Cisco AMP for Endpoints-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cisco AMP for Endpoints-Logs mit Google Cloud Storage in Google Security Operations aufnehmen. Der Parser wandelt Rohlogs im JSON-Format in ein strukturiertes Format um, das dem Chronicle UDM entspricht. Es extrahiert Felder aus verschachtelten JSON-Objekten, ordnet sie dem UDM-Schema zu, identifiziert Ereigniskategorien, weist Schweregrade zu und generiert schließlich eine einheitliche Ereignisausgabe, wobei Sicherheitswarnungen gekennzeichnet werden, wenn bestimmte Bedingungen erfüllt sind.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • GCP-Projekt mit aktivierter Cloud Storage API
  • Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
  • Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
  • Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
  • Privilegierter Zugriff auf die Cisco AMP for Endpoints-Konsole

Cisco AMP for Endpoints-API-Anmeldedaten erfassen

  1. Melden Sie sich in der Cisco AMP for Endpoints-Konsole an.
  2. Rufen Sie Konten > API-Anmeldedaten auf.
  3. Klicken Sie auf New API Credential (Neue API-Anmeldedaten), um einen neuen API-Schlüssel und eine neue Client-ID zu erstellen.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Name der Anwendung: Geben Sie einen Namen ein, z. B. Chronicle SecOps Integration.
    • Umfang: Wählen Sie für das einfache Abrufen von Ereignissen die Option Schreibgeschützt aus.
  5. Klicken Sie auf Erstellen.
  6. Kopieren und speichern Sie die folgenden Details an einem sicheren Ort:
    • 3. API-Client-ID
    • API-Schlüssel
    • API-Basis-URL: Je nach Region:
      • USA: https://api.amp.cisco.com
      • EU: https://api.eu.amp.cisco.com
      • APJC: https://api.apjc.amp.cisco.com

Berechtigungen prüfen

So prüfen Sie, ob das Konto die erforderlichen Berechtigungen hat:

  1. Melden Sie sich in der Cisco AMP for Endpoints-Konsole an.
  2. Rufen Sie Konten > API-Anmeldedaten auf.
  3. Wenn Sie die Seite API-Anmeldedaten sehen und Ihre neu erstellten Anmeldedaten aufgeführt sind, haben Sie die erforderlichen Berechtigungen.
  4. Wenn Sie diese Option nicht sehen, bitten Sie Ihren Administrator, Ihnen Berechtigungen für den API-Zugriff zu erteilen.

API-Zugriff testen

  • Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

    # Replace with your actual credentials
AMP_CLIENT_ID="your-client-id"
AMP_API_KEY="your-api-key"
API_BASE="https://api.amp.cisco.com"

# Test API access
curl -v -u "${AMP_CLIENT_ID}:${AMP_API_KEY}" "${API_BASE}/v1/events?limit=1"

Google Cloud Storage-Bucket erstellen

  1. Rufen Sie die Google Cloud Console auf.
  2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
  3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
  4. Klicken Sie auf Bucket erstellen.

  5. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. cisco-amp-logs.
    Standorttyp Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
    Standort Wählen Sie den Speicherort aus, z. B. us-central1.
    Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
    Zugriffssteuerung Einheitlich (empfohlen)
    Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

  6. Klicken Sie auf Erstellen.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

  1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
  2. Klicken Sie auf Dienstkonto erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Name des Dienstkontos: Geben Sie cisco-amp-collector-sa ein.
    • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Cisco AMP for Endpoints logs ein.
  4. Klicken Sie auf Erstellen und fortfahren.
  5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
    1. Klicken Sie auf Rolle auswählen.
    2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
    3. Klicken Sie auf + Weitere Rolle hinzufügen.
    4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
    5. Klicken Sie auf + Weitere Rolle hinzufügen.
    6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
  6. Klicken Sie auf Weiter.
  7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

  • Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
  • Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
  • Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto (cisco-amp-collector-sa) Schreibberechtigungen für den GCS-Bucket:

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. cisco-amp-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
  6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

  1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
  2. Klicken Sie auf Thema erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Themen-ID: Geben Sie cisco-amp-events-trigger ein.
    • Übernehmen Sie die anderen Einstellungen.
  4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der Cisco AMP for Endpoints API abzurufen und in GCS zu schreiben.

  1. Rufen Sie in der GCP Console Cloud Run auf.
  2. Klicken Sie auf Dienst erstellen.
  3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

  4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Dienstname cisco-amp-events-collector
    Region Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
    Laufzeit Wählen Sie Python 3.12 oder höher aus.

  5. Im Abschnitt Trigger (optional):

    1. Klicken Sie auf + Trigger hinzufügen.
    2. Wählen Sie Cloud Pub/Sub aus.
    3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Pub/Sub-Thema (cisco-amp-events-trigger) aus.
    4. Klicken Sie auf Speichern.

  6. Im Abschnitt Authentifizierung:

    • Wählen Sie Authentifizierung erforderlich aus.
    • Wählen Sie Identity and Access Management (IAM) aus.
  1. Scrollen Sie zu Container, Netzwerk, Sicherheit und maximieren Sie diesen Bereich.
  2. Rufen Sie den Tab Sicherheit auf:
    • Dienstkonto: Wählen Sie das Dienstkonto aus (cisco-amp-collector-sa).

  3. Rufen Sie den Tab Container auf:

    • Klicken Sie auf Variablen und Secrets.

    • Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

      Variablenname Beispielwert Beschreibung
      GCS_BUCKET cisco-amp-logs Name des GCS-Buckets
      GCS_PREFIX cisco-amp-events/ Präfix für Protokolldateien
      STATE_KEY cisco-amp-events/state.json Statusdateipfad
      API_BASE https://api.amp.cisco.com API-Basis-URL
      AMP_CLIENT_ID your-client-id API-Client-ID
      AMP_API_KEY your-api-key API-Schlüssel
      PAGE_SIZE 500 Datensätze pro Seite
      MAX_PAGES 10 Maximale Anzahl abzurufender Seiten

  4. Scrollen Sie im Bereich Variablen und Secrets zu Anfragen:

    • Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.

  5. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

  6. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

  7. Klicken Sie auf Erstellen.

  8. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

  9. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

  1. Geben Sie main in das Feld Einstiegspunkt ein.

  2. Erstellen Sie im Inline-Codeeditor zwei Dateien:

    • Erste Datei: main.py::
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time
import base64

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'cisco-amp-events/')
STATE_KEY = os.environ.get('STATE_KEY', 'cisco-amp-events/state.json')
API_BASE = os.environ.get('API_BASE')
AMP_CLIENT_ID = os.environ.get('AMP_CLIENT_ID')
AMP_API_KEY = os.environ.get('AMP_API_KEY')
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '500'))
MAX_PAGES = int(os.environ.get('MAX_PAGES', '10'))

def parse_datetime(value: str) -> datetime:
    """Parse ISO datetime string to datetime object."""
    if value.endswith("Z"):
        value = value[:-1] + "+00:00"
    return datetime.fromisoformat(value)

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Cisco AMP events and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, API_BASE, AMP_CLIENT_ID, AMP_API_KEY]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        # Determine time window
        now = datetime.now(timezone.utc)
        last_time = None

        if isinstance(state, dict) and state.get("last_event_time"):
            try:
                last_time = parse_datetime(state["last_event_time"])
                # Overlap by 2 minutes to catch any delayed events
                last_time = last_time - timedelta(minutes=2)
            except Exception as e:
                print(f"Warning: Could not parse last_event_time: {e}")

        if last_time is None:
            last_time = now - timedelta(days=1)

        print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")

        # Fetch logs
        records, newest_event_time = fetch_logs(
            api_base=API_BASE,
            client_id=AMP_CLIENT_ID,
            api_key=AMP_API_KEY,
            start_time=last_time,
            page_size=PAGE_SIZE,
            max_pages=MAX_PAGES,
        )

        if not records:
            print("No new log records found.")
            save_state(bucket, STATE_KEY, now.isoformat())
            return

        # Write to GCS as NDJSON
        timestamp = now.strftime('%Y%m%d_%H%M%S')
        object_key = f"{GCS_PREFIX}cisco_amp_events_{timestamp}.ndjson"
        blob = bucket.blob(object_key)

        ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
        blob.upload_from_string(ndjson, content_type='application/x-ndjson')

        print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

        # Update state with newest event time
        if newest_event_time:
            save_state(bucket, STATE_KEY, newest_event_time)
        else:
            save_state(bucket, STATE_KEY, now.isoformat())

        print(f"Successfully processed {len(records)} records")

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f"Warning: Could not load state: {e}")

    return {}

def save_state(bucket, key, last_event_time_iso: str):
    """Save the last event timestamp to GCS state file."""
    try:
        state = {'last_event_time': last_event_time_iso}
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
        print(f"Saved state: last_event_time={last_event_time_iso}")
    except Exception as e:
        print(f"Warning: Could not save state: {e}")

def fetch_logs(api_base: str, client_id: str, api_key: str, start_time: datetime, page_size: int, max_pages: int):
    """
    Fetch logs from Cisco AMP for Endpoints API with pagination and rate limiting.

    Args:
        api_base: API base URL
        client_id: API client ID
        api_key: API key
        start_time: Start time for log query
        page_size: Number of records per page
        max_pages: Maximum total pages to fetch

    Returns:
        Tuple of (records list, newest_event_time ISO string)
    """
    # Clean up base URL
    base_url = api_base.rstrip('/')

    endpoint = f"{base_url}/v1/events"

    # Create Basic Auth header
    auth_string = f"{client_id}:{api_key}"
    auth_bytes = auth_string.encode('utf-8')
    auth_b64 = base64.b64encode(auth_bytes).decode('utf-8')

    headers = {
        'Authorization': f'Basic {auth_b64}',
        'Accept': 'application/json',
        'User-Agent': 'GoogleSecOps-CiscoAMPCollector/1.0'
    }

    records = []
    newest_time = None
    page_num = 0
    backoff = 1.0

    # Build initial URL with start_date parameter
    start_date_str = start_time.isoformat() + 'Z' if not start_time.isoformat().endswith('Z') else start_time.isoformat()
    next_url = f"{endpoint}?limit={page_size}&start_date={start_date_str}"

    while next_url and page_num < max_pages:
        page_num += 1

        try:
            response = http.request('GET', next_url, headers=headers)

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f"Rate limited (429). Retrying after {retry_after}s...")
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status != 200:
                print(f"HTTP Error: {response.status}")
                response_text = response.data.decode('utf-8')
                print(f"Response body: {response_text[:256]}")
                return [], None

            data = json.loads(response.data.decode('utf-8'))

            # Extract events from response
            page_results = data.get('data', [])

            if not page_results:
                print(f"No more results (empty page)")
                break

            print(f"Page {page_num}: Retrieved {len(page_results)} events")
            records.extend(page_results)

            # Track newest event time
            for event in page_results:
                try:
                    event_time = event.get('date')
                    if event_time:
                        if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                            newest_time = event_time
                except Exception as e:
                    print(f"Warning: Could not parse event time: {e}")

            # Check for next page URL in metadata
            next_url = data.get('metadata', {}).get('links', {}).get('next')

            if not next_url:
                print("No more pages (no next URL)")
                break

        except Exception as e:
            print(f"Error fetching logs: {e}")
            return [], None

    print(f"Retrieved {len(records)} total records from {page_num} pages")
    return records, newest_time
    • Zweite Datei: requirements.txt::
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

  4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

  1. Rufen Sie in der GCP Console Cloud Scheduler auf.
  2. Klicken Sie auf Job erstellen.

  3. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Name cisco-amp-events-collector-hourly
    Region Dieselbe Region wie für die Cloud Run-Funktion auswählen
    Frequenz 0 * * * * (jede Stunde, zur vollen Stunde)
    Zeitzone Zeitzone auswählen (UTC empfohlen)
    Zieltyp Pub/Sub
    Thema Wählen Sie das Pub/Sub-Thema aus (cisco-amp-events-trigger).
    Nachrichtentext {} (leeres JSON-Objekt)

  4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

  • Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

    Häufigkeit Cron-Ausdruck Anwendungsfall
    Alle 5 Minuten */5 * * * * Hohes Volumen, niedrige Latenz
    Alle 15 Minuten */15 * * * * Mittleres Suchvolumen
    Stündlich 0 * * * * Standard (empfohlen)
    Alle 6 Stunden 0 */6 * * * Geringes Volumen, Batchverarbeitung
    Täglich 0 0 * * * Erhebung von Verlaufsdaten

Integration testen

  1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
  2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
  3. Warten Sie einige Sekunden.
  4. Rufen Sie Cloud Run > Dienste auf.
  5. Klicken Sie auf den Namen Ihrer Funktion (cisco-amp-events-collector).
  6. Klicken Sie auf den Tab Logs.

  7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Achten Sie auf Folgendes:

    Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote X records to gs://cisco-amp-logs/cisco-amp-events/cisco_amp_events_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

  8. Rufen Sie Cloud Storage > Buckets auf.

  9. Klicken Sie auf den Namen Ihres Buckets.

  10. Rufen Sie den Präfixordner (cisco-amp-events/) auf.

  11. Prüfen Sie, ob eine neue .ndjson-Datei mit dem aktuellen Zeitstempel erstellt wurde.

Wenn in den Logs Fehler angezeigt werden, gehen Sie so vor:

  • HTTP 401: API-Anmeldedaten in Umgebungsvariablen prüfen
  • HTTP 403: Prüfen, ob das Konto die erforderlichen Berechtigungen hat
  • HTTP 429: Ratenbegrenzung – die Funktion wird automatisch mit Backoff wiederholt.
  • Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Cisco AMP for Endpoints logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Cisco AMP als Logtyp aus.

  7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
  6. Klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um Cisco AMP for Endpoints-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Cisco AMP for Endpoints logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Cisco AMP als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://cisco-amp-logs/cisco-amp-events/
      • Ersetzen Sie:
        • cisco-amp-logs: Der Name Ihres GCS-Buckets.
        • cisco-amp-events/: Präfix/Ordnerpfad, in dem Logs gespeichert werden.

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

      • Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.

      • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.

    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
aktiv read_only_udm.principal.asset.active Direkt von „computer.active“ zugeordnet
connector_guid read_only_udm.principal.asset.uuid Direkt zugeordnet von computer.connector_guid
Datum read_only_udm.metadata.event_timestamp.seconds Direkt aus dem Datum zugeordnet, nachdem es in einen Zeitstempel konvertiert wurde
Erkennung read_only_udm.security_result.threat_name Direkt aus der Erkennung zugeordnet
detection_id read_only_udm.security_result.detection_fields.value Direkt aus detection_id zugeordnet
disposition read_only_udm.security_result.description Direkt aus file.disposition zugeordnet
error.error_code read_only_udm.security_result.detection_fields.value Direkt aus „error.error_code“ zugeordnet
error.description read_only_udm.security_result.detection_fields.value Direkt aus „error.description“ zugeordnet
event_type read_only_udm.metadata.product_event_type Direkt aus „event_type“ zugeordnet
event_type_id read_only_udm.metadata.product_log_id Direkt zugeordnet von event_type_id
external_ip read_only_udm.principal.asset.external_ip Direkt von „computer.external_ip“ zugeordnet
file.file_name read_only_udm.target.file.names Direkt aus „file.file_name“ zugeordnet
file.file_path read_only_udm.target.file.full_path Direkt aus file.file_path zugeordnet
file.identity.md5 read_only_udm.security_result.about.file.md5 Direkt aus file.identity.md5 zugeordnet
file.identity.md5 read_only_udm.target.file.md5 Direkt aus file.identity.md5 zugeordnet
file.identity.sha1 read_only_udm.security_result.about.file.sha1 Direkt aus file.identity.sha1 zugeordnet
file.identity.sha1 read_only_udm.target.file.sha1 Direkt aus file.identity.sha1 zugeordnet
file.identity.sha256 read_only_udm.security_result.about.file.sha256 Direkt aus file.identity.sha256 zugeordnet
file.identity.sha256 read_only_udm.target.file.sha256 Direkt aus file.identity.sha256 zugeordnet
file.parent.disposition read_only_udm.target.resource.attribute.labels.value Direkt aus file.parent.disposition zugeordnet
file.parent.file_name read_only_udm.target.resource.attribute.labels.value Direkt aus „file.parent.file_name“ zugeordnet
file.parent.identity.md5 read_only_udm.target.resource.attribute.labels.value Direkt aus file.parent.identity.md5 zugeordnet
file.parent.identity.sha1 read_only_udm.target.resource.attribute.labels.value Direkt aus file.parent.identity.sha1 zugeordnet
file.parent.identity.sha256 read_only_udm.target.resource.attribute.labels.value Direkt zugeordnet von file.parent.identity.sha256
file.parent.process_id read_only_udm.security_result.about.process.parent_process.pid Direkt aus file.parent.process_id zugeordnet
file.parent.process_id read_only_udm.target.process.parent_process.pid Direkt aus file.parent.process_id zugeordnet
Hostname read_only_udm.principal.asset.hostname Direkt von computer.hostname zugeordnet
Hostname read_only_udm.target.hostname Direkt von computer.hostname zugeordnet
Hostname read_only_udm.target.asset.hostname Direkt von computer.hostname zugeordnet
ip read_only_udm.principal.asset.ip Direkt zugeordnet von computer.network_addresses.ip
ip read_only_udm.principal.ip Direkt zugeordnet von computer.network_addresses.ip
ip read_only_udm.security_result.about.ip Direkt zugeordnet von computer.network_addresses.ip
mac read_only_udm.principal.mac Direkt zugeordnet von computer.network_addresses.mac
mac read_only_udm.security_result.about.mac Direkt zugeordnet von computer.network_addresses.mac
die Ausprägung read_only_udm.security_result.severity Wird basierend auf dem Schweregrad nach der folgenden Logik zugeordnet: - „Mittel“ –> „MEDIUM“ - „Hoch“ oder „Kritisch“ –> „HIGH“ - „Niedrig“ –> „LOW“ - Andernfalls –> „UNKNOWN_SEVERITY“
timestamp read_only_udm.metadata.event_timestamp.seconds Direkt aus dem Zeitstempel abgeleitet
Nutzer read_only_udm.security_result.about.user.user_display_name Direkt von „computer.user“ zugeordnet
Nutzer read_only_udm.target.user.user_display_name Direkt von „computer.user“ zugeordnet
vulnerabilities.cve read_only_udm.extensions.vulns.vulnerabilities.cve_id Direkt aus „vulnerabilities.cve“ zugeordnet
vulnerabilities.name read_only_udm.extensions.vulns.vulnerabilities.name Direkt aus „vulnerabilities.name“ zugeordnet
vulnerabilities.score read_only_udm.extensions.vulns.vulnerabilities.cvss_base_score Direkt aus „vulnerabilities.score“ abgeleitet, nachdem der Wert in eine Gleitkommazahl konvertiert wurde.
vulnerabilities.url read_only_udm.extensions.vulns.vulnerabilities.vendor_knowledge_base_article_id Direkt aus „vulnerabilities.url“ zugeordnet
vulnerabilities.version read_only_udm.extensions.vulns.vulnerabilities.cvss_version Direkt zugeordnet von „vulnerabilities.version“
is_alert Auf „true“ setzen, wenn „event_type“ einer der folgenden Werte ist: „Threat Detected“, „Exploit Prevention“, „Executed malware“, „Potential Dropper Infection“, „Multiple Infected Files“, „Vulnerable Application Detected“ oder wenn „security_result.severity“ „HIGH“ ist.
is_significant Auf „true“ setzen, wenn „event_type“ einer der folgenden Werte ist: „Threat Detected“, „Exploit Prevention“, „Executed malware“, „Potential Dropper Infection“, „Multiple Infected Files“, „Vulnerable Application Detected“ oder wenn „security_result.severity“ „HIGH“ ist.
read_only_udm.metadata.event_type Wird anhand der Werte für „event_type“ und „security_result.severity“ bestimmt. – Wenn „event_type“ einer der folgenden Werte ist: „Executed malware“, „Threat Detected“, „Potential Dropper Infection“, „Cloud Recall Detection“, „Malicious Activity Detection“, „Exploit Prevention“, „Multiple Infected Files“, „Cloud IOC“, „System Process Protection“, „Vulnerable Application Detected“, „Threat Quarantined“, „Execution Blocked“, „Cloud Recall Quarantine Successful“, „Cloud Recall Restore from Quarantine Failed“, „Cloud Recall Quarantine Attempt Failed“, „Quarantine Failure“, wird der Ereignistyp auf „SCAN_FILE“ gesetzt. – Wenn security_result.severity „HIGH“ ist, wird der Ereignistyp auf „SCAN_FILE“ festgelegt. – Wenn sowohl „has_principal“ als auch „has_target“ auf „true“ gesetzt sind, wird der Ereignistyp auf „SCAN_UNCATEGORIZED“ festgelegt. – Andernfalls wird der Ereignistyp auf „GENERIC_EVENT“ gesetzt.
read_only_udm.metadata.log_type Auf „CISCO_AMP“ festgelegt
read_only_udm.metadata.vendor_name Auf „CISCO_AMP“ festgelegt
read_only_udm.security_result.about.file.full_path Direkt aus file.file_path zugeordnet
read_only_udm.security_result.about.hostname Direkt von computer.hostname zugeordnet
read_only_udm.security_result.about.user.user_display_name Direkt von „computer.user“ zugeordnet
read_only_udm.security_result.detection_fields.key Legen Sie „Detection ID“ für detection_id, „Error Code“ für error.error_code, „Error Description“ für error.description, „Parent Disposition“ für file.parent.disposition, „Parent File Name“ für file.parent.file_name, „Parent MD5“ für file.parent.identity.md5, „Parent SHA1“ für file.parent.identity.sha1 und „Parent SHA256“ für file.parent.identity.sha256 fest.
read_only_udm.security_result.summary Auf „event_type“ setzen, wenn „event_type“ einer der folgenden Werte ist: „Threat Detected“, „Exploit Prevention“, „Executed malware“, „Potential Dropper Infection“, „Multiple Infected Files“, „Vulnerable Application Detected“ oder wenn „security_result.severity“ „HIGH“ ist.
read_only_udm.target.asset.ip Direkt zugeordnet von computer.network_addresses.ip
read_only_udm.target.resource.attribute.labels.key Legen Sie „Parent Disposition“ für file.parent.disposition, „Parent File Name“ für file.parent.file_name, „Parent MD5“ für file.parent.identity.md5, „Parent SHA1“ für file.parent.identity.sha1 und „Parent SHA256“ für file.parent.identity.sha256 fest.
timestamp.seconds Direkt aus dem Datum zugeordnet, nachdem es in einen Zeitstempel konvertiert wurde

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten