Cisco ISE-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Cisco ISE-Logs mit Bindplane in Google Security Operations aufnehmen.
Der Parser extrahiert Felder aus Syslog- und CSV-formatierten Logs von Cisco ISE. Sie verwendet „grok“ und/oder „kv“, um die Log-Nachricht zu parsen, und ordnet diese Werte dann dem Unified Data Model (UDM) zu. Außerdem werden Standardmetadatenwerte für die Ereignisquelle und den Ereignistyp festgelegt.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- Windows Server 2016 oder höher oder Linux-Host mit
systemd - Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
- Privilegierter Zugriff auf das Cisco ISE-Verwaltungsportal
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sc query observiq-otel-collector
Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sudo systemctl status observiq-otel-collector
Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.
Zusätzliche Installationsressourcen
Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Konfigurationsdatei suchen
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Konfigurationsdatei bearbeiten
Ersetzen Sie den gesamten Inhalt von
config.yamldurch die folgende Konfiguration:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'CISCO_ISE' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Konfigurationsparameter
Ersetzen Sie die folgenden Platzhalter:
Empfängerkonfiguration:
udplog: Verwenden Sieudplogfür UDP-Syslog odertcplogfür TCP-Syslog.0.0.0.0: IP-Adresse, an der gelauscht werden soll (0.0.0.0, um an allen Schnittstellen zu lauschen)514: Portnummer, die überwacht werden soll (Standard-Syslog-Port)
Exporter-Konfiguration:
creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: Kunden-ID aus dem Abschnitt „Kunden-ID abrufen“endpoint: Regionale Endpunkt-URL:- USA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asien:
asia-southeast1-malachiteingestion-pa.googleapis.com - Eine vollständige Liste finden Sie unter Regionale Endpunkte.
- USA:
log_type: Logtyp genau wie in Chronicle (CISCO_ISE)
Konfigurationsdatei speichern
- Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie
Ctrl+O, dannEnterund dannCtrl+X. - Windows: Klicken Sie auf Datei > Speichern.
- Linux: Drücken Sie
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart observiq-otel-collectorPrüfen Sie, ob der Dienst ausgeführt wird:
sudo systemctl status observiq-otel-collectorLogs auf Fehler prüfen:
sudo journalctl -u observiq-otel-collector -f
Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
Eingabeaufforderung oder PowerShell als Administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorServices-Konsole:
- Drücken Sie
Win+R, geben Sieservices.mscein und drücken Sie die Eingabetaste. - Suchen Sie nach observIQ OpenTelemetry Collector.
Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
Prüfen Sie, ob der Dienst ausgeführt wird:
sc query observiq-otel-collectorLogs auf Fehler prüfen:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Drücken Sie
Syslog-Weiterleitung auf Cisco ISE konfigurieren
- Melden Sie sich im Cisco ISE-Verwaltungsportal an.
- Gehen Sie zu Administration > System > Logging > Remote Logging Targets (Verwaltung > System > Protokollierung > Ziele für die Remote-Protokollierung).
- Klicken Sie auf Hinzufügen, um ein neues Ziel für die Remote-Protokollierung zu erstellen.
- Geben Sie die folgenden Konfigurationsdetails an:
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B.
Google-SecOps-Bindplane. - Beschreibung: Geben Sie eine Beschreibung ein (optional).
- IP-Adresse: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein.
- Port: Geben Sie
514ein. - Einrichtungscode: Wählen Sie LOCAL6 (oder die gewünschte Einrichtung) aus.
- Maximale Länge: Geben Sie
8192(oder den maximal unterstützten Wert) ein. - Alarme in Syslog-Nachrichten einbeziehen: Aktivieren Sie diese Option, wenn Sie Alarme einbeziehen möchten.
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B.
- Klicken Sie auf Speichern.
- Rufen Sie Administration > System > Logging > Logging Categories auf.
- Wählen Sie jede Protokollierungskategorie aus, die Sie weiterleiten möchten, und klicken Sie auf Bearbeiten:
- AAA-Audit
- AAA-Diagnose
- Buchhaltung
- Administrator-Audit
- Überprüfung der Gerätekonfiguration und der Clientbereitstellung
- Profiler
- Systemdiagnose
- Verschieben Sie im Bereich Ziele das Ziel für die Remote-Protokollierung
Google-SecOps-Bindplanevon Verfügbar nach Ausgewählt. - Klicken Sie auf Speichern.
- Prüfen Sie die Bindplane-Agent-Logs, um zu sehen, ob Syslog-Nachrichten gesendet werden.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Bemerkung |
|---|---|---|
| AAA_Event | security_result.detection_fields | |
| AAA_Security_Result.detection_fields | aaa_service | |
| ac-user-agent | network.http.user_agent | |
| Acct-Authentic | security_result.detection_fields | |
| Acct-Delay-Time | security_result.detection_fields | |
| Acct-Input-Octets | security_result.detection_fields | |
| Acct-Input-Packets | security_result.detection_fields | |
| Acct-Output-Octets | security_result.detection_fields | |
| Acct-Output-Packets | security_result.detection_fields | |
| Acct-Session-Id | sec_result.detection_fields, additional.fields | |
| Acct-Session-Time | security_result.detection_fields | |
| Acct-Status-Type | security_result.detection_fields | |
| Acct-Terminate-Cause | security_result.detection_fields | |
| AcctReply-Status | security_result.detection_fields | |
| AcctRequest-Flags | security_result.detection_fields | |
| ACS_CiscoSecure_Defined_ACL | security_result.detection_fields | |
| AcsSessionID | sec_result.detection_fields, additional.fields | |
| Aktion | security_result.action_details | |
| action_details | security_result.action_details | |
| ActiveSessionCount | security_result.detection_fields | |
| ad_identifier | about.hostname | |
| ad_join_point | principal.administrative_domain | |
| ad_operating_system | principal.platform | |
| AD-Kontoname | principal.user.userid, target.hostname | |
| AD-Domain | principal.group.group_display_name | |
| AD-Domaincontroller | target.administrative_domain | |
| AD-Fehlerdetails | security_result.description | |
| AD-Forest | target.resource.attribute.labels | |
| AD-Groups-Names | principal.user.group_identifiers | |
| AD-Host-Candidate-Identities | sec_result.detection_fields | |
| AD-IP-Adresse | target.ip, target.asset.ip | |
| AD-Log-Id | sec_result.detection_fields | |
| AD-Site | target.location.name | |
| AD-Srv-Query | security_result.detection_fields | |
| AD-Srv-Record | security_result.detection_fields | |
| AD-User-Candidate-Identities | principal.user.attribute.labels | |
| AD-User-DNS-Domain | network.dns_domain | |
| AD-User-Join-Point | target.hostname, target.asset.hostname | |
| AD-User-NetBios-Name | principal.user.attribute.labels | |
| AD-User-Qualified-Name | principal.user.email_addresses | |
| AD-User-Resolved-DNs | principal.user.attribute.labels | |
| AD-User-Resolved-Identities | sec_result.detection_fields, principal.user.userid | |
| AD-User-Resolved-Identities | ||
| AD-User-SamAccount-Name | principal.user.attribute.labels | |
| Admin | principal.user.userid | |
| AdminInterface | principal.user.attribute.labels | |
| AdminIPAddress | principal.ip | |
| AdminName | principal.user.userid | |
| affected-dn | target.resource.name, target.resource.attribute.labels, target.resource.resource_type | target.resource.resource_type => "USER" |
| Airespace-Wlan-Id | additional.fields | |
| allowEasyWiredSession | sec_result.detection_fields, additional.fields | |
| AMInstalled | security_result.detection_fields | |
| assetDeviceType | principal.resource.name | |
| assetIncidentScore | security_result.detection_fields | |
| Audit_session_id | sec_result.detection_fields | |
| AuditSessionId | sec_result.detection_fields | |
| Authen-Reply-Status | security_result.detection_fields | |
| AuthenticationIdentityStore | sec_result.detection_fields, additional.fields | |
| AuthenticationMethod | security_result.detection_fields | |
| AuthenticationResult | security_result.action | |
| AuthenticationStatus | security_result.action, security_result.action_details | |
| Status der Antwort vom Autor | additional.fields | |
| AuthorizationFailureReason | security_result.detection_fields | |
| AuthorizationPolicyMatchedRule | security_result.rule_name | |
| av-pair-severity | security_result.detection_fields | |
| BYODRegistration | sec_result.detection_fields | |
| CacheUpdateTime | security_result.detection_fields | |
| Called-Station-ID | security_result.detection_fields, target.ip, target.mac | |
| Calling-Station-ID | security_result.detection_fields, principal.ip, principal.mac | |
| cdpCacheAddressType | security_result.detection_fields | |
| cdpCacheVersion | security_result.detection_fields | |
| cdpUndefined28 | security_result.detection_fields | |
| change-set | additional.fields | |
| Chargeable-User-Identity | principal.user.attribute.labels | |
| cisco-av-pair | additional.fields, security_result.detection_fields | |
| CiscoIOS | security_result.detection_fields | |
| Klasse | sec_result.detection_fields | |
| client_type | additional.fields | |
| client-iif-id | security_result.detection_fields | |
| ClientLatency | security_result.detection_fields, additional.fields | |
| CmdSet | target.process.command_line | |
| coa-push | security_result.detection_fields | |
| CoAClientInstanceDestinationIPAddress | target.ip, target.asset.ip | |
| coaReason | security_result.detection_fields | |
| coaSourceComponent | security_result.detection_fields | |
| coaType | security_result.detection_fields | |
| Komponente | security_result.detection_fields | |
| ConfigChangeData | security_result.detection_fields | |
| ConfigVersionId | sec_result.detection_fields, additional.fields | |
| connect-progress | security_result.detection_fields | |
| ConnectionStatus | sec_result.detection_fields | |
| ConnectionStatus=Failed | security_result.action ="BLOCK" | |
| Constructeurs | principal.asset.hardware.manufacturer | |
| counters_kvp | event.idm.read_only_udm.target.asset.attribute.labels | |
| CPMSessionID | security_result.detection_fields, additional.fields, network.session_id | |
| CreateTime | event.idm.read_only_udm.principal.asset.attribute.creation_time | |
| cts_security_group_tag | security_result.detection_fields | |
| cts-pac-opaque | security_result.detection_fields | |
| Datum/Uhrzeit | metadata.event_timestamp | |
| days_to_expiry | security_result.detection_fields | |
| DeltaRadiusRequestCount | security_result.detection_fields | |
| DeltaTacacsRequestCount | security_result.detection_fields | |
| Beschreibung | security_result.detection_fields | |
| DestinationIPAddress | target.ip, target.asset.ip | |
| DestinationIPAddress | target.ip, target.asset.ip | |
| DestinationPort | target.port | |
| DetailedInfo | sec_result.description | |
| Device_IP_Address | principal.ip, principal.asset.ip | |
| device-mac | principal.mac | |
| device-platform | principal.platform | |
| device-platform-version | principal.platform_version | |
| device-public-mac | principal.mac | |
| device-type | principal.asset.hardware.model | |
| device-uid | principal.resource.product_object_id | |
| device-uid-global | principal.asset.product_object_id | |
| DeviceIPAddress | principal.ip, target.ip, intermediary.ip | |
| DevicePort | principal.port, target.port, intermediary.port | |
| DeviceRegistrationStatus | sec_result.detection_fields | |
| dhcp-class-identifier | security_result.detection_fields | |
| dhcp-parameter-request-list | additional.fields | |
| Domaines | additional.fields | |
| DoReplicate | security_result.detection_fields | |
| DTLSSupport | security_result.detection_fields | |
| EAP-Schlüsselname | additional.fields | |
| EapTunnel | additional.fields | |
| EmailAddress | principal.user.email_addresses | |
| EnableFlag | additional.fields | |
| EnableSingleConnect | security_result.detection_fields | |
| End-of-LLDPDU | security_result.detection_fields | |
| Endpunkt-ID | principal.mac, principal.asset.mac | |
| EndpointCertainityMetric | sec_result.detection_fields | |
| EndpointIdentityGroup | principal.group.group_display_name | |
| EndpointIPAddress | principal.asset.ip | |
| EndPointMACAddress | principal.mac, principal.asset.mac | |
| EndPointMatchedProfile | security_result.about.labels, additional.fields | |
| EndpointNADAddress | sec_result.detection_fields | |
| EndpointOUI | sec_result.detection_fields | |
| EndpointPolicy | principal.asset.platform_software.platform_version, security_result.detection_fields | |
| EndPointPolicyID | security_result.detection_fields | |
| EndPointProfilerServer | target.hostname | |
| EndpointProperty | sec_result.detection_fields | |
| EndPointSource | target.resource.attribute.labels | |
| EndpointSourceEvent | sec_result.detection_fields | |
| EndpointUserAgent | network.http.user_agent | |
| EndPointVersion | security_result.detection_fields | |
| epid | security_result.detection_fields | |
| Fehlermeldung | additional.fields | |
| Event | additional.fields | |
| extended_key_usage_oid | additional.fields | |
| external_groups | additional.fields | |
| FailureFlag | security_result.detection_fields | |
| FailureReason | sec_result.detection_fields, additional.fields | |
| FeedService | security_result.detection_fields | |
| FirstCollection | event.idm.read_only_udm.principal.asset.first_discover_time | |
| foreign_ip | intermediary.ip | |
| FQSubjectName | security_result.detection_fields | |
| Framed-MTU | additional.fields | |
| Framed-Protocol | sec_result.detection_fields | |
| FramedIPAddress | security_result.detection_fields | |
| group_name | principal.group.group_display_name | |
| Header-Flags | security_result.detection_fields | |
| HostIdentityGroup | additional.fields | |
| IdentityAccessRestricted | security_result.detection_fields | |
| IdentityGroup | principal.group.group_display_name | |
| IdentityGroupID | principal.group.product_object_id | |
| IdentityPolicyMatchedRule | sec_result.about.labels, additional.fields | |
| IdentitySelectionMatchedRule | sec_result.detection_fields | |
| Zeitüberschreitung bei Inaktivität | security_result.detection_fields | |
| idletime | security_result.detection_fields | |
| IMEI | target.asset.product_object_id | |
| inacl_rule | security_result.detection_fields | |
| intermediary_hostname | intermediary.hostname | |
| ionTimeStamp | security_result.detection_fields | |
| ios-version | principal.asset.software.version | |
| ip_inacl_rule | security_result.detection_fields | |
| ip_source_ip | principal.ip, principal.asset.ip | |
| IpAddress | principal.ip, principal.asset.ip | |
| IPSEC | additional.fields | |
| ise_port | principal.port, intermediary.port | |
| ISELocalAddress | intermediary.ip, principal.ip | |
| ISEModuleName | sec_result.detection_fields | |
| ISEPolicySetName | target.resource.name | |
| ISEServiceName | sec_result.detection_fields | |
| IsMachineAuthentication | security_result.detection_fields | |
| IsMachineIdentity | security_result.detection_fields | |
| IsRegistered | security_result.detection_fields | |
| Aussteller | about.labels | |
| IsThirdPartyDeviceFlow | sec_result.detection_fields, additional.fields | |
| key_usage | additional.fields | |
| LastActivity | event.idm.read_only_udm.principal.asset.last_discover_time | |
| LastNmapScanTime | sec_result.detection_fields | |
| LicenseType | additional.fields | |
| lldpManAddress | security_result.detection_fields | |
| lldpPortDescription | security_result.detection_fields | |
| lldpPortId | security_result.detection_fields | |
| lldpSystemCapabilitiesMap | security_result.detection_fields | |
| lldpSystemDescription | security_result.detection_fields | |
| lldpTimeToLive | security_result.detection_fields | |
| lldpUndefined127 | security_result.detection_fields | |
| localport | principal.port | |
| Standort | principal.location.country_or_region, target.location.country_or_region, security_result.detection_fields | |
| log-id | metadata.product_log_id | |
| logstash.ingest.host | intermediary.hostname | |
| logstash.ingest.timestamp | metadata.ingested_timestamp | |
| logstash.irm_environment | additional.fields | |
| logstash.irm_region | additional.fields | |
| logstash.irm_site | additional.fields | |
| logstash.process.host | intermediary.hostname | |
| logstash.process.timestamp | metadata.collected_timestamp | |
| MAC | principal.mac | |
| mac_UserName | principal.mac | |
| MacAddress | principal.mac | |
| MajorVersion | security_result.detection_fields | |
| Hersteller | target.asset.hardware.manufacturer | |
| MatchedPolicy | security_result.detection_fields | |
| MatchedPolicyID | security_result.rule_id | |
| MDMFailureReason | sec_result.detection_fields | |
| MDMServerName | metadata.product_name | |
| mDNS | security_result.detection_fields | |
| NACHRICHT | security_result.description | |
| MFCInfoEndpointType | principal.asset.asset_type, principal.asset.attribute.labels | |
| MinorVersion | security_result.detection_fields | |
| MisconfiguredClientFixReason | security_result.detection_fields | |
| Modell | target.asset.hardware.model | |
| Model_Name | principal.asset.attribute.labels | |
| msg_class | metadata.description | |
| msg_sev | security_result.severity, sec_result.severity_details | |
| msg_text | metadata.description, security_result.severity, sec_result.severity_details,security_result.action | |
| msg_text | security_result.action | |
| NAD-Adresse | principal.ip | |
| NADAddress | intermediary.ip | |
| Name | principal.group.group_identifiers | |
| nas_ip_address | principal.nat_ip | |
| NAS-Identifier | principal.labels | |
| NAS-IP-Adresse | principal.nat_ip, principal.ip | |
| NAS-Port | principal.port, principal.labels | |
| nas-update | security_result.detection_fields | |
| NASIdentifier | security_result.detection_fields, principal.labels | |
| NASPort | principal.nat_port, falls gültig, andernfalls security_result.detection_fields, principal.labels | |
| NASPortId | security_result.detection_fields, principal.labels | |
| NASPortType | security_result.detection_fields, principal.labels | |
| Name des Netzwerkgeräts | target.hostname, target.asset.hostname | |
| network_adapter | target.resource.name | |
| network_application_protocol_result | network.application_protocol | |
| NetworkDeviceGroups | sec_result.detection_fields | |
| NetworkDeviceGroups_IPSEC | additional.fields | |
| NetworkDeviceProfileId | principal.asset.asset_id | |
| NetworkDeviceProfileName | principal.asset.attribute.labels | |
| NmapScanCount | security_result.detection_fields | |
| ntp_server_1 | target.ip, target.asset.ip | |
| ntp_server_2 | target.ip, target.asset.ip | |
| ntp_server_3 | target.ip, target.asset.ip | |
| ObjectInternalID | security_result.detection_fields | |
| ObjectName | security_result.about.labels | |
| ObjectType | security_result.labout.abels, additional.fields | |
| operating-system-result | target.asset.platform_software.platform_version | target.platform = WINDOWS |
| OperatingSystem | target.asset.platform_software.platform_version | |
| OperationMessageText | sec_result.detection_fields | |
| OperationMessageText | about.labels | |
| OUI | security_result.detection_fields | |
| pad | security_result.detection_fields | |
| PeerAddress | target.mac, target.asset.mac | |
| PeerName | target.hostname, target.asset.hostname | |
| PhoneNumber | principal.user.phone_numbers | |
| platform-version | principal.platform_version | |
| PolicyVersion | security_result.detection_fields | |
| Port | principal.port, target.port | |
| Portal_Name | additional.fields | |
| PortalName | target.url | |
| PortalUser | principal.user.userid | |
| PortalUser_GuestSponsor | principal.user.attribute.labels | |
| PortalUser_GuestType | principal.user.attribute.labels | |
| PostureApplicable | security_result.detection_fields | |
| PostureAssessmentStatus | sec_result.detection_fields, additional.fields | |
| PostureExpiry | sec_result.detection_fields | |
| PostureStatus | sec_result.detection_fields | |
| principal_hostname | principal.hostname | |
| principal_ip | principal.ip, principal.asset.ip | |
| profile-name | security_result.detection_fields | |
| ProfilerServer | sec_result.detection_fields | |
| Protokoll | security_result.detection_fields | |
| r_ip_or_host | observer.ip, observer.hostname, intermediary.hostname, intermediary.ip | |
| r_seg_num | metadata.product_log_id | |
| RadiusFlowType | security_result.about.labels, additional.fields | |
| RadiusPacketType | security_result.detection_fields | |
| received_b | network.received_bytes | |
| RegisterStatus | security_result.rule_name | |
| RegistrationTimeStamp | sec_result.detection_fields | |
| RemoteAddress | principal.ip, principal.asset.ip | |
| RequestLatency | sec_result.detection_fields, additional.fields | |
| RequestResponseTypes | security_result.detection_fields | |
| ResponseTime | sec_result.detection_fields | |
| SelectedAccessService | sec_result.detection_fields, additional.fields | |
| SelectedAuthenticationIdentityStores | security_result.detection_fields | |
| SelectedAuthorizationProfiles | sec_result.detection_fields, additional.fields | |
| SelectedShellProfile | additional.fields | |
| sent_b | network.sent_bytes | |
| sequence_num | metadata.product_log_id | |
| Sequenznummer | security_result.detection_fields | |
| serial_number | about.labels, network.tls.server.certificate.serial | |
| server_label | principal.asset.attribute.labels | |
| Service-Type | sec_result.detection_fields, additional.fields | |
| session-id | network.session_id | |
| Zeitlimit für Sitzungen | network.session_duration | |
| shell_role | principal.user.attribute.roles.name | |
| ShutdownReason | security_result.detection_fields | |
| SkipProfiling | security_result.detection_fields | |
| software_version | principal.asset.platform_software.platform_version | |
| Quelle | principal.ip, principal.hostname | |
| source_ip | src.ip | |
| source_port | src.port | |
| SSID | additional.fields | |
| start_time | security_result.first_discovered_time | |
| StaticAssignment | security_result.detection_fields | |
| StaticGroupAssignment | sec_result.detection_fields | |
| Schritt | additional.fields | |
| StepData | about.hostname, additional.fields | |
| StepLatency | additional.fields | |
| stop_time | security_result.last_discovered_time | |
| Betreff | about.labels | |
| subject_alt_name | about.labels | |
| subscriber_command | security_result.detection_fields | |
| syslog_host | principal.ip, principal.asset.ip | |
| SysStatsCpuCount | target.asset.hardware.cpu_number_cores | |
| SysStatsProcessMemoryMB | target.asset.hardware.ram | |
| SysStatsUtilizationDiskIO | target.asset.attribute.labels | |
| SysStatsUtilizationDiskSpace | target.asset.attribute.labels | |
| SysStatsUtilizationLoadAvg | target.asset.attribute.labels | |
| SystemDomain | principal.asset.network_domain | |
| SystemName | hauptkonto.hostname, hauptkonto.hostname | |
| SystemUser | principal.user.userid | |
| SystemUserDomain | principal.administrative_domain | |
| target_email | target.user.email_addresses | |
| target_group_identifiers | target.user.group_identifiers | |
| target_hostname | target.hostname | |
| target_ip | target.ip, target.asset.ip | |
| target_port | target.port | |
| target_user | target.user.userid | |
| target.resource.resource_type | GERÄT | |
| task_id | additional.fields | |
| TaskId | security_result.detection_fields | |
| Template_Name | additional.fields | |
| Termination-Action | security_result.detection_fields | |
| threshold_value | additional.fields | |
| TimeToProfile | sec_result.detection_fields | |
| TLSCipher | network.tls.cipher | |
| TLSVersion | network.tls.version | |
| total_certainty_factor | sec_result.detection_fields | |
| TotalAuthenLatency | security_result.detection_fields, additional.fields | |
| TotalFailedTime | sec_result.detection_fields | |
| Tunnel-Client-Endpunkt | sec_result.detection_fields | |
| Typ | additional.fields | |
| undefined-151 | additional.fields | |
| UniqueConnectionIdentifier | sec_result.detection_fields | |
| UpdateTime | sec_result.detection_fields | |
| url-redirect | target.url | |
| url-redirect-acl | security_result.detection_fields | |
| UseCase | sec_result.detection_fields | |
| used_space_value | additional.fields | |
| Nutzer | principal.user.userid | |
| Nutzer | principal.user.userid | |
| user_display_name | principal.user.user_display_name | |
| User-AD-Last-Fetch-Time | principal.user.attribute.labels | |
| User-Agent | network.http.user_agent, network.http.parsed_user_agent | |
| User-Fetch-Email | sec_result.detection_fields | |
| User-Fetch-Last-Name | principal.user.last_name | |
| User-Fetch-LocalityName | sec_result.detection_fields | |
| User-Fetch-StateOrProvinceName | sec_result.detection_fields | |
| User-Name | target.user.userid | |
| UserAccountControl | principal.user.attribute.labels | |
| UserAgreementStatus | security_result.detection_fields | |
| Nutzername | target.user.userid | |
| UserType | principal.user.attribute.labels | |
| UseSingleConnect | security_result.detection_fields | |
| vlan-id | security_result.detection_fields | |
| principal.resource.resource_type | Statisch DEVICE zugeordnet. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten