazuh Cloud.
Acesse Configurações, localizado no menu do painel à esquerda em Gerenciamento do servidor.
Clique em Editar configuração.
Adicione o seguinte bloco de integração na seção <integration> da configuração.
- Se a seção não existir, copie todo o bloco com <integration> para criar um.
- Substitua os valores de marcador pelos detalhes reais do Google SecOps:

<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>

CHRONICLE_REGION: sua região do Google SecOps (por exemplo, us, europe-west1).
GOOGLE_PROJECT_NUMBER: o número do seu projeto do Google Cloud.
LOCATION: sua região do Google SecOps (por exemplo, us, europe-west1).
CUSTOMER_ID: seu ID de cliente do Google SecOps.
FEED_ID: o ID do seu feed do Google SecOps.
API_KEY: a chave de API do Google Cloud que hospeda o Google SecOps.
SECRET: o segredo do seu feed do Google SecOps.
alert_format: defina como json para compatibilidade com o Google SecOps.
level: especifica o nível mínimo de alerta a ser encaminhado. O 0 envia todos os alertas.

Clique no botão Salvar.
Clique em Reiniciar wazuh-manager.

Configurar o webhook local do Wazuh

Siga estas etapas para configurar o webhook local do Wazuh:

Acesse seu gerenciador do Wazuh no local.
Acesse o diretório /var/ossec/etc/.
Abra o arquivo ossec.conf usando um editor de texto (por exemplo, nano, vim).
Adicione o seguinte bloco de integração na seção <integration> da configuração.
- Se a seção não existir, copie todo o bloco com <integration> para criar um.
- Substitua os valores de marcador pelos detalhes reais do Google SecOps:
```
<integration>
   <name>google-chronicle</name>
   <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
   <alert_format>json</alert_format>
   <level>0</level>  
</integration>
```
- CHRONICLE_REGION: sua região do Google SecOps (por exemplo, us, europe-west1).
- GOOGLE_PROJECT_NUMBER: o número do seu projeto do Google Cloud.
- LOCATION: sua região do Google SecOps (por exemplo, us, europe-west1).
- CUSTOMER_ID: seu ID de cliente do Google SecOps.
- FEED_ID: o ID do seu feed do Google SecOps.
- API_KEY: a chave de API do Google Cloud que hospeda o Google SecOps.
- SECRET: o segredo do seu feed do Google SecOps.
- alert_format: defina como json para compatibilidade com o Google SecOps.
- level: especifica o nível mínimo de alerta a ser encaminhado. O 0 envia todos os alertas.
Reinicie o gerenciador do Wazuh para aplicar as mudanças:
```
sudo systemctl restart wazuh-manager
```

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
`Acct-Authentic`	`event.idm.read_only_udm.security_result.authentication_mechanism`	Mapeado diretamente do campo `Acct-Authentic`.
`Acct-Status-Type`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `Acct-Status-Type`. A chave é definida como "Acct-Status-Type".
`agent.id`	`event.idm.read_only_udm.intermediary.resource.id`	Mapeado diretamente do campo `agent.id`.
`agent.ip`	`event.idm.read_only_udm.intermediary.ip`, `event.idm.read_only_udm.intermediary.asset.ip`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `agent.ip`. Também usado para o IP principal/de destino em alguns casos com base no tipo de evento.
`agent.name`	`event.idm.read_only_udm.security_result.about.hostname`	Mapeado diretamente do campo `agent.name`.
`application`	`event.idm.read_only_udm.target.application`	Mapeado diretamente do campo `application` do Wazuh.
`audit-session-id`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente do campo `audit-session-id`.
`ClientIP`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `ClientIP`.
`ClientPort`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente do campo `ClientPort` e convertido em número inteiro.
`cmd`	`event.idm.read_only_udm.target.process.command_line`	Mapeado diretamente do campo `cmd`.
`CommandLine`	`event.idm.read_only_udm.target.process.command_line`	Mapeado diretamente do campo `CommandLine`.
`ConfigVersionId`	`event.idm.read_only_udm.additional.fields[].value.number_value`	Mapeado diretamente do campo `ConfigVersionId`. A chave é definida como "Config Version Id".
`data.Account Number`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `data.Account Number` para IDs de regra específicos.
`data.Control`	`event.idm.read_only_udm.security_result.action_details`	Mapeado diretamente do campo `data.Control` para IDs de regra específicos.
`data.Message`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente do campo `data.Message` para IDs de regra específicos.
`data.Profile`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `data.Profile` para IDs de regra específicos.
`data.Region`	`event.idm.read_only_udm.principal.location.name`	Mapeado diretamente do campo `data.Region` para IDs de regra específicos.
`data.Status`	`event.idm.read_only_udm.security_result.action`	Mapeado do campo `data.Status`. Se o valor for "Pass" ou "AUDIT_SUCCESS", a ação será definida como "ALLOW". Se o valor for "ERROR", "AUDIT_FAILURE" ou "FAIL", a ação será definida como "BLOCK".
`data.aws.awsRegion`	`event.idm.read_only_udm.principal.location.name`	Mapeado diretamente do campo `data.aws.awsRegion` para IDs de regra específicos.
`data.aws.eventID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente do campo `data.aws.eventID`. A chave é definida como "ID do evento".
`data.aws.eventName`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente do campo `data.aws.eventName` para IDs de regra específicos.
`data.aws.eventSource`	`event.idm.read_only_udm.metadata.url_back_to_product`	Mapeado diretamente do campo `data.aws.eventSource` para IDs de regra específicos.
`data.aws.eventType`	`event.idm.read_only_udm.metadata.product_event_type`	Mapeado diretamente do campo `data.aws.eventType` para IDs de regra específicos.
`data.aws.requestID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente do campo `data.aws.requestID`. A chave é definida como "ID da solicitação".
`data.aws.requestParameters.loadBalancerName`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente do campo `data.aws.requestParameters.loadBalancerName`. A chave é definida como "Nome do LoadBalancer".
`data.aws.sourceIPAddress`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `data.aws.sourceIPAddress` para IDs de regra específicos.
`data.aws.source_ip_address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `data.aws.source_ip_address`.
`data.aws.userIdentity.accountId`	`event.idm.read_only_udm.principal.user.product_object_id`	Mapeado diretamente do campo `data.aws.userIdentity.accountId` para IDs de regra específicos.
`data.aws.userIdentity.principalId`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `data.aws.userIdentity.principalId` para IDs de regra específicos.
`data.aws.userIdentity.sessionContext.sessionIssuer.arn`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente do campo `data.aws.userIdentity.sessionContext.sessionIssuer.arn`. A chave é definida como "ARN".
`data.aws.userIdentity.sessionContext.sessionIssuer.userName`	`event.idm.read_only_udm.principal.user.user_display_name`	Mapeado diretamente do campo `data.aws.userIdentity.sessionContext.sessionIssuer.userName` para IDs de regra específicos.
`data.command`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente do campo `data.command`.
`data.docker.message`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente do campo `data.docker.message` para tipos de eventos específicos.
`data.dstuser`	`event.idm.read_only_udm.target.user.userid`	Mapeado diretamente do campo `data.dstuser`.
`data.file`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente do campo `data.file`.
`data.package`	`event.idm.read_only_udm.target.asset.software[].name`	Mapeado diretamente do campo `data.package`.
`data.srcip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `data.srcip`.
`data.srcuser`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `data.srcuser`.
`data.subject.account_domain`	`event.idm.read_only_udm.target.administrative_domain`	Mapeado diretamente do campo `data.subject.account_domain` para IDs de regra específicos.
`data.subject.account_name`	`event.idm.read_only_udm.target.user.user_display_name`	Mapeado diretamente do campo `data.subject.account_name` para IDs de regra específicos.
`data.subject.security_id`	`event.idm.read_only_udm.target.user.windows_sid`	Mapeado diretamente do campo `data.subject.security_id` para IDs de regra específicos.
`data.title`	`event.idm.read_only_udm.target.resource.name`	Mapeado diretamente do campo `data.title`.
`data.version`	`event.idm.read_only_udm.target.asset.software[].version`	Mapeado diretamente do campo `data.version`.
`decoder.name`	`event.idm.read_only_udm.about.resource.name`, `event.idm.read_only_udm.target.application`	Mapeado diretamente do campo `decoder.name`. Também usado para aplicação de destino em alguns casos.
`decoder.parent`	`event.idm.read_only_udm.about.resource.parent`	Mapeado diretamente do campo `decoder.parent`.
`Description`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente do campo `Description`.
`Destination`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`	Analisado para extrair o IP e a porta de destino.
`DestinationIPAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `DestinationIPAddress`.
`DestinationPort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `DestinationPort` e convertido em número inteiro.
`device_ip_address`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `device_ip_address`.
`feature`	`event.idm.read_only_udm.metadata.product_event_type`	Mapeado diretamente do campo `feature`, às vezes combinado com `message_type`.
`file_path`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente do campo `file_path`.
`Framed-IP-Address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `Framed-IP-Address`.
`full_log`	`event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.about.labels[].value`	Analisado para extrair o número da porta, a descrição do resultado de segurança e o ID de logon do assunto.
`Hashes`	`event.idm.read_only_udm.target.process.file.sha256`, `event.idm.read_only_udm.target.process.file.md5`	Analisado para extrair hashes SHA256 e MD5.
`hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `hostname`.
`Image`	`event.idm.read_only_udm.target.process.file.full_path`	Mapeado diretamente do campo `Image`.
`IntegrityLevel`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `IntegrityLevel`. A chave é definida como "Nível de integridade".
`kv_data`	`event.idm.read_only_udm.target.process.file.full_path`, `event.idm.read_only_udm.target.process.pid`, `event.idm.read_only_udm.target.process.parent_process.file.full_path`, `event.idm.read_only_udm.target.process.parent_process.command_line`, `event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`, `event.idm.read_only_udm.target.process.product_specific_process_id`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Analisado para extrair vários campos relacionados à criação de processos, hashes de arquivos e descrição.
`kv_log_data`	`event.idm.read_only_udm.security_result.severity_details`	Analisado para extrair o nível do alerta.
`location`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente do campo `location`.
`LogonGuid`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `LogonGuid` após a remoção das chaves. A chave é definida como "Logon Guid".
`LogonId`	`event.idm.read_only_udm.about.labels[].value`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Usado para o ID de logon do assunto em eventos de logoff e mapeado diretamente para outros eventos. A chave é definida como "ID de logon".
`log_description`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente do campo `log_description`.
`log_message`	`event.idm.read_only_udm.target.file.full_path`, `event.idm.read_only_udm.metadata.description`	Analisado para extrair o caminho e a descrição do registro.
`manager.name`	`event.idm.read_only_udm.about.user.userid`, `event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `manager.name`. Também usado como ID do usuário principal em alguns casos.
`md5`	`event.idm.read_only_udm.target.process.file.md5`	Mapeado diretamente do campo `md5`.
`message`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.process.command_line`, `event.idm.read_only_udm.network.http.method`, `event.idm.read_only_udm.network.http.response_code`, `event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.principal.nat_ip`, `event.idm.read_only_udm.principal.nat_port`, `event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.network.session_id`, `event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.additional.fields[].value.number_value`, `event.idm.read_only_udm.target.url`, `event.idm.read_only_udm.target.application`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.rule_type`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.network.http.user_agent`, `event.idm.read_only_udm.principal.process.pid`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.severity_details`	Analisado usando grok para extrair vários campos, dependendo do formato do registro.
`message_data`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.network.sent_bytes`, `event.idm.read_only_udm.network.received_bytes`, `event.idm.read_only_udm.network.ip_protocol`, `event.idm.read_only_udm.metadata.event_type`	Analisados para extrair dados de mensagens, endereços IP, portas, bytes enviados/recebidos e tipo de evento.
`message_type`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`	Mapeado diretamente do campo `message_type`, às vezes combinado com `feature`. Também usado para descrição em alguns casos.
`method`	`event.idm.read_only_udm.network.http.method`	Mapeado diretamente do campo `method`.
`NAS-IP-Address`	`event.idm.read_only_udm.principal.nat_ip`	Mapeado diretamente do campo `NAS-IP-Address`.
`NAS-Port`	`event.idm.read_only_udm.principal.nat_port`	Mapeado diretamente do campo `NAS-Port` e convertido em número inteiro.
`NAS-Port-Type`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente do campo `NAS-Port-Type`. A chave é definida como "nas_port_type".
`NetworkDeviceName`	`event.idm.read_only_udm.intermediary.hostname`	Mapeado diretamente do campo `NetworkDeviceName` após a remoção das barras invertidas.
`ParentCommandLine`	`event.idm.read_only_udm.target.process.parent_process.command_line`	Mapeado diretamente do campo `ParentCommandLine`.
`ParentImage`	`event.idm.read_only_udm.target.process.parent_process.file.full_path`	Mapeado diretamente do campo `ParentImage`.
`ParentProcessGuid`	`event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`	Mapeado diretamente do campo `ParentProcessGuid` após a remoção das chaves e a adição do prefixo "ID:".
`ParentProcessId`	`event.idm.read_only_udm.target.process.parent_process.pid`	Mapeado diretamente do campo `ParentProcessId`.
`predecoder.hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `predecoder.hostname`.
`ProcessGuid`	`event.idm.read_only_udm.target.process.product_specific_process_id`	Mapeado diretamente do campo `ProcessGuid` após a remoção das chaves e a adição do prefixo "ID:".
`ProcessId`	`event.idm.read_only_udm.target.process.pid`	Mapeado diretamente do campo `ProcessId`.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Mapeado diretamente do campo `product_event_type`.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	Mapeado diretamente do campo `response_code` e convertido em número inteiro.
`rule.description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.summary`	Usado para determinar o tipo de evento e mapeado diretamente para o resumo do resultado de segurança.
`rule.id`	`event.idm.read_only_udm.metadata.product_log_id`, `event.idm.read_only_udm.security_result.rule_id`	Mapeado diretamente do campo `rule.id`.
`rule.info`	`event.idm.read_only_udm.target.url`	Mapeado diretamente do campo `rule.info`.
`rule.level`	`event.idm.read_only_udm.security_result.severity_details`	Usado para definir detalhes de gravidade.
`r_cat_name`	`event.idm.read_only_udm.metadata.event_type`	Usado para determinar o tipo de evento.
`r_msg_id`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo `r_msg_id`.
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Mapeado diretamente do campo `security_result.severity`.
`ServerIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `ServerIP`.
`ServerPort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `ServerPort` e convertido em número inteiro.
`sha256`	`event.idm.read_only_udm.target.process.file.sha256`	Mapeado diretamente do campo `sha256`.
`Source`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`	Analisado para extrair o IP e a porta principal.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `src_ip`.
`sr_description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.description`	Usado para determinar o tipo de evento e mapeado diretamente para a descrição do resultado de segurança.
`syscheck.md5_after`	`event.idm.read_only_udm.target.process.file.md5`	Mapeado diretamente do campo `syscheck.md5_after`.
`syscheck.md5_before`	`event.idm.read_only_udm.src.process.file.md5`	Mapeado diretamente do campo `syscheck.md5_before`.
`syscheck.path`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente do campo `syscheck.path`.
`syscheck.sha1_after`	`event.idm.read_only_udm.target.process.file.sha1`	Mapeado diretamente do campo `syscheck.sha1_after`.
`syscheck.sha1_before`	`event.idm.read_only_udm.src.process.file.sha1`	Mapeado diretamente do campo `syscheck.sha1_before`.
`syscheck.sha256_after`	`event.idm.read_only_udm.target.process.file.sha256`	Mapeado diretamente do campo `syscheck.sha256_after`.
`syscheck.sha256_before`	`event.idm.read_only_udm.src.process.file.sha256`	Mapeado diretamente do campo `syscheck.sha256_before`.
`syscheck.size_after`	`event.idm.read_only_udm.target.process.file.size`	Mapeado diretamente do campo `syscheck.size_after` e convertido em um número inteiro sem sinal.
`syscheck.size_before`	`event.idm.read_only_udm.src.process.file.size`	Mapeado diretamente do campo `syscheck.size_before` e convertido em um número inteiro sem sinal.
`syscheck.uname_after`	`event.idm.read_only_udm.principal.user.user_display_name`	Mapeado diretamente do campo `syscheck.uname_after`.
`target_url`	`event.idm.read_only_udm.target.url`	Mapeado diretamente do campo `target_url`.
`timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Mapeado diretamente do campo `timestamp`.
`Total_bytes_recv`	`event.idm.read_only_udm.network.received_bytes`	Mapeado diretamente do campo `Total_bytes_recv` e convertido em um número inteiro sem sinal.
`Total_bytes_send`	`event.idm.read_only_udm.network.sent_bytes`	Mapeado diretamente do campo `Total_bytes_send` e convertido em um número inteiro sem sinal.
`User-Name`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Mapeado diretamente do campo `User-Name` se não for um endereço MAC. Caso contrário, será analisado como um endereço MAC.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Mapeado diretamente do campo `user_agent`.
`user_id`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `user_id`.
`UserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Mapeado diretamente do campo `UserName` se não for um endereço MAC. Caso contrário, será analisado como um endereço MAC.
`VserverServiceIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `VserverServiceIP`.
`VserverServicePort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `VserverServicePort` e convertido em número inteiro.
`win.system.channel`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `win.system.channel`. A chave é definida como "channel".
`win.system.computer`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente do campo `win.system.computer`. A chave é definida como "computer".
`win.system.eventID`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo `win.system.eventID`.
`win.system.message_description`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente do campo `win.system.message_description`.
`win.system.processID`	`event.idm.read_only_udm.principal.process.pid`	Mapeado diretamente do campo `win.system.processID`.
`win.system.providerGuid`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente do campo `win.system.providerGuid`. A chave é definida como "providerGuid".
`win.system.providerName`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente do campo `win.system.providerName`. A chave é definida como "providerName".
`win.system.severityValue`	`event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.security_result.severity_details`	Mapeado diretamente do campo `win.system.severityValue` se for um valor de gravidade válido.
`win.system.systemTime`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `win.system.systemTime`. A chave é definida como "systemTime".
`win.system.threadID`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `win.system.threadID`. A chave é definida como "threadID".
N/A	`event.idm.read_only_udm.metadata.event_type`	Definido como "GENERIC_EVENT" como um valor padrão, substituído por uma lógica específica para diferentes tipos de eventos.
N/A	`event.idm.read_only_udm.extensions.auth.mechanism`	Definido como "REMOTE" para eventos de login.
N/A	`event.idm.read_only_udm.extensions.auth.type`	Definido como "PASSWORD" para eventos de login/logout, substituído por "MACHINE" em alguns eventos.
N/A	`event.idm.read_only_udm.network.ip_protocol`	Defina como "TCP" para conexões de rede TCP.
N/A	`event.idm.read_only_udm.security_result.action`	Defina como "ALLOW" para eventos de login e bem-sucedidos e "BLOCK" para eventos com falha.
N/A	`event.idm.read_only_udm.metadata.log_type`	Defina como "WAZUH".
N/A	`event.idm.read_only_udm.metadata.product_name`	Defina como "Wazuh".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.