Raccogliere i log di Fidelis Network

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Fidelis Network in Google Security Operations utilizzando Bindplane.

Fidelis Network è una soluzione di rilevamento e risposta di rete (NDR) che fornisce un'ispezione approfondita dei contenuti, un'analisi a livello di sessione e una risposta automatica alle minacce. Monitora il traffico di rete in tempo reale per rilevare minacce avanzate, tentativi di esfiltrazione di dati e violazioni delle norme su tutte le porte e i protocolli. Il parser estrae i campi dai log formattati syslog di Fidelis Network utilizzando i pattern KV e JSON. Quindi, esegue il mapping di questi valori al modello UDM (Unified Data Model). Imposta anche i valori predefiniti dei metadati per l'origine e il tipo di evento.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato all'interfaccia web di Fidelis Network CommandPost

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo il comando:
```
sc query observiq-otel-collector
```

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.

Verifica l'installazione eseguendo il comando:

sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'FIDELIS_NETWORK'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Parametri di configurazione

Sostituisci i seguenti segnaposto:
- Configurazione del ricevitore:
  - tcplog: usa udplog per syslog UDP o tcplog per syslog TCP
  - 0.0.0.0: indirizzo IP su cui ascoltare (0.0.0.0 per ascoltare su tutte le interfacce)
  - 514: Numero di porta su cui ascoltare (porta syslog standard)
- Configurazione dell'esportatore:
  - creds_file_path: percorso completo del file di autenticazione importazione:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID: l'ID cliente della sezione Recupera ID cliente
  - endpoint: URL endpoint regionale:
    - Stati Uniti: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Per l'elenco completo, vedi Endpoint regionali.
  - log_type: Tipo di log esattamente come appare in Chronicle (FIDELIS_NETWORK)

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:

sudo systemctl restart observiq-otel-collector

Verifica che il servizio sia in esecuzione:

  sudo systemctl status observiq-otel-collector

Controlla i log per individuare eventuali errori:

  sudo journalctl -u observiq-otel-collector -f

Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console dei servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura l'inoltro di Syslog di Fidelis Network

Accedi all'interfaccia web di Fidelis Network CommandPost.
Vai a Sistema > Esporta > Syslog.
Fai clic su Aggiungi server Syslog.
Fornisci i seguenti dettagli di configurazione:
- Nome: inserisci un nome descrittivo (ad esempio, Google-SecOps-Bindplane).
- Indirizzo IP/Nome host: inserisci l'indirizzo IP dell'host dell'agente Bindplane.
- Porta: inserisci 514.
- Protocollo: seleziona TCP.
- Formato: seleziona CEF (Common Event Format) o Syslog in base ai requisiti di analisi.
- Struttura: seleziona LOCAL0 (o la struttura che preferisci).
- Gravità: seleziona Informativa (o il livello di gravità che preferisci).
Nella sezione Tipi di avviso, seleziona gli eventi da inoltrare:
- Eventi di avviso
- Eventi di malware
- Eventi DLP
- Eventi DNS
- Eventi di sessione
Fai clic su Salva.
Verifica che i messaggi syslog vengano inviati controllando i log dell'agente Bindplane.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
aaction	event.idm.read_only_udm.security_result.action_details	Mappato direttamente se non è "nessuno" o una stringa vuota.
alert_threat_score	event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: value of alert_threat_score	Mappato direttamente come campo di rilevamento.
alert_type	event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: value of alert_type	Mappato direttamente come campo di rilevamento.
risposte	event.idm.read_only_udm.network.dns.answers[].data	Mappato direttamente per gli eventi DNS.
application_user	event.idm.read_only_udm.principal.user.userid	Mappato direttamente.
asset_os	event.idm.read_only_udm.target.platform	Normalizzato su WINDOWS, LINUX, MAC o UNKNOWN_PLATFORM.
certificate.end_date	event.idm.read_only_udm.network.tls.client.certificate.not_after	Analizzato e convertito in timestamp.
certificate.extended_key_usage	event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.extended_key_usage	Mappato come campo aggiuntivo.
certificate.issuer_name	event.idm.read_only_udm.network.tls.server.certificate.issuer	Mappato direttamente.
certificate.key_length	event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_length	Mappato come campo aggiuntivo.
certificate.key_usage	event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_usage	Mappato come campo aggiuntivo.
certificate.start_date	event.idm.read_only_udm.network.tls.client.certificate.not_before	Analizzato e convertito in timestamp.
certificate.subject_altname	event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.subject_altname	Mappato come campo aggiuntivo.
certificate.subject_name	event.idm.read_only_udm.network.tls.server.certificate.subject	Mappato direttamente.
certificate.type	event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.type	Mappato come campo aggiuntivo.
crittografia	event.idm.read_only_udm.network.tls.cipher	Mappato direttamente.
client_asset_name	event.idm.read_only_udm.principal.application	Mappato direttamente.
client_asset_subnet	event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: value of client_asset_subnet	Mappato come campo aggiuntivo.
client_ip	event.idm.read_only_udm.principal.ip	Mappato direttamente.
client_port	event.idm.read_only_udm.principal.port	Mappato e convertito direttamente in numero intero.
ClientIP	event.idm.read_only_udm.principal.ip	Mappato direttamente.
ClientPort	event.idm.read_only_udm.principal.port	Mappato e convertito direttamente in un numero intero.
ClientCountry	event.idm.read_only_udm.principal.location.country_or_region	Mappato direttamente se non è "UNKNOWN" o una stringa vuota.
ClientAssetID	event.idm.read_only_udm.principal.asset_id	Con il prefisso "Asset:" se non è "0" o una stringa vuota.
ClientAssetName	event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valore di ClientAssetName	Mappato come etichetta della risorsa principale.
ClientAssetRole	event.idm.read_only_udm.principal.asset.attribute.roles[].name	Mappato direttamente.
ClientAssetServices	event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: value of ClientAssetServices	Mappato come etichetta della risorsa principale.
Client	event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: value of Client	Mappato come etichetta della risorsa principale.
Raccoglitore	event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: value of Collector	Mappato come campo di rilevamento.
comando	event.idm.read_only_udm.network.http.method	Mappato direttamente per gli eventi HTTP.
Comando	event.idm.read_only_udm.security_result.detection_fields[].key: "Command", event.idm.read_only_udm.security_result.detection_fields[].value: value of Command	Mappato come campo di rilevamento.
Connessione	event.idm.read_only_udm.security_result.detection_fields[].key: "Connection", event.idm.read_only_udm.security_result.detection_fields[].value: value of Connection	Mappato come campo di rilevamento.
DecodingPath	event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: value of DecodingPath	Mappato come campo di rilevamento.
dest_country	event.idm.read_only_udm.target.location.country_or_region	Mappato direttamente.
dest_domain	event.idm.read_only_udm.target.hostname	Mappato direttamente.
dest_ip	event.idm.read_only_udm.target.ip	Mappato direttamente.
dest_port	event.idm.read_only_udm.target.port	Mappato e convertito direttamente in un numero intero.
Direzione	event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: value of Direction	Mappato come campo di rilevamento.
dns.host	event.idm.read_only_udm.network.dns.questions[].name	Mappato direttamente per gli eventi DNS.
DomainName	event.idm.read_only_udm.target.administrative_domain	Mappato direttamente.
DomainAlexaRank	event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: value of DomainAlexaRank	Mappato come campo di rilevamento.
dport	event.idm.read_only_udm.target.port	Mappato e convertito direttamente in un numero intero.
dnsresolution.server_fqdn	event.idm.read_only_udm.target.hostname	Mappato direttamente.
Durata	event.idm.read_only_udm.security_result.detection_fields[].key: "Duration", event.idm.read_only_udm.security_result.detection_fields[].value: value of Duration	Mappato come campo di rilevamento.
Criptato	event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: value of Encrypted	Mappato come campo di rilevamento.
Entropia	event.idm.read_only_udm.security_result.detection_fields[].key: "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value: value of Entropy	Mappato come campo di rilevamento.
event.idm.read_only_udm.additional.fields	event.idm.read_only_udm.additional.fields	Contiene vari campi aggiuntivi in base alla logica del parser.
event.idm.read_only_udm.metadata.description	event.idm.read_only_udm.metadata.description	Mappato direttamente dal campo di riepilogo.
event.idm.read_only_udm.metadata.event_type	event.idm.read_only_udm.metadata.event_type	Determinato in base a vari campi di log e alla logica del parser. Può essere GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE, NETWORK_FLOW.
event.idm.read_only_udm.metadata.log_type	event.idm.read_only_udm.metadata.log_type	Imposta "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.product_name	event.idm.read_only_udm.metadata.product_name	Imposta "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.vendor_name	event.idm.read_only_udm.metadata.vendor_name	Imposta "FIDELIS_NETWORK".
event.idm.read_only_udm.network.application_protocol	event.idm.read_only_udm.network.application_protocol	Determinato in base al campo server_port o protocol. Può essere HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS, AOLMAIL.
event.idm.read_only_udm.network.direction	event.idm.read_only_udm.network.direction	Determinato in base al campo dell'indirizzo o alle parole chiave nel riepilogo. Può essere INBOUND o OUTBOUND.
event.idm.read_only_udm.network.dns.answers	event.idm.read_only_udm.network.dns.answers	Questo campo viene compilato per gli eventi DNS.
event.idm.read_only_udm.network.dns.id	event.idm.read_only_udm.network.dns.id	Mappato dal campo numerico per gli eventi DNS.
event.idm.read_only_udm.network.dns.questions	event.idm.read_only_udm.network.dns.questions	Questo campo viene compilato per gli eventi DNS.
event.idm.read_only_udm.network.email.from	event.idm.read_only_udm.network.email.from	Mappato direttamente dal campo Da se è un indirizzo email valido.
event.idm.read_only_udm.network.email.subject	event.idm.read_only_udm.network.email.subject	Mappato direttamente da Soggetto.
event.idm.read_only_udm.network.email.to	event.idm.read_only_udm.network.email.to	Mappato direttamente da A.
event.idm.read_only_udm.network.ftp.command	event.idm.read_only_udm.network.ftp.command	Mappato direttamente da ftp.command.
event.idm.read_only_udm.network.http.method	event.idm.read_only_udm.network.http.method	Mappato direttamente da http.command o Command.
event.idm.read_only_udm.network.http.referral_url	event.idm.read_only_udm.network.http.referral_url	Mappato direttamente dal referrer.
event.idm.read_only_udm.network.http.response_code	event.idm.read_only_udm.network.http.response_code	Mappato direttamente da http.status_code o StatusCode e convertito in numero intero.
event.idm.read_only_udm.network.http.user_agent	event.idm.read_only_udm.network.http.user_agent	Mappato direttamente da http.useragent o UserAgent.
event.idm.read_only_udm.network.ip_protocol	event.idm.read_only_udm.network.ip_protocol	Mappato direttamente da tproto se è TCP o UDP.
event.idm.read_only_udm.network.received_bytes	event.idm.read_only_udm.network.received_bytes	Ridenominato da event1.server_packet_count e convertito in numero intero senza segno.
event.idm.read_only_udm.network.sent_bytes	event.idm.read_only_udm.network.sent_bytes	Ridenominato da event1.client_packet_count e convertito in numero intero senza segno.
event.idm.read_only_udm.network.session_duration.seconds	event.idm.read_only_udm.network.session_duration.seconds	Il nome è stato modificato da event1.session_size ed è stato convertito in numero intero.
event.idm.read_only_udm.network.session_id	event.idm.read_only_udm.network.session_id	Mappato direttamente da event1.rel_sesid o UserSessionID.
event.idm.read_only_udm.network.tls.client.certificate.issuer	event.idm.read_only_udm.network.tls.client.certificate.issuer	Mappato direttamente da event1.certificate_issuer_name.
event.idm.read_only_udm.network.tls.client.certificate.not_after	event.idm.read_only_udm.network.tls.client.certificate.not_after	Analizzato da event1.certificate_end_date e convertito in timestamp.
event.idm.read_only_udm.network.tls.client.certificate.not_before	event.idm.read_only_udm.network.tls.client.certificate.not_before	Analizzato da event1.certificate_start_date e convertito in timestamp.
event.idm.read_only_udm.network.tls.client.certificate.subject	event.idm.read_only_udm.network.tls.client.certificate.subject	Mappato direttamente da event1.certificate_subject_name.
event.idm.read_only_udm.network.tls.client.ja3	event.idm.read_only_udm.network.tls.client.ja3	Mappato direttamente da event1.ja3digest e convertito in stringa.
event.idm.read_only_udm.network.tls.cipher	event.idm.read_only_udm.network.tls.cipher	Mappato direttamente da event1.cipher, CipherSuite, cipher o event1.tls_ciphersuite.
event.idm.read_only_udm.network.tls.server.certificate.issuer	event.idm.read_only_udm.network.tls.server.certificate.issuer	Mappato direttamente da certificate_issuer_name.
event.idm.read_only_udm.network.tls.server.certificate.subject	event.idm.read_only_udm.network.tls.server.certificate.subject	Mappato direttamente da certificate_subject_name.
event.idm.read_only_udm.network.tls.server.ja3s	event.idm.read_only_udm.network.tls.server.ja3s	Mappato direttamente da event1.ja3sdigest e convertito in stringa.
event.idm.read_only_udm.network.tls.version	event.idm.read_only_udm.network.tls.version	Mappato direttamente da event1.version.
event.idm.read_only_udm.principal.application	event.idm.read_only_udm.principal.application	Mappato direttamente da event1.client_asset_name.
event.idm.read_only_udm.principal.asset.attribute.roles[].name	event.idm.read_only_udm.principal.asset.attribute.roles[].name	Mappato direttamente da ClientAssetRole.
event.idm.read_only_udm.principal.asset_id	event.idm.read_only_udm.principal.asset_id	Mappato direttamente da ClientAssetID o ServerAssetID (con il prefisso "Asset:").
event.idm.read_only_udm.principal.hostname	event.idm.read_only_udm.principal.hostname	Mappato direttamente da event1.sld o src_domain.
event.idm.read_only_udm.principal.ip	event.idm.read_only_udm.principal.ip	Mappato direttamente da event1.src_ip6, client_ip o ClientIP.
event.idm.read_only_udm.principal.location.country_or_region	event.idm.read_only_udm.principal.location.country_or_region	Mappato direttamente da ClientCountry o src_country se non è "UNKNOWN" o una stringa vuota.
event.idm.read_only_udm.principal.port	event.idm.read_only_udm.principal.port	Mappato direttamente da event1.sport o client_port e convertito in numero intero.
event.idm.read_only_udm.principal.resource.attribute.labels	event.idm.read_only_udm.principal.resource.attribute.labels	Contiene varie etichette basate sulla logica del parser.
event.idm.read_only_udm.principal.user.userid	event.idm.read_only_udm.principal.user.userid	Mappato direttamente da ftp.user o AppUser.
event.idm.read_only_udm.security_result.action	event.idm.read_only_udm.security_result.action	Determinata in base alla gravità. Può essere ALLOW, BLOCK o UNKNOWN_ACTION.
event.idm.read_only_udm.security_result.action_details	event.idm.read_only_udm.security_result.action_details	Mappato direttamente da Azione se non è "none" o una stringa vuota.
event.idm.read_only_udm.security_result.category	event.idm.read_only_udm.security_result.category	Imposta su NETWORK_SUSPICIOUS se è presente malware_type.
event.idm.read_only_udm.security_result.detection_fields	event.idm.read_only_udm.security_result.detection_fields	Contiene vari campi di rilevamento basati sulla logica del parser.
event.idm.read_only_udm.security_result.rule_name	event.idm.read_only_udm.security_result.rule_name	Mappato direttamente da rule_name.
event.idm.read_only_udm.security_result.severity	event.idm.read_only_udm.security_result.severity	Determinata in base alla gravità. Può essere INFORMATIONAL, MEDIUM, ERROR o CRITICAL.
event.idm.read_only_udm.security_result.summary	event.idm.read_only_udm.security_result.summary	Mappato direttamente dall'etichetta.
event.idm.read_only_udm.security_result.threat_name	event.idm.read_only_udm.security_result.threat_name	Mappato direttamente da malware_type o analizzato dal riepilogo se contiene "CVE-".
event.idm.read_only_udm.target.administrative_domain	event.idm.read_only_udm.target.administrative_domain	Mappato direttamente da DomainName.
event.idm.read_only_udm.target.asset.attribute.roles[].name	event.idm.read_only_udm.target.asset.attribute.roles[].name	Mappato direttamente da ServerAssetRole.
event.idm.read_only_udm.target.file.full_path	event.idm.read_only_udm.target.file.full_path	Mappato direttamente da ftp.filename o Filename.
event.idm.read_only_udm.target.file.md5	event.idm.read_only_udm.target.file.md5	Mappato direttamente da event1.md5 o md5.
event.idm.read_only_udm.target.file.mime_type	event.idm.read_only_udm.target.file.mime_type	Mappato direttamente da event1.filetype.
event.idm.read_only_udm.target.file.sha1	event.idm.read_only_udm.target.file.sha1	Mappato direttamente da event1.srvcerthash.
event.idm.read_only_udm.target.file.sha256	event.idm.read_only_udm.target.file.sha256	Mappato direttamente da event1.sha256 o sha256.
event.idm.read_only_udm.target.file.size	event.idm.read_only_udm.target.file.size	Rinominato da event1.filesize e convertito in numero intero senza segno se non è 0.
event.idm.read_only_udm.target.hostname	event.idm.read_only_udm.target.hostname	Mappato direttamente da event1.sni, dest_domain o Host.
event.idm.read_only_udm.target.ip	event.idm.read_only_udm.target.ip	Mappato direttamente da event1.dst_ip6 o server_ip o ServerIP.
event.idm.read_only_udm.target.location.country_or_region	event.idm.read_only_udm.target.location.country_or_region	Mappato direttamente da dest_country o ServerCountry.
event.idm.read_only_udm.target.platform	event.idm.read_only_udm.target.platform	Mappato da asset_os dopo la normalizzazione.
event.idm.read_only_udm.target.platform_version	event.idm.read_only_udm.target.platform_version	Mappato direttamente da os_version.
event.idm.read_only_udm.target.port	event.idm.read_only_udm.target.port	Mappato direttamente da event1.dport o server_port e convertito in numero intero.
event.idm.read_only_udm.target.resource.attribute.labels	event.idm.read_only_udm.target.resource.attribute.labels	Contiene varie etichette basate sulla logica del parser.
event.idm.read_only_udm.target.url	event.idm.read_only_udm.target.url	Mappato direttamente dall'URL.
event.idm.read_only_udm.target.user.product_object_id	event.idm.read_only_udm.target.user.product_object_id	Mappato direttamente dall'UUID.
event1.certificate_end_date	event.idm.read_only_udm.network.tls.client.certificate.not_after	Analizzato e convertito in timestamp.
event1.certificate_extended_key_usage	event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_extended_key_usage	Mappato come campo aggiuntivo.
event1.certificate_issuer_name	event.idm.read_only_udm.network.tls.client.certificate.issuer	Mappato direttamente.
event1.certificate_key_length	event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_key_length	Mappato come campo aggiuntivo.
event1.certificate_key_usage	event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_key_usage	Mappato come campo aggiuntivo.
event1.certificate_start_date	event.idm.read_only_udm.network.tls.client.certificate.not_before	Analizzato e convertito in timestamp.
event1.certificate_subject_altname	event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_subject_altname	Mappato come campo aggiuntivo.
event1.certificate_subject_name	event.idm.read_only_udm.network.tls.client.certificate.subject	Mappato direttamente.
event1.client_asset_name	event.idm.read_only_udm.principal.application	Mappato direttamente.
event1.client_asset_subnet	event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.client_asset_subnet	Mappato come campo aggiuntivo.
event1.client_packet_count	event.idm.read_only_udm.network.sent_bytes	Convertito in numero intero senza segno e rinominato.
event1.cipher	event.idm.read_only_udm.network.tls.cipher	Mappato direttamente.
event1.direction	event.idm.read_only_udm.network.direction	Mappato su IN ENTRATA se "s2c" o IN USCITA se "c2s".
event1.d

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.