收集 Fidelis Network 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Fidelis Network 日志注入到 Google Security Operations。
Fidelis Network 是一种网络检测和响应 (NDR) 解决方案,可提供深入的内容检查、会话级分析和自动威胁响应。它会实时监控网络流量,以检测所有端口和协议中的高级威胁、数据渗漏尝试和违规行为。解析器使用 KV 和 JSON 模式从 Fidelis Network syslog 格式的日志中提取字段。然后,它会将这些值映射到统一数据模型 (UDM)。它还会为事件来源和类型设置默认元数据值。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
- 对 Fidelis Network CommandPost 网页界面的高级访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令来验证安装:
sc query observiq-otel-collector
该服务应显示为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令来验证安装:
sudo systemctl status observiq-otel-collector
该服务应显示为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps
找到配置文件
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'FIDELIS_NETWORK' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
配置参数
替换以下占位符:
接收器配置:
tcplog:使用udplog表示 UDP syslog,使用tcplog表示 TCP syslog0.0.0.0:要监听的 IP 地址(0.0.0.0表示监听所有接口)514:要监听的端口号(标准 syslog 端口)
导出器配置:
creds_file_path:提取身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID:从“获取客户 ID”部分获取的客户 IDendpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点
- 美国:
log_type:日志类型,与在 Chronicle 中显示的完全一致 (FIDELIS_NETWORK)
保存配置文件
- 修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
- Linux:依次按
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
sudo systemctl status observiq-otel-collector检查日志是否存在错误:
sudo journalctl -u observiq-otel-collector -f
如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
右键点击并选择重新启动。
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- 按
配置 Fidelis Network syslog 转发
- 登录 Fidelis Network CommandPost 网页界面。
- 依次前往系统> 导出 > Syslog。
- 点击添加 Syslog 服务器。
- 提供以下配置详细信息:
- 名称:输入一个描述性名称(例如
Google-SecOps-Bindplane)。 - IP 地址/主机名:输入 Bindplane 代理主机 IP 地址。
- 端口:输入
514。 - 协议:选择 TCP。
- 格式:根据解析要求,选择 CEF(通用事件格式)或 Syslog。
- 设备:选择 LOCAL0(或您偏好的设备)。
- 严重程度:选择信息(或您偏好的严重程度)。
- 名称:输入一个描述性名称(例如
- 在提醒类型部分中,选择要转发的事件:
- 提醒事件
- 恶意软件事件
- DLP 事件
- DNS 事件
- 会话事件
- 点击保存。
- 通过检查 Bindplane 代理日志,验证是否正在发送 syslog 消息。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| aaction | event.idm.read_only_udm.security_result.action_details | 如果不是“none”或空字符串,则直接映射。 |
| alert_threat_score | event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: alert_threat_score 的值 | 直接映射为检测字段。 |
| alert_type | event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: alert_type 的值 | 直接映射为检测字段。 |
| 答案 | event.idm.read_only_udm.network.dns.answers[].data | 直接映射,适用于 DNS 事件。 |
| application_user | event.idm.read_only_udm.principal.user.userid | 直接映射。 |
| asset_os | event.idm.read_only_udm.target.platform | 已归一化为 WINDOWS、LINUX、MAC 或 UNKNOWN_PLATFORM。 |
| certificate.end_date | event.idm.read_only_udm.network.tls.client.certificate.not_after | 已解析并转换为时间戳。 |
| certificate.extended_key_usage | event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.extended_key_usage | 映射为附加字段。 |
| certificate.issuer_name | event.idm.read_only_udm.network.tls.server.certificate.issuer | 直接映射。 |
| certificate.key_length | event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_length | 映射为附加字段。 |
| certificate.key_usage | event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_usage | 映射为附加字段。 |
| certificate.start_date | event.idm.read_only_udm.network.tls.client.certificate.not_before | 已解析并转换为时间戳。 |
| certificate.subject_altname | event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: certificate.subject_altname 的值 | 映射为附加字段。 |
| certificate.subject_name | event.idm.read_only_udm.network.tls.server.certificate.subject | 直接映射。 |
| certificate.type | event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.type | 映射为附加字段。 |
| 加密 | event.idm.read_only_udm.network.tls.cipher | 直接映射。 |
| client_asset_name | event.idm.read_only_udm.principal.application | 直接映射。 |
| client_asset_subnet | event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: client_asset_subnet 的值 | 映射为附加字段。 |
| client_ip | event.idm.read_only_udm.principal.ip | 直接映射。 |
| client_port | event.idm.read_only_udm.principal.port | 直接映射并转换为整数。 |
| ClientIP | event.idm.read_only_udm.principal.ip | 直接映射。 |
| ClientPort | event.idm.read_only_udm.principal.port | 直接映射并转换为整数。 |
| ClientCountry | event.idm.read_only_udm.principal.location.country_or_region | 如果不是“UNKNOWN”或空字符串,则直接映射。 |
| ClientAssetID | event.idm.read_only_udm.principal.asset_id | 如果不是“0”或空字符串,则以“Asset:”为前缀。 |
| ClientAssetName | event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: ClientAssetName 的值 | 映射为主资源标签。 |
| ClientAssetRole | event.idm.read_only_udm.principal.asset.attribute.roles[].name | 直接映射。 |
| ClientAssetServices | event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: ClientAssetServices 的值 | 映射为主资源标签。 |
| 客户 | event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: Client 的值 | 映射为主资源标签。 |
| 收集器 | event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: Collector 的值 | 映射为检测字段。 |
| 命令 | event.idm.read_only_udm.network.http.method | 直接映射到 HTTP 事件。 |
| 命令 | event.idm.read_only_udm.security_result.detection_fields[].key: "Command", event.idm.read_only_udm.security_result.detection_fields[].value: Command 的值 | 映射为检测字段。 |
| 连接 | event.idm.read_only_udm.security_result.detection_fields[].key: "Connection", event.idm.read_only_udm.security_result.detection_fields[].value: Connection 的值 | 映射为检测字段。 |
| DecodingPath | event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: DecodingPath 的值 | 映射为检测字段。 |
| dest_country | event.idm.read_only_udm.target.location.country_or_region | 直接映射。 |
| dest_domain | event.idm.read_only_udm.target.hostname | 直接映射。 |
| dest_ip | event.idm.read_only_udm.target.ip | 直接映射。 |
| dest_port | event.idm.read_only_udm.target.port | 直接映射并转换为整数。 |
| 方向 | event.idm.read_only_udm.security_result.detection_fields[].key: "Direction",event.idm.read_only_udm.security_result.detection_fields[].value: Direction 的值 | 映射为检测字段。 |
| dns.host | event.idm.read_only_udm.network.dns.questions[].name | 直接映射,适用于 DNS 事件。 |
| DomainName | event.idm.read_only_udm.target.administrative_domain | 直接映射。 |
| DomainAlexaRank | event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: DomainAlexaRank 的值 | 映射为检测字段。 |
| dport | event.idm.read_only_udm.target.port | 直接映射并转换为整数。 |
| dnsresolution.server_fqdn | event.idm.read_only_udm.target.hostname | 直接映射。 |
| 时长 | event.idm.read_only_udm.security_result.detection_fields[].key: "Duration", event.idm.read_only_udm.security_result.detection_fields[].value: Duration 的值 | 映射为检测字段。 |
| 已加密 | event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: Encrypted 的值 | 映射为检测字段。 |
| 熵 | event.idm.read_only_udm.security_result.detection_fields[].key: "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value: Entropy 的值 | 映射为检测字段。 |
| event.idm.read_only_udm.additional.fields | event.idm.read_only_udm.additional.fields | 包含基于解析器逻辑的各种其他字段。 |
| event.idm.read_only_udm.metadata.description | event.idm.read_only_udm.metadata.description | 直接从摘要字段映射。 |
| event.idm.read_only_udm.metadata.event_type | event.idm.read_only_udm.metadata.event_type | 根据各种日志字段和解析器逻辑确定。可以是 GENERIC_EVENT、NETWORK_CONNECTION、NETWORK_HTTP、NETWORK_SMTP、NETWORK_DNS、STATUS_UPDATE、NETWORK_FLOW。 |
| event.idm.read_only_udm.metadata.log_type | event.idm.read_only_udm.metadata.log_type | 设置为“FIDELIS_NETWORK”。 |
| event.idm.read_only_udm.metadata.product_name | event.idm.read_only_udm.metadata.product_name | 设置为“FIDELIS_NETWORK”。 |
| event.idm.read_only_udm.metadata.vendor_name | event.idm.read_only_udm.metadata.vendor_name | 设置为“FIDELIS_NETWORK”。 |
| event.idm.read_only_udm.network.application_protocol | event.idm.read_only_udm.network.application_protocol | 根据 server_port 或 protocol 字段确定。可以是 HTTP、HTTPS、SMTP、SSH、RPC、DNS、NFS、AOLMAIL。 |
| event.idm.read_only_udm.network.direction | event.idm.read_only_udm.network.direction | 根据摘要中的方向字段或关键字确定。可以是 INBOUND 或 OUTBOUND。 |
| event.idm.read_only_udm.network.dns.answers | event.idm.read_only_udm.network.dns.answers | 为 DNS 事件填充。 |
| event.idm.read_only_udm.network.dns.id | event.idm.read_only_udm.network.dns.id | 从 DNS 事件的数字字段映射。 |
| event.idm.read_only_udm.network.dns.questions | event.idm.read_only_udm.network.dns.questions | 为 DNS 事件填充。 |
| event.idm.read_only_udm.network.email.from | event.idm.read_only_udm.network.email.from | 如果“发件人”是有效的电子邮件地址,则直接从“发件人”映射。 |
| event.idm.read_only_udm.network.email.subject | event.idm.read_only_udm.network.email.subject | 直接从 Subject 映射。 |
| event.idm.read_only_udm.network.email.to | event.idm.read_only_udm.network.email.to | 直接从“收件人”映射。 |
| event.idm.read_only_udm.network.ftp.command | event.idm.read_only_udm.network.ftp.command | 直接从 ftp.command 映射。 |
| event.idm.read_only_udm.network.http.method | event.idm.read_only_udm.network.http.method | 直接从 http.command 或 Command 映射。 |
| event.idm.read_only_udm.network.http.referral_url | event.idm.read_only_udm.network.http.referral_url | 直接从 Referer 映射。 |
| event.idm.read_only_udm.network.http.response_code | event.idm.read_only_udm.network.http.response_code | 直接从 http.status_code 或 StatusCode 映射并转换为整数。 |
| event.idm.read_only_udm.network.http.user_agent | event.idm.read_only_udm.network.http.user_agent | 直接从 http.useragent 或 UserAgent 映射。 |
| event.idm.read_only_udm.network.ip_protocol | event.idm.read_only_udm.network.ip_protocol | 如果为 TCP 或 UDP,则直接从 tproto 映射。 |
| event.idm.read_only_udm.network.received_bytes | event.idm.read_only_udm.network.received_bytes | 已从 event1.server_packet_count 重命名,并转换为无符号整数。 |
| event.idm.read_only_udm.network.sent_bytes | event.idm.read_only_udm.network.sent_bytes | 从 event1.client_packet_count 重命名,并转换为无符号整数。 |
| event.idm.read_only_udm.network.session_duration.seconds | event.idm.read_only_udm.network.session_duration.seconds | 已从 event1.session_size 重命名,并转换为整数。 |
| event.idm.read_only_udm.network.session_id | event.idm.read_only_udm.network.session_id | 直接从 event1.rel_sesid 或 UserSessionID 映射。 |
| event.idm.read_only_udm.network.tls.client.certificate.issuer | event.idm.read_only_udm.network.tls.client.certificate.issuer | 直接从 event1.certificate_issuer_name 映射。 |
| event.idm.read_only_udm.network.tls.client.certificate.not_after | event.idm.read_only_udm.network.tls.client.certificate.not_after | 从 event1.certificate_end_date 解析并转换为时间戳。 |
| event.idm.read_only_udm.network.tls.client.certificate.not_before | event.idm.read_only_udm.network.tls.client.certificate.not_before | 从 event1.certificate_start_date 解析并转换为时间戳。 |
| event.idm.read_only_udm.network.tls.client.certificate.subject | event.idm.read_only_udm.network.tls.client.certificate.subject | 直接从 event1.certificate_subject_name 映射。 |
| event.idm.read_only_udm.network.tls.client.ja3 | event.idm.read_only_udm.network.tls.client.ja3 | 直接从 event1.ja3digest 映射并转换为字符串。 |
| event.idm.read_only_udm.network.tls.cipher | event.idm.read_only_udm.network.tls.cipher | 直接从 event1.cipher、CipherSuite、cipher 或 event1.tls_ciphersuite 映射。 |
| event.idm.read_only_udm.network.tls.server.certificate.issuer | event.idm.read_only_udm.network.tls.server.certificate.issuer | 直接从 certificate_issuer_name 映射。 |
| event.idm.read_only_udm.network.tls.server.certificate.subject | event.idm.read_only_udm.network.tls.server.certificate.subject | 直接从 certificate_subject_name 映射。 |
| event.idm.read_only_udm.network.tls.server.ja3s | event.idm.read_only_udm.network.tls.server.ja3s | 直接从 event1.ja3sdigest 映射并转换为字符串。 |
| event.idm.read_only_udm.network.tls.version | event.idm.read_only_udm.network.tls.version | 直接从 event1.version 映射。 |
| event.idm.read_only_udm.principal.application | event.idm.read_only_udm.principal.application | 直接从 event1.client_asset_name 映射。 |
| event.idm.read_only_udm.principal.asset.attribute.roles[].name | event.idm.read_only_udm.principal.asset.attribute.roles[].name | 直接从 ClientAssetRole 映射。 |
| event.idm.read_only_udm.principal.asset_id | event.idm.read_only_udm.principal.asset_id | 直接从 ClientAssetID 或 ServerAssetID(以“Asset:”为前缀)映射。 |
| event.idm.read_only_udm.principal.hostname | event.idm.read_only_udm.principal.hostname | 直接从 event1.sld 或 src_domain 映射。 |
| event.idm.read_only_udm.principal.ip | event.idm.read_only_udm.principal.ip | 直接从 event1.src_ip6、client_ip 或 ClientIP 映射。 |
| event.idm.read_only_udm.principal.location.country_or_region | event.idm.read_only_udm.principal.location.country_or_region | 如果 ClientCountry 或 src_country 不是“UNKNOWN”或空字符串,则直接映射。 |
| event.idm.read_only_udm.principal.port | event.idm.read_only_udm.principal.port | 直接从 event1.sport 或 client_port 映射并转换为整数。 |
| event.idm.read_only_udm.principal.resource.attribute.labels | event.idm.read_only_udm.principal.resource.attribute.labels | 包含基于解析器逻辑的各种标签。 |
| event.idm.read_only_udm.principal.user.userid | event.idm.read_only_udm.principal.user.userid | 直接从 ftp.user 或 AppUser 映射。 |
| event.idm.read_only_udm.security_result.action | event.idm.read_only_udm.security_result.action | 根据严重程度确定。可以是 ALLOW、BLOCK 或 UNKNOWN_ACTION。 |
| event.idm.read_only_udm.security_result.action_details | event.idm.read_only_udm.security_result.action_details | 如果不是“none”或空字符串,则直接从 Action 映射。 |
| event.idm.read_only_udm.security_result.category | event.idm.read_only_udm.security_result.category | 如果存在 malware_type,则设置为 NETWORK_SUSPICIOUS。 |
| event.idm.read_only_udm.security_result.detection_fields | event.idm.read_only_udm.security_result.detection_fields | 包含基于解析器逻辑的各种检测字段。 |
| event.idm.read_only_udm.security_result.rule_name | event.idm.read_only_udm.security_result.rule_name | 直接从 rule_name 映射。 |
| event.idm.read_only_udm.security_result.severity | event.idm.read_only_udm.security_result.severity | 根据严重程度确定。可以是 INFORMATIONAL、MEDIUM、ERROR 或 CRITICAL。 |
| event.idm.read_only_udm.security_result.summary | event.idm.read_only_udm.security_result.summary | 直接从标签映射。 |
| event.idm.read_only_udm.security_result.threat_name | event.idm.read_only_udm.security_result.threat_name | 直接从 malware_type 映射,或者从包含“CVE-”的摘要中解析。 |
| event.idm.read_only_udm.target.administrative_domain | event.idm.read_only_udm.target.administrative_domain | 直接从 DomainName 映射。 |
| event.idm.read_only_udm.target.asset.attribute.roles[].name | event.idm.read_only_udm.target.asset.attribute.roles[].name | 直接从 ServerAssetRole 映射。 |
| event.idm.read_only_udm.target.file.full_path | event.idm.read_only_udm.target.file.full_path | 直接从 ftp.filename 或 Filename 映射。 |
| event.idm.read_only_udm.target.file.md5 | event.idm.read_only_udm.target.file.md5 | 直接从 event1.md5 或 md5 映射。 |
| event.idm.read_only_udm.target.file.mime_type | event.idm.read_only_udm.target.file.mime_type | 直接从 event1.filetype 映射。 |
| event.idm.read_only_udm.target.file.sha1 | event.idm.read_only_udm.target.file.sha1 | 直接从 event1.srvcerthash 映射。 |
| event.idm.read_only_udm.target.file.sha256 | event.idm.read_only_udm.target.file.sha256 | 直接从 event1.sha256 或 sha256 映射。 |
| event.idm.read_only_udm.target.file.size | event.idm.read_only_udm.target.file.size | 已从 event1.filesize 重命名,如果不是 0,则转换为无符号整数。 |
| event.idm.read_only_udm.target.hostname | event.idm.read_only_udm.target.hostname | 直接从 event1.sni、dest_domain 或 Host 映射。 |
| event.idm.read_only_udm.target.ip | event.idm.read_only_udm.target.ip | 直接从 event1.dst_ip6 或 server_ip 或 ServerIP 映射。 |
| event.idm.read_only_udm.target.location.country_or_region | event.idm.read_only_udm.target.location.country_or_region | 直接从 dest_country 或 ServerCountry 映射。 |
| event.idm.read_only_udm.target.platform | event.idm.read_only_udm.target.platform | 从归一化后的 asset_os 映射而来。 |
| event.idm.read_only_udm.target.platform_version | event.idm.read_only_udm.target.platform_version | 直接从 os_version 映射。 |
| event.idm.read_only_udm.target.port | event.idm.read_only_udm.target.port | 直接从 event1.dport 或 server_port 映射并转换为整数。 |
| event.idm.read_only_udm.target.resource.attribute.labels | event.idm.read_only_udm.target.resource.attribute.labels | 包含基于解析器逻辑的各种标签。 |
| event.idm.read_only_udm.target.url | event.idm.read_only_udm.target.url | 直接从网址或 网址 映射。 |
| event.idm.read_only_udm.target.user.product_object_id | event.idm.read_only_udm.target.user.product_object_id | 直接从 UUID 映射。 |
| event1.certificate_end_date | event.idm.read_only_udm.network.tls.client.certificate.not_after | 已解析并转换为时间戳。 |
| event1.certificate_extended_key_usage | event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: event1.certificate_extended_key_usage 的值 | 映射为附加字段。 |
| event1.certificate_issuer_name | event.idm.read_only_udm.network.tls.client.certificate.issuer | 直接映射。 |
| event1.certificate_key_length | event.idm.read_only_udm.additional.fields[].key: "Key Length",event.idm.read_only_udm.additional.fields[].value.string_value: event1.certificate_key_length 的值 | 映射为附加字段。 |
| event1.certificate_key_usage | event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: event1.certificate_key_usage 的值 | 映射为附加字段。 |
| event1.certificate_start_date | event.idm.read_only_udm.network.tls.client.certificate.not_before | 已解析并转换为时间戳。 |
| event1.certificate_subject_altname | event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: event1.certificate_subject_altname 的值 | 映射为附加字段。 |
| event1.certificate_subject_name | event.idm.read_only_udm.network.tls.client.certificate.subject | 直接映射。 |
| event1.client_asset_name | event.idm.read_only_udm.principal.application | 直接映射。 |
| event1.client_asset_subnet | event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: event1.client_asset_subnet 的值 | 映射为附加字段。 |
| event1.client_packet_count | event.idm.read_only_udm.network.sent_bytes | 转换为无符号整数并重命名。 |
| event1.cipher | event.idm.read_only_udm.network.tls.cipher | 直接映射。 |
| event1.direction | event.idm.read_only_udm.network.direction | 如果为“s2c”,则映射到 INBOUND;如果为“c2s”,则映射到 OUTBOUND。 |
| event1.d |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。