CipherTrust Manager-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie CipherTrust Manager-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.
Hinweis
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- Windows Server 2016 oder höher oder Linux-Host mit
systemd - Netzwerkverbindung zwischen dem Bindplane-Agent und CipherTrust Manager
- Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
- Privilegierter Zugriff auf die CipherTrust Manager-Webkonsole
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
Speichern Sie die Datei sicher auf dem System, auf dem der BindPlane-Agent installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sc query observiq-otel-collectorDer Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sudo systemctl status observiq-otel-collectorDer Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.
Zusätzliche Installationsressourcen
Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Konfigurationsdatei suchen
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Konfigurationsdatei bearbeiten
Ersetzen Sie den gesamten Inhalt von
config.yamldurch die folgende Konfiguration:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/ciphertrust_manager: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: CIPHERTRUST_MANAGER raw_log_field: body service: pipelines: logs/ciphertrust_manager_to_chronicle: receivers: - udplog exporters: - chronicle/ciphertrust_manager
Konfigurationsparameter
Ersetzen Sie die folgenden Platzhalter:
Empfängerkonfiguration:
listen_address: IP-Adresse und Port, auf die gewartet werden soll:0.0.0.0, um alle Schnittstellen zu überwachen (empfohlen)- Port
514ist der Standard-Syslog-Port (erfordert Root unter Linux; verwenden Sie1514für Nicht-Root).
Exporter-Konfiguration:
creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Kunden-ID, die aus der Google SecOps Console kopiert wurdeendpoint: Regionale Endpunkt-URL:- USA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asien:
asia-southeast1-malachiteingestion-pa.googleapis.com - Eine vollständige Liste finden Sie unter Regionale Endpunkte.
- USA:
Konfigurationsdatei speichern
- Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie
Ctrl+O, dannEnterund dannCtrl+X. - Windows: Klicken Sie auf Datei > Speichern.
- Linux: Drücken Sie
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart observiq-otel-collectorPrüfen Sie, ob der Dienst ausgeführt wird:
sudo systemctl status observiq-otel-collectorLogs auf Fehler prüfen:
sudo journalctl -u observiq-otel-collector -f
Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
Eingabeaufforderung oder PowerShell als Administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorServices-Konsole:
- Drücken Sie
Win+R, geben Sieservices.mscein und drücken Sie die Eingabetaste. - Suchen Sie nach observIQ OpenTelemetry Collector.
- Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
Prüfen Sie, ob der Dienst ausgeführt wird:
sc query observiq-otel-collectorLogs auf Fehler prüfen:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Drücken Sie
Syslog für CipherTrust Manager konfigurieren
- Melden Sie sich in der CipherTrust Manager-Webkonsole an.
- Rufen Sie die Administratoreinstellungen > Benachrichtigungen > Syslog auf.
- Klicken Sie auf New Syslog Server (Neuer Syslog-Server).
- Geben Sie die folgenden Konfigurationsdetails an:
- Host: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Port: Geben Sie die Portnummer des Bindplane-Agents ein (Standard: 514).
- Log Format (Protokollformat): Wählen Sie RFC 5424 aus.
- Transport: Wählen Sie UDP aus.
- Klicken Sie auf Speichern.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
message |
about |
Zugeordnet: CEF → about |
deviceNtDomain |
about.administrative_domain |
Umbenannt/zugeordnet |
deviceExternalId |
about.asset.asset_id |
Direkt zugeordnet |
device_product |
about.asset.asset_id |
Direkt zugeordnet |
device_vendor |
about.asset.asset_id |
Direkt zugeordnet |
fileHash |
about.file.full_path |
Direkt zugeordnet |
filePath |
about.file.full_path |
Umbenannt/zugeordnet |
_hash |
about.file.sha256 |
Umbenannt/zugeordnet |
fileHash |
about.file.sha256 |
Umbenannt/zugeordnet |
fsize |
about.file.size |
Umbenannt/zugeordnet |
dvchost |
about.hostname |
Umbenannt/zugeordnet |
ips |
about.ip |
Zusammengeführt |
message |
about.ip |
Zugeordnet: CEF → ips |
dvc_mac |
about.mac |
Zugeordnet: slot → mac_address |
dvcmac |
about.mac |
Zusammengeführt |
mac_address |
about.mac |
Zusammengeführt |
message |
about.mac |
Zugeordnet: CEF → mac_address, CEF → dvcmac |
deviceTranslatedAddress |
about.nat_ip |
Zusammengeführt |
message |
about.nat_ip |
Zugeordnet: CEF → deviceTranslatedAddress |
Emne |
about.process.command_line |
Direkt zugeordnet |
Path |
about.process.command_line |
Direkt zugeordnet |
Subject |
about.process.command_line |
Direkt zugeordnet |
deviceProcessName |
about.process.command_line |
Umbenannt/zugeordnet |
dvcpid |
about.process.pid |
Umbenannt/zugeordnet |
message |
about.resource.attribute.permissions |
Zugeordnet: CEF → permissions |
permissions |
about.resource.attribute.permissions |
Zusammengeführt |
Internal_label |
additional.fields |
Zusammengeführt |
additional_alias_alias_field |
additional.fields |
Zusammengeführt |
additional_alias_index_field |
additional.fields |
Zusammengeführt |
additional_alias_type_field |
additional.fields |
Zusammengeführt |
additional_cfp1 |
additional.fields |
Zusammengeführt |
additional_cfp2 |
additional.fields |
Zusammengeführt |
additional_cfp3 |
additional.fields |
Zusammengeführt |
additional_cfp4 |
additional.fields |
Zusammengeführt |
additional_cn1 |
additional.fields |
Zusammengeführt |
additional_cn2 |
additional.fields |
Zusammengeführt |
additional_cn3 |
additional.fields |
Zusammengeführt |
additional_cs1 |
additional.fields |
Zusammengeführt |
additional_cs2 |
additional.fields |
Zusammengeführt |
additional_cs3 |
additional.fields |
Zusammengeführt |
additional_cs4 |
additional.fields |
Zusammengeführt |
additional_cs5 |
additional.fields |
Zusammengeführt |
additional_cs6 |
additional.fields |
Zusammengeführt |
additional_cs7 |
additional.fields |
Zusammengeführt |
additional_devicePayloadId |
additional.fields |
Zusammengeführt |
additional_eventId |
additional.fields |
Zusammengeführt |
additional_flexString1 |
additional.fields |
Zusammengeführt |
additional_fname |
additional.fields |
Zusammengeführt |
algorithm_label |
additional.fields |
Zusammengeführt |
app_connector_type_label |
additional.fields |
Zusammengeführt |
assignSelfAsOwner_label |
additional.fields |
Zusammengeführt |
auth_domain_label |
additional.fields |
Zusammengeführt |
client_name_label |
additional.fields |
Zusammengeführt |
client_type_label |
additional.fields |
Zusammengeführt |
codeDesc_label |
additional.fields |
Zusammengeführt |
code_label |
additional.fields |
Zusammengeführt |
createdAt_label |
additional.fields |
Zusammengeführt |
cs2 |
additional.fields |
Zugeordnet: arc_test → additional_cs2 |
cs5_label |
additional.fields |
Zusammengeführt |
customAttributes_label |
additional.fields |
Zusammengeführt |
deatils_domain_id_label |
additional.fields |
Zusammengeführt |
details_user_metadata_current_domain_id_label |
additional.fields |
Zusammengeführt |
details_user_metadata_current_persistedData_label |
additional.fields |
Zusammengeführt |
details_user_metadata_current_persistedData_paging_label |
additional.fields |
Zusammengeführt |
domain_id_label |
additional.fields |
Zusammengeführt |
domain_label |
additional.fields |
Zusammengeführt |
emptyMaterial_label |
additional.fields |
Zusammengeführt |
feature_label |
additional.fields |
Zusammengeführt |
format_label |
additional.fields |
Zusammengeführt |
generateKeyId_label |
additional.fields |
Zusammengeführt |
idType_label |
additional.fields |
Zusammengeführt |
id_label |
additional.fields |
Zusammengeführt |
identifier_label |
additional.fields |
Zusammengeführt |
interfaceName_label |
additional.fields |
Zusammengeführt |
interfaceType_label |
additional.fields |
Zusammengeführt |
label_label |
additional.fields |
Zusammengeführt |
message |
additional.fields |
Zugeordnete Werte (insgesamt 71, z.B. CEF → additional_eventId, CEF → `additional_devicePayloa... |
messageFormat_label |
additional.fields |
Zusammengeführt |
meta_label |
additional.fields |
Zusammengeführt |
objectType_label |
additional.fields |
Zusammengeführt |
ownerId_label |
additional.fields |
Zusammengeführt |
padded_label |
additional.fields |
Zusammengeführt |
permissions_label |
additional.fields |
Zusammengeführt |
record_type_id_label |
additional.fields |
Zusammengeführt |
refresh_token_counts_label |
additional.fields |
Zusammengeführt |
refresh_token_counts_no_label |
additional.fields |
Zusammengeführt |
refresh_token_counts_total_label |
additional.fields |
Zusammengeführt |
refresh_token_id_label |
additional.fields |
Zusammengeführt |
renew_refresh_token_label |
additional.fields |
Zusammengeführt |
requestId_label |
additional.fields |
Zusammengeführt |
requestIdentifierType_label |
additional.fields |
Zusammengeführt |
requestIdentifier_label |
additional.fields |
Zusammengeführt |
scope_label |
additional.fields |
Zusammengeführt |
service_label |
additional.fields |
Zusammengeführt |
switch_domain_id_label |
additional.fields |
Zusammengeführt |
undeletable_label |
additional.fields |
Zusammengeführt |
unexportable_label |
additional.fields |
Zusammengeführt |
version_label |
additional.fields |
Zusammengeführt |
xts_label |
additional.fields |
Zusammengeführt |
zone_id_label |
additional.fields |
Zusammengeführt |
details_grant_type |
extensions.auth.auth_details |
Direkt zugeordnet |
logon_type_temp |
extensions.auth.mechanism |
Zusammengeführt |
message |
extensions.auth.mechanism |
Zugeordnet: CEF → logon_type_temp, Get User → logon_type_temp |
message |
intermediary |
Zugeordnet: CEF → intermediary |
proxy_ip |
intermediary.ip |
Zusammengeführt |
msg |
metadata.description |
Umbenannt/zugeordnet |
Generated |
metadata.event_timestamp |
Geparst als yyyy-MM-ddTHH:mm:ss |
Received |
metadata.event_timestamp |
Geparst als yyyy-MM-ddTHH:mm:ss |
event_time |
metadata.event_timestamp |
Geparst als ISO8601 |
rt |
metadata.event_timestamp |
Geparst als yyyy-MM-ddTHH:mm:ssZ |
syslog_timestamp |
metadata.event_timestamp |
Geparst als MMM dd HH:mm:ss |
syslog_timestamp_with_year |
metadata.event_timestamp |
Geparst als MMM dd HH:mm:ss yyyy |
cef_message |
metadata.event_type |
Zugeordnet: (Use Key/Update Key/Export Key) → USER_RESOURCE_UPDATE_CONTENT |
event_name |
metadata.event_type |
Zugeordnet: "LogSpyware","LogPredictiveMachineLearning" → SCAN_UNCATEGORIZED |
has_principal |
metadata.event_type |
Zugeordnet: true → NETWORK_CONNECTION |
has_user |
metadata.event_type |
Zugeordnet: true → USER_UNCATEGORIZED |
message |
metadata.event_type |
Zugeordnete Werte (insgesamt 12, z. B. CEF → PROCESS_UNCATEGORIZED, CEF → SCAN_UNCATEGORIZED usw.) |
device_event_class_id |
metadata.product_event_type |
Direkt zugeordnet |
event_name |
metadata.product_event_type |
Direkt zugeordnet |
externalId |
metadata.product_log_id |
Direkt zugeordnet |
id |
metadata.product_log_id |
Direkt zugeordnet |
uid |
metadata.product_log_id |
Direkt zugeordnet |
device_product |
metadata.product_name |
Direkt zugeordnet |
product |
metadata.product_name |
Direkt zugeordnet |
product_name |
metadata.product_name |
Direkt zugeordnet |
device_version |
metadata.product_version |
Direkt zugeordnet |
device_vendor |
metadata.vendor_name |
Umbenannt/zugeordnet |
app_protocol_output |
network.application_protocol |
Direkt zugeordnet |
deviceDirection |
network.direction |
Zugeordnet: 0 → INBOUND, 1 → OUTBOUND |
message |
network.direction |
Zugeordnet: CEF → INBOUND, CEF → OUTBOUND |
requestMethod |
network.http.method |
Umbenannt/zugeordnet |
requestClientApplication |
network.http.user_agent |
Umbenannt/zugeordnet |
ip_protocol_out |
network.ip_protocol |
Direkt zugeordnet |
in |
network.received_bytes |
Umbenannt/zugeordnet |
out |
network.sent_bytes |
Umbenannt/zugeordnet |
sntdom |
principal.administrative_domain |
Umbenannt/zugeordnet |
sourceServiceName |
principal.application |
Umbenannt/zugeordnet |
syslog_host |
principal.asset.hostname |
Direkt zugeordnet |
details_user_metadata_current_domain_name |
principal.domain.name |
Direkt zugeordnet |
Group_name |
principal.group.group_display_name |
Direkt zugeordnet |
Gruppenavn |
principal.group.group_display_name |
Direkt zugeordnet |
Device_name |
principal.hostname |
Direkt zugeordnet |
Enhetsnavn |
principal.hostname |
Direkt zugeordnet |
shost |
principal.hostname |
Umbenannt/zugeordnet |
syslog_host |
principal.hostname |
Direkt zugeordnet |
client_ip |
principal.ip |
Zusammengeführt |
message |
principal.ip |
Zugeordnet: CEF → principal_ip, CEF → shost, CEF → client_ip, `(SSL Handshake failed... |
principal_ip |
principal.ip |
Zusammengeführt |
shost |
principal.ip |
Zusammengeführt |
mac |
principal.mac |
Zusammengeführt |
message |
principal.mac |
Zugeordnet: CEF → mac |
message |
principal.nat_ip |
Zugeordnet: CEF → sourceTranslatedAddress |
sourceTranslatedAddress |
principal.nat_ip |
Zusammengeführt |
sourceTranslatedPort |
principal.nat_port |
Umbenannt/zugeordnet |
spt |
principal.port |
Umbenannt/zugeordnet |
sproc |
principal.process.command_line |
Umbenannt/zugeordnet |
spid |
principal.process.pid |
Umbenannt/zugeordnet |
acc_label |
principal.resource.attribute.labels |
Zusammengeführt |
acct_label |
principal.resource.attribute.labels |
Zusammengeführt |
iss_label |
principal.resource.attribute.labels |
Zusammengeführt |
jti_label |
principal.resource.attribute.labels |
Zusammengeführt |
message |
principal.resource.attribute.labels |
Zugeordnete Werte (insgesamt 5, z.B. CEF → acct_label, CEF → acc_label, CEF → iss_label) |
sub_label |
principal.resource.attribute.labels |
Zusammengeführt |
message |
principal.user.attribute.roles |
Zugeordnet: CEF → principal_role |
principal_role |
principal.user.attribute.roles |
Zusammengeführt |
details_username |
principal.user.user_display_name |
Direkt zugeordnet |
suser |
principal.user.user_display_name |
Direkt zugeordnet |
username |
principal.user.user_display_name |
Direkt zugeordnet |
details_user_id |
principal.user.userid |
Direkt zugeordnet |
details_userid |
principal.user.userid |
Direkt zugeordnet |
suid |
principal.user.userid |
Umbenannt/zugeordnet |
user_id |
principal.user.userid |
Direkt zugeordnet |
username |
principal.user.userid |
Direkt zugeordnet |
_security_result |
security_result |
Zusammengeführt |
message |
security_result |
Zugeordnet: CEF → security_result |
_action |
security_result.action |
Zusammengeführt |
act |
security_result.action |
Zugeordnet: accept → _action, deny → _action |
message |
security_result.action |
Zugeordnet: CEF → _action |
Action_Taken |
security_result.action_details |
Direkt zugeordnet |
act |
security_result.action_details |
Direkt zugeordnet |
details_errorMessage |
security_result.action_details |
Direkt zugeordnet |
cat |
security_result.category_details |
Zusammengeführt |
message |
security_result.category_details |
Zugeordnet: CEF → cat |
Scan_Type |
security_result.description |
Direkt zugeordnet |
Type |
security_result.description |
Direkt zugeordnet |
message |
security_result.description |
Direkt zugeordnet |
msg_data_2 |
security_result.description |
Direkt zugeordnet |
infection_channel_label |
security_result.detection_fields |
Zusammengeführt |
message |
security_result.detection_fields |
Zugeordnete Werte (insgesamt 7, z.B. CEF → operation_label, CEF → operasjon_label, CEF → `... |
operasjon_label |
security_result.detection_fields |
Zusammengeführt |
operation_label |
security_result.detection_fields |
Zusammengeführt |
permission_label |
security_result.detection_fields |
Zusammengeführt |
spyware_Grayware_Type_label |
security_result.detection_fields |
Zusammengeführt |
threat_probability_label |
security_result.detection_fields |
Zusammengeführt |
tillatelse_label |
security_result.detection_fields |
Zusammengeführt |
mwProfile |
security_result.rule_name |
Direkt zugeordnet |
message |
security_result.severity |
Zugeordnet: CEF → LOW, CEF → MEDIUM, CEF → HIGH, CEF → CRITICAL |
severity |
security_result.severity |
Zugeordnet: "0", "1", "2", "3", "LOW" → LOW, „4“, „5“, „6“, „MEDIUM“, „SUBSTANTIAL“, „INFO“... |
Result |
security_result.summary |
Direkt zugeordnet |
appcategory |
security_result.summary |
Direkt zugeordnet |
reason |
security_result.summary |
Umbenannt/zugeordnet |
success |
security_result.summary |
Direkt zugeordnet |
Spyware |
security_result.threat_name |
Direkt zugeordnet |
Unknown_Threat |
security_result.threat_name |
Direkt zugeordnet |
Virus_Malware_Name |
security_result.threat_name |
Direkt zugeordnet |
oldFilePath |
src.file.full_path |
Umbenannt/zugeordnet |
oldFileSize |
src.file.size |
Umbenannt/zugeordnet |
client_ip |
src.ip |
Zusammengeführt |
message |
src.ip |
Zugeordnet: CEF → client_ip |
message |
src.resource.attribute.permissions |
Zugeordnet: CEF → old_permissions |
old_permissions |
src.resource.attribute.permissions |
Zusammengeführt |
cust_client_id |
src.user.product_object_id |
Direkt zugeordnet |
details_client_id |
src.user.product_object_id |
Direkt zugeordnet |
dntdom |
target.administrative_domain |
Umbenannt/zugeordnet |
destinationServiceName |
target.application |
Umbenannt/zugeordnet |
service |
target.application |
Direkt zugeordnet |
service_name |
target.application |
Direkt zugeordnet |
application |
target.domain.name |
Direkt zugeordnet |
details.size |
target.file.size |
Umbenannt/zugeordnet |
details.host |
target.hostname |
Direkt zugeordnet |
target_hostname |
target.hostname |
Direkt zugeordnet |
temp_dhost |
target.hostname |
Direkt zugeordnet |
IPv6_Address |
target.ip |
Zusammengeführt |
dst_ip |
target.ip |
Zusammengeführt |
ipv6 |
target.ip |
Zugeordnet: - → IPv6_Address |
message |
target.ip |
Zugeordnet: CEF → dst_ip, CEF → IPv6_Address |
mac_address |
target.mac |
Zusammengeführt |
message |
target.mac |
Zugeordnet: CEF → mac_address |
destination_translated_address |
target.nat_ip |
Zusammengeführt |
message |
target.nat_ip |
Zugeordnet: CEF → destination_translated_address |
destinationTranslatedPort |
target.nat_port |
Umbenannt/zugeordnet |
details.port |
target.port |
Umbenannt/zugeordnet |
dpt |
target.port |
Umbenannt/zugeordnet |
dproc |
target.process.command_line |
Umbenannt/zugeordnet |
File_name |
target.process.file.full_path |
Direkt zugeordnet |
Infected_Resource |
target.process.file.full_path |
Direkt zugeordnet |
Object |
target.process.file.full_path |
Direkt zugeordnet |
Objekt |
target.process.file.full_path |
Direkt zugeordnet |
dpid |
target.process.pid |
Umbenannt/zugeordnet |
account_label |
target.resource.attribute.labels |
Zusammengeführt |
connection_label |
target.resource.attribute.labels |
Zusammengeführt |
message |
target.resource.attribute.labels |
Zugeordnete Werte (insgesamt 6, z.B. CEF → resource_Type_label, CEF → name_label, CEF → `u... |
name_label |
target.resource.attribute.labels |
Zusammengeführt |
resource_Type_label |
target.resource.attribute.labels |
Zusammengeführt |
uri_label |
target.resource.attribute.labels |
Zusammengeführt |
usageMask_label |
target.resource.attribute.labels |
Zusammengeführt |
source |
target.resource.name |
Direkt zugeordnet |
request |
target.url |
Direkt zugeordnet |
message |
target.user.attribute.roles |
Zugeordnet: CEF → target_role |
target_role |
target.user.attribute.roles |
Zusammengeführt |
CustomerName |
target.user.user_display_name |
Direkt zugeordnet |
temp_duser |
target.user.user_display_name |
Direkt zugeordnet |
Bruker |
target.user.userid |
Direkt zugeordnet |
User_value |
target.user.userid |
Direkt zugeordnet |
temp_duid |
target.user.userid |
Direkt zugeordnet |
| – | metadata.event_type |
Konstante: GENERIC_EVENT |
| – | network.direction |
Konstante: INBOUND |
| – | network.ip_protocol |
Konstante: UDP |
| – | security_result.severity |
Konstante: LOW |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten