Fidelis Network-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Fidelis Network-Logs mit Bindplane in Google Security Operations aufnehmen.

Fidelis Network ist eine NDR-Lösung (Network Detection and Response), die eine detaillierte Inhaltsprüfung, eine Analyse auf Sitzungsebene und eine automatisierte Reaktion auf Bedrohungen bietet. Der Dienst überwacht den Netzwerkverkehr in Echtzeit, um erweiterte Bedrohungen, Versuche zur Datenexfiltration und Richtlinienverstöße über alle Ports und Protokolle hinweg zu erkennen. Der Parser extrahiert Felder aus Fidelis Network-Syslog-formatierten Logs mithilfe von KV- und JSON-Mustern. Anschließend werden diese Werte dem Unified Data Model (UDM) zugeordnet. Außerdem werden Standardmetadatenwerte für die Ereignisquelle und den Ereignistyp festgelegt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Zugriff mit Administratorrechten auf die Fidelis Network CommandPost-Web-UI

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  • Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'FIDELIS_NETWORK'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Konfigurationsparameter

  • Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • tcplog: Verwenden Sie udplog für UDP-Syslog oder tcplog für TCP-Syslog.
      • 0.0.0.0: IP-Adresse, an der gelauscht werden soll (0.0.0.0, um an allen Schnittstellen zu lauschen)
      • 514: Portnummer, die überwacht werden soll (Standard-Syslog-Port)

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: Kunden-ID aus dem Abschnitt „Kunden-ID abrufen“
      • endpoint: Regionale Endpunkt-URL:
        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
      • log_type: Logtyp genau wie in Chronicle (FIDELIS_NETWORK)

Konfigurationsdatei speichern

  • Speichern Sie die Datei nach der Bearbeitung:
    • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
    • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart observiq-otel-collector

    1. Prüfen Sie, ob der Dienst ausgeführt wird:

        sudo systemctl status observiq-otel-collector

    2. Logs auf Fehler prüfen:

        sudo journalctl -u observiq-otel-collector -f

  • Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:

    • Eingabeaufforderung oder PowerShell als Administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Services-Konsole:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.

      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

      4. Prüfen Sie, ob der Dienst ausgeführt wird:

        sc query observiq-otel-collector

      5. Logs auf Fehler prüfen:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für Fidelis Network konfigurieren

  1. Melden Sie sich in der Weboberfläche von Fidelis Network CommandPost an.
  2. Gehen Sie zu System > Exportieren > Syslog.
  3. Klicken Sie auf Syslog-Server hinzufügen.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Google-SecOps-Bindplane.
    • IP-Adresse/Hostname: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein.
    • Port: Geben Sie 514 ein.
    • Protokoll: Wählen Sie TCP aus.
    • Format: Wählen Sie je nach Ihren Parsing-Anforderungen CEF (Common Event Format) oder Syslog aus.
    • Einrichtung: Wählen Sie LOCAL0 (oder die gewünschte Einrichtung) aus.
    • Schweregrad: Wählen Sie Information (oder den gewünschten Schweregrad) aus.
  5. Wählen Sie im Bereich Benachrichtigungstypen die Ereignisse aus, die weitergeleitet werden sollen:
    • Benachrichtigungsereignisse
    • Malware-Ereignisse
    • DLP-Ereignisse
    • DNS-Ereignisse
    • Sitzungsereignisse
  6. Klicken Sie auf Speichern.
  7. Prüfen Sie in den Bindplane-Agent-Logs, ob Syslog-Nachrichten gesendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
aaction event.idm.read_only_udm.security_result.action_details Direkt zugeordnet, wenn nicht „none“ oder ein leerer String.
alert_threat_score event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: value of alert_threat_score Direkt als Erkennungsfeld zugeordnet.
alert_type event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: value of alert_type Direkt als Erkennungsfeld zugeordnet.
Antworten event.idm.read_only_udm.network.dns.answers[].data Direkt für DNS-Ereignisse zugeordnet.
application_user event.idm.read_only_udm.principal.user.userid Direkt zugeordnet.
asset_os event.idm.read_only_udm.target.platform Normalisiert auf WINDOWS, LINUX, MAC oder UNKNOWN_PLATFORM.
certificate.end_date event.idm.read_only_udm.network.tls.client.certificate.not_after Geparsed und in einen Zeitstempel konvertiert.
certificate.extended_key_usage event.idm.read_only_udm.additional.fields[].key: „Extended Key Usage“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von certificate.extended_key_usage Als zusätzliches Feld zugeordnet.
certificate.issuer_name event.idm.read_only_udm.network.tls.server.certificate.issuer Direkt zugeordnet.
certificate.key_length event.idm.read_only_udm.additional.fields[].key: „Key Length“, event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_length Als zusätzliches Feld zugeordnet.
certificate.key_usage event.idm.read_only_udm.additional.fields[].key: „Key Usage“, event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_usage Als zusätzliches Feld zugeordnet.
certificate.start_date event.idm.read_only_udm.network.tls.client.certificate.not_before Geparsed und in einen Zeitstempel konvertiert.
certificate.subject_altname event.idm.read_only_udm.additional.fields[].key: „Certificate Alternate Name“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von certificate.subject_altname Als zusätzliches Feld zugeordnet.
certificate.subject_name event.idm.read_only_udm.network.tls.server.certificate.subject Direkt zugeordnet.
certificate.type event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.type Als zusätzliches Feld zugeordnet.
Chiffre event.idm.read_only_udm.network.tls.cipher Direkt zugeordnet.
client_asset_name event.idm.read_only_udm.principal.application Direkt zugeordnet.
client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: value of client_asset_subnet Als zusätzliches Feld zugeordnet.
client_ip event.idm.read_only_udm.principal.ip Direkt zugeordnet.
client_port event.idm.read_only_udm.principal.port Direkt zugeordnet und in eine Ganzzahl konvertiert.
ClientIP event.idm.read_only_udm.principal.ip Direkt zugeordnet.
ClientPort event.idm.read_only_udm.principal.port Direkt zugeordnet und in eine Ganzzahl konvertiert.
ClientCountry event.idm.read_only_udm.principal.location.country_or_region Direkt zugeordnet, wenn nicht „UNKNOWN“ oder leerer String.
ClientAssetID event.idm.read_only_udm.principal.asset_id Wird mit „Asset:“ vorangestellt, wenn nicht „0“ oder ein leerer String.
ClientAssetName event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: value of ClientAssetName Als primäres Ressourcenlabel zugeordnet.
ClientAssetRole event.idm.read_only_udm.principal.asset.attribute.roles[].name Direkt zugeordnet.
ClientAssetServices event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: value of ClientAssetServices Als primäres Ressourcenlabel zugeordnet.
Kunde event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: value of Client Als primäres Ressourcenlabel zugeordnet.
Collector event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: value of Collector Als Erkennungsfeld zugeordnet.
Befehl event.idm.read_only_udm.network.http.method Direkt zugeordnet für HTTP-Ereignisse.
Befehl event.idm.read_only_udm.security_result.detection_fields[].key: „Command“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von „Command“ Als Erkennungsfeld zugeordnet.
Verbindung event.idm.read_only_udm.security_result.detection_fields[].key: „Connection“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von „Connection“ Als Erkennungsfeld zugeordnet.
DecodingPath event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: value of DecodingPath Als Erkennungsfeld zugeordnet.
dest_country event.idm.read_only_udm.target.location.country_or_region Direkt zugeordnet.
dest_domain event.idm.read_only_udm.target.hostname Direkt zugeordnet.
dest_ip event.idm.read_only_udm.target.ip Direkt zugeordnet.
dest_port event.idm.read_only_udm.target.port Direkt zugeordnet und in eine Ganzzahl konvertiert.
Richtung event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: value of Direction Als Erkennungsfeld zugeordnet.
dns.host event.idm.read_only_udm.network.dns.questions[].name Direkt für DNS-Ereignisse zugeordnet.
DomainName event.idm.read_only_udm.target.administrative_domain Direkt zugeordnet.
DomainAlexaRank event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: value of DomainAlexaRank Als Erkennungsfeld zugeordnet.
dport event.idm.read_only_udm.target.port Direkt zugeordnet und in eine Ganzzahl konvertiert.
dnsresolution.server_fqdn event.idm.read_only_udm.target.hostname Direkt zugeordnet.
Dauer event.idm.read_only_udm.security_result.detection_fields[].key: "Duration", event.idm.read_only_udm.security_result.detection_fields[].value: value of Duration Als Erkennungsfeld zugeordnet.
Verschlüsselt event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: value of Encrypted Als Erkennungsfeld zugeordnet.
Entropie event.idm.read_only_udm.security_result.detection_fields[].key: „Entropy“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von „Entropy“ Als Erkennungsfeld zugeordnet.
event.idm.read_only_udm.additional.fields event.idm.read_only_udm.additional.fields Enthält verschiedene zusätzliche Felder, die auf der Parserlogik basieren.
event.idm.read_only_udm.metadata.description event.idm.read_only_udm.metadata.description Direkt aus dem Zusammenfassungsfeld zugeordnet.
event.idm.read_only_udm.metadata.event_type event.idm.read_only_udm.metadata.event_type Wird anhand verschiedener Logfelder und der Parserlogik ermittelt. Kann GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE oder NETWORK_FLOW sein.
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type Legen Sie diesen Wert auf „FIDELIS_NETWORK“ fest.
event.idm.read_only_udm.metadata.product_name event.idm.read_only_udm.metadata.product_name Legen Sie diesen Wert auf „FIDELIS_NETWORK“ fest.
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Legen Sie diesen Wert auf „FIDELIS_NETWORK“ fest.
event.idm.read_only_udm.network.application_protocol event.idm.read_only_udm.network.application_protocol Wird anhand des Felds „server_port“ oder „protocol“ bestimmt. Kann HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS oder AOLMAIL sein.
event.idm.read_only_udm.network.direction event.idm.read_only_udm.network.direction Wird anhand des Richtungsfelds oder der Keywords in der Zusammenfassung bestimmt. Kann INBOUND oder OUTBOUND sein.
event.idm.read_only_udm.network.dns.answers event.idm.read_only_udm.network.dns.answers Wird für DNS-Ereignisse ausgefüllt.
event.idm.read_only_udm.network.dns.id event.idm.read_only_udm.network.dns.id Wird aus dem Zahlenfeld für DNS-Ereignisse zugeordnet.
event.idm.read_only_udm.network.dns.questions event.idm.read_only_udm.network.dns.questions Wird für DNS-Ereignisse ausgefüllt.
event.idm.read_only_udm.network.email.from event.idm.read_only_udm.network.email.from Direkt aus „From“ zugeordnet, wenn es sich um eine gültige E‑Mail-Adresse handelt.
event.idm.read_only_udm.network.email.subject event.idm.read_only_udm.network.email.subject Direkt aus „Subject“ (Betreff) zugeordnet.
event.idm.read_only_udm.network.email.to event.idm.read_only_udm.network.email.to Direkt aus „An“ zugeordnet.
event.idm.read_only_udm.network.ftp.command event.idm.read_only_udm.network.ftp.command Direkt zugeordnet von ftp.command.
event.idm.read_only_udm.network.http.method event.idm.read_only_udm.network.http.method Direkt aus http.command oder Command zugeordnet.
event.idm.read_only_udm.network.http.referral_url event.idm.read_only_udm.network.http.referral_url Direkt aus „Referer“ abgeleitet.
event.idm.read_only_udm.network.http.response_code event.idm.read_only_udm.network.http.response_code Direkt aus http.status_code oder StatusCode zugeordnet und in eine Ganzzahl konvertiert.
event.idm.read_only_udm.network.http.user_agent event.idm.read_only_udm.network.http.user_agent Direkt aus http.useragent oder UserAgent abgeleitet.
event.idm.read_only_udm.network.ip_protocol event.idm.read_only_udm.network.ip_protocol Direkt aus „tproto“ abgeleitet, wenn es sich um TCP oder UDP handelt.
event.idm.read_only_udm.network.received_bytes event.idm.read_only_udm.network.received_bytes Umbenannt von „event1.server_packet_count“ und in eine vorzeichenlose Ganzzahl konvertiert.
event.idm.read_only_udm.network.sent_bytes event.idm.read_only_udm.network.sent_bytes Umbenannt von „event1.client_packet_count“ und in eine vorzeichenlose Ganzzahl konvertiert.
event.idm.read_only_udm.network.session_duration.seconds event.idm.read_only_udm.network.session_duration.seconds Umbenannt von „event1.session_size“ und in eine Ganzzahl konvertiert.
event.idm.read_only_udm.network.session_id event.idm.read_only_udm.network.session_id Direkt zugeordnet von event1.rel_sesid oder UserSessionID.
event.idm.read_only_udm.network.tls.client.certificate.issuer event.idm.read_only_udm.network.tls.client.certificate.issuer Direkt aus event1.certificate_issuer_name zugeordnet.
event.idm.read_only_udm.network.tls.client.certificate.not_after event.idm.read_only_udm.network.tls.client.certificate.not_after Aus event1.certificate_end_date geparst und in einen Zeitstempel umgewandelt.
event.idm.read_only_udm.network.tls.client.certificate.not_before event.idm.read_only_udm.network.tls.client.certificate.not_before Aus „event1.certificate_start_date“ geparst und in einen Zeitstempel konvertiert.
event.idm.read_only_udm.network.tls.client.certificate.subject event.idm.read_only_udm.network.tls.client.certificate.subject Direkt zugeordnet von event1.certificate_subject_name.
event.idm.read_only_udm.network.tls.client.ja3 event.idm.read_only_udm.network.tls.client.ja3 Direkt aus „event1.ja3digest“ zugeordnet und in einen String konvertiert.
event.idm.read_only_udm.network.tls.cipher event.idm.read_only_udm.network.tls.cipher Direkt zugeordnet von event1.cipher, CipherSuite, cipher oder event1.tls_ciphersuite.
event.idm.read_only_udm.network.tls.server.certificate.issuer event.idm.read_only_udm.network.tls.server.certificate.issuer Direkt aus „certificate_issuer_name“ zugeordnet.
event.idm.read_only_udm.network.tls.server.certificate.subject event.idm.read_only_udm.network.tls.server.certificate.subject Direkt aus „certificate_subject_name“ abgeleitet.
event.idm.read_only_udm.network.tls.server.ja3s event.idm.read_only_udm.network.tls.server.ja3s Direkt aus „event1.ja3sdigest“ zugeordnet und in einen String konvertiert.
event.idm.read_only_udm.network.tls.version event.idm.read_only_udm.network.tls.version Direkt aus event1.version zugeordnet.
event.idm.read_only_udm.principal.application event.idm.read_only_udm.principal.application Direkt aus event1.client_asset_name zugeordnet.
event.idm.read_only_udm.principal.asset.attribute.roles[].name event.idm.read_only_udm.principal.asset.attribute.roles[].name Direkt aus ClientAssetRole zugeordnet.
event.idm.read_only_udm.principal.asset_id event.idm.read_only_udm.principal.asset_id Direkt zugeordnet von ClientAssetID oder ServerAssetID (mit dem Präfix „Asset:“).
event.idm.read_only_udm.principal.hostname event.idm.read_only_udm.principal.hostname Direkt aus event1.sld oder src_domain zugeordnet.
event.idm.read_only_udm.principal.ip event.idm.read_only_udm.principal.ip Direkt zugeordnet aus „event1.src_ip6“, „client_ip“ oder „ClientIP“.
event.idm.read_only_udm.principal.location.country_or_region event.idm.read_only_udm.principal.location.country_or_region Direkt aus „ClientCountry“ oder „src_country“ abgeleitet, wenn nicht „UNKNOWN“ oder ein leerer String.
event.idm.read_only_udm.principal.port event.idm.read_only_udm.principal.port Direkt aus event1.sport oder client_port zugeordnet und in eine Ganzzahl umgewandelt.
event.idm.read_only_udm.principal.resource.attribute.labels event.idm.read_only_udm.principal.resource.attribute.labels Enthält verschiedene Labels, die auf der Parserlogik basieren.
event.idm.read_only_udm.principal.user.userid event.idm.read_only_udm.principal.user.userid Direkt von ftp.user oder AppUser zugeordnet.
event.idm.read_only_udm.security_result.action event.idm.read_only_udm.security_result.action Wird anhand des Schweregrads bestimmt. Mögliche Werte: ALLOW, BLOCK oder UNKNOWN_ACTION.
event.idm.read_only_udm.security_result.action_details event.idm.read_only_udm.security_result.action_details Direkt aus „Action“ zugeordnet, wenn nicht „none“ oder leerer String.
event.idm.read_only_udm.security_result.category event.idm.read_only_udm.security_result.category Wird auf NETWORK_SUSPICIOUS gesetzt, wenn malware_type vorhanden ist.
event.idm.read_only_udm.security_result.detection_fields event.idm.read_only_udm.security_result.detection_fields Enthält verschiedene Erkennungsfelder, die auf der Parserlogik basieren.
event.idm.read_only_udm.security_result.rule_name event.idm.read_only_udm.security_result.rule_name Direkt aus „rule_name“ zugeordnet.
event.idm.read_only_udm.security_result.severity event.idm.read_only_udm.security_result.severity Wird anhand des Schweregrads bestimmt. Kann INFORMATIONAL, MEDIUM, ERROR oder CRITICAL sein.
event.idm.read_only_udm.security_result.summary event.idm.read_only_udm.security_result.summary Direkt vom Label zugeordnet.
event.idm.read_only_udm.security_result.threat_name event.idm.read_only_udm.security_result.threat_name Direkt aus „malware_type“ zugeordnet oder aus der Zusammenfassung geparst, wenn sie „CVE-“ enthält.
event.idm.read_only_udm.target.administrative_domain event.idm.read_only_udm.target.administrative_domain Direkt von DomainName zugeordnet.
event.idm.read_only_udm.target.asset.attribute.roles[].name event.idm.read_only_udm.target.asset.attribute.roles[].name Direkt von ServerAssetRole zugeordnet.
event.idm.read_only_udm.target.file.full_path event.idm.read_only_udm.target.file.full_path Direkt zugeordnet von ftp.filename oder Filename.
event.idm.read_only_udm.target.file.md5 event.idm.read_only_udm.target.file.md5 Direkt aus event1.md5 oder md5 zugeordnet.
event.idm.read_only_udm.target.file.mime_type event.idm.read_only_udm.target.file.mime_type Direkt aus event1.filetype zugeordnet.
event.idm.read_only_udm.target.file.sha1 event.idm.read_only_udm.target.file.sha1 Direkt aus event1.srvcerthash zugeordnet.
event.idm.read_only_udm.target.file.sha256 event.idm.read_only_udm.target.file.sha256 Direkt aus „event1.sha256“ oder „sha256“ zugeordnet.
event.idm.read_only_udm.target.file.size event.idm.read_only_udm.target.file.size Wurde von „event1.filesize“ umbenannt und in eine vorzeichenlose Ganzzahl konvertiert, wenn der Wert nicht 0 ist.
event.idm.read_only_udm.target.hostname event.idm.read_only_udm.target.hostname Direkt aus event1.sni, dest_domain oder Host zugeordnet.
event.idm.read_only_udm.target.ip event.idm.read_only_udm.target.ip Direkt aus event1.dst_ip6, server_ip oder ServerIP zugeordnet.
event.idm.read_only_udm.target.location.country_or_region event.idm.read_only_udm.target.location.country_or_region Direkt aus „dest_country“ oder „ServerCountry“ abgeleitet.
event.idm.read_only_udm.target.platform event.idm.read_only_udm.target.platform Wird nach der Normalisierung aus „asset_os“ zugeordnet.
event.idm.read_only_udm.target.platform_version event.idm.read_only_udm.target.platform_version Direkt aus os_version zugeordnet.
event.idm.read_only_udm.target.port event.idm.read_only_udm.target.port Direkt aus event1.dport oder server_port zugeordnet und in eine Ganzzahl konvertiert.
event.idm.read_only_udm.target.resource.attribute.labels event.idm.read_only_udm.target.resource.attribute.labels Enthält verschiedene Labels, die auf der Parserlogik basieren.
event.idm.read_only_udm.target.url event.idm.read_only_udm.target.url Direkt aus „url“ oder „URL“ zugeordnet.
event.idm.read_only_udm.target.user.product_object_id event.idm.read_only_udm.target.user.product_object_id Direkt aus der UUID zugeordnet.
event1.certificate_end_date event.idm.read_only_udm.network.tls.client.certificate.not_after Geparsed und in einen Zeitstempel konvertiert.
event1.certificate_extended_key_usage event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_extended_key_usage Als zusätzliches Feld zugeordnet.
event1.certificate_issuer_name event.idm.read_only_udm.network.tls.client.certificate.issuer Direkt zugeordnet.
event1.certificate_key_length event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_key_length Als zusätzliches Feld zugeordnet.
event1.certificate_key_usage event.idm.read_only_udm.additional.fields[].key: „Key Usage“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von event1.certificate_key_usage Als zusätzliches Feld zugeordnet.
event1.certificate_start_date event.idm.read_only_udm.network.tls.client.certificate.not_before Geparsed und in einen Zeitstempel konvertiert.
event1.certificate_subject_altname event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_subject_altname Als zusätzliches Feld zugeordnet.
event1.certificate_subject_name event.idm.read_only_udm.network.tls.client.certificate.subject Direkt zugeordnet.
event1.client_asset_name event.idm.read_only_udm.principal.application Direkt zugeordnet.
event1.client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.client_asset_subnet Als zusätzliches Feld zugeordnet.
event1.client_packet_count event.idm.read_only_udm.network.sent_bytes In eine vorzeichenlose Ganzzahl konvertiert und umbenannt.
event1.cipher event.idm.read_only_udm.network.tls.cipher Direkt zugeordnet.
event1.direction event.idm.read_only_udm.network.direction Wird INBOUND zugeordnet, wenn „s2c“, oder OUTBOUND, wenn „c2s“.
event1.d

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten