Recopila registros de Fidelis Network

Se admite en los siguientes sistemas operativos:

En este documento, se explica cómo transferir registros de Fidelis Network a Google Security Operations con Bindplane.

Fidelis Network es una solución de detección y respuesta de red (NDR) que proporciona una inspección de contenido detallada, análisis a nivel de la sesión y respuesta automatizada ante amenazas. Supervisa el tráfico de red en tiempo real para detectar amenazas avanzadas, intentos de robo de datos y violaciones de políticas en todos los puertos y protocolos. El analizador extrae campos de los registros con formato syslog de Fidelis Network usando patrones de KV y JSON. Luego, asigna estos valores al modelo de datos unificado (UDM). También establece valores de metadatos predeterminados para el origen y el tipo del evento.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Windows Server 2016 o versiones posteriores, o host de Linux con systemd
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
  • Acceso privilegiado a la interfaz web de Fidelis Network CommandPost

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el comando siguiente:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Espera a que se complete la instalación.

  4. Ejecute el siguiente comando para verificar la instalación:

    sc query observiq-otel-collector

El servicio debe mostrarse como RUNNING.

Instalación en Linux

  1. Abre una terminal con privilegios de administrador o sudo.

  2. Ejecuta el comando siguiente:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Espera a que se complete la instalación.

  4. Ejecute el siguiente comando para verificar la instalación:

    sudo systemctl status observiq-otel-collector

El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

  • Reemplaza todo el contenido de config.yaml con la siguiente configuración:

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'FIDELIS_NETWORK'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Parámetros de configuración

  • Reemplaza los marcadores de posición que se indican más abajo:

    • Configuración del receptor:

      • tcplog: Usa udplog para el registro del sistema UDP o tcplog para el registro del sistema TCP.
      • 0.0.0.0: Dirección IP en la que se realizará la escucha (0.0.0.0 para escuchar en todas las interfaces)
      • 514: Número de puerto en el que se debe escuchar (puerto syslog estándar)

    • Configuración del exportador:

      • creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: ID de cliente de la sección Obtén el ID de cliente
      • endpoint: URL del extremo regional:
        • EE.UU.: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Consulta Extremos regionales para obtener la lista completa.
      • log_type: Tipo de registro tal como aparece en Chronicle (FIDELIS_NETWORK)

Guarda el archivo de configuración

  • Después de editarlo, guarda el archivo:
    • Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
    • Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifica que el servicio esté en ejecución:

        sudo systemctl status observiq-otel-collector

    2. Revisa los registros en busca de errores:

        sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:

    • Símbolo del sistema o PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Consola de Services:

      1. Presiona Win+R, escribe services.msc y presiona Intro.
      2. Busca observIQ OpenTelemetry Collector.

      3. Haz clic con el botón derecho y selecciona Reiniciar.

      4. Verifica que el servicio esté en ejecución:

        sc query observiq-otel-collector

      5. Revisa los registros en busca de errores:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura el reenvío de syslog de Fidelis Network

  1. Accede a la interfaz web de CommandPost de Fidelis Network.
  2. Ve a Sistema > Exportar > Syslog.
  3. Haz clic en Add Syslog Server.
  4. Proporciona los siguientes detalles de configuración:
    • Nombre: Ingresa un nombre descriptivo (por ejemplo, Google-SecOps-Bindplane).
    • Dirección IP o nombre de host: Ingresa la dirección IP del host del agente de BindPlane.
    • Puerto: Ingresa 514.
    • Protocolo: Selecciona TCP.
    • Formato: Selecciona CEF (formato de evento común) o Syslog según tus requisitos de análisis.
    • Facility: Selecciona LOCAL0 (o la instalación que prefieras).
    • Gravedad: Selecciona Informativo (o el nivel de gravedad que prefieras).
  5. En la sección Alert Types, selecciona los eventos que deseas reenviar:
    • Eventos de alerta
    • Eventos de software malicioso
    • Eventos de la DLP
    • Eventos de DNS
    • Eventos de sesión
  6. Haz clic en Guardar.
  7. Para verificar que se envíen los mensajes de syslog, consulta los registros del agente de Bindplane.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
aaction event.idm.read_only_udm.security_result.action_details Se asigna directamente si no es "none" o una cadena vacía.
alert_threat_score event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: value of alert_threat_score Se asigna directamente como un campo de detección.
alert_type event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: value of alert_type Se asigna directamente como un campo de detección.
respuestas event.idm.read_only_udm.network.dns.answers[].data Se asigna directamente para los eventos de DNS.
application_user event.idm.read_only_udm.principal.user.userid Se asigna directamente.
asset_os event.idm.read_only_udm.target.platform Se normaliza a WINDOWS, LINUX, MAC o UNKNOWN_PLATFORM.
certificate.end_date event.idm.read_only_udm.network.tls.client.certificate.not_after Se analizó y convirtió a una marca de tiempo.
certificate.extended_key_usage event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.extended_key_usage Se asigna como un campo adicional.
certificate.issuer_name event.idm.read_only_udm.network.tls.server.certificate.issuer Se asigna directamente.
certificate.key_length event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_length Se asigna como un campo adicional.
certificate.key_usage event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_usage Se asigna como un campo adicional.
certificate.start_date event.idm.read_only_udm.network.tls.client.certificate.not_before Se analizó y convirtió a una marca de tiempo.
certificate.subject_altname event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.subject_altname Se asigna como un campo adicional.
certificate.subject_name event.idm.read_only_udm.network.tls.server.certificate.subject Se asigna directamente.
certificate.type event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.type Se asigna como un campo adicional.
cifrado event.idm.read_only_udm.network.tls.cipher Se asigna directamente.
client_asset_name event.idm.read_only_udm.principal.application Se asigna directamente.
client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: valor de client_asset_subnet Se asigna como un campo adicional.
client_ip event.idm.read_only_udm.principal.ip Se asigna directamente.
client_port event.idm.read_only_udm.principal.port Se asigna y convierte directamente en un número entero.
ClientIP event.idm.read_only_udm.principal.ip Se asigna directamente.
ClientPort event.idm.read_only_udm.principal.port Se asigna y convierte directamente en un número entero.
ClientCountry event.idm.read_only_udm.principal.location.country_or_region Se asigna directamente si no es "UNKNOWN" o una cadena vacía.
ClientAssetID event.idm.read_only_udm.principal.asset_id Se antepone "Asset:" si no es "0" o una cadena vacía.
ClientAssetName event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de ClientAssetName Se asigna como una etiqueta de recurso principal.
ClientAssetRole event.idm.read_only_udm.principal.asset.attribute.roles[].name Se asigna directamente.
ClientAssetServices event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de ClientAssetServices Se asigna como una etiqueta de recurso principal.
Cliente event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: value of Client Se asigna como una etiqueta de recurso principal.
Recopilador event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Collector Se asigna como un campo de detección.
comando event.idm.read_only_udm.network.http.method Se asigna directamente para los eventos HTTP.
Comando event.idm.read_only_udm.security_result.detection_fields[].key: "Command", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Command Se asigna como un campo de detección.
Conexión event.idm.read_only_udm.security_result.detection_fields[].key: "Connection", event.idm.read_only_udm.security_result.detection_fields[].value: value of Connection Se asigna como un campo de detección.
DecodingPath event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: value of DecodingPath Se asigna como un campo de detección.
dest_country event.idm.read_only_udm.target.location.country_or_region Se asigna directamente.
dest_domain event.idm.read_only_udm.target.hostname Se asigna directamente.
dest_ip event.idm.read_only_udm.target.ip Se asigna directamente.
dest_port event.idm.read_only_udm.target.port Se asigna y convierte directamente en un número entero.
Dirección event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Direction Se asigna como un campo de detección.
dns.host event.idm.read_only_udm.network.dns.questions[].name Se asigna directamente para los eventos de DNS.
DomainName event.idm.read_only_udm.target.administrative_domain Se asigna directamente.
DomainAlexaRank event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: valor de DomainAlexaRank Se asigna como un campo de detección.
dport event.idm.read_only_udm.target.port Se asigna y convierte directamente en un número entero.
dnsresolution.server_fqdn event.idm.read_only_udm.target.hostname Se asigna directamente.
Duración event.idm.read_only_udm.security_result.detection_fields[].key: "Duration", event.idm.read_only_udm.security_result.detection_fields[].value: value of Duration Se asigna como un campo de detección.
Encriptado event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Encrypted Se asigna como un campo de detección.
Entropía event.idm.read_only_udm.security_result.detection_fields[].key: "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value: value of Entropy Se asigna como un campo de detección.
event.idm.read_only_udm.additional.fields event.idm.read_only_udm.additional.fields Contiene varios campos adicionales basados en la lógica del analizador.
event.idm.read_only_udm.metadata.description event.idm.read_only_udm.metadata.description Se asigna directamente desde el campo de resumen.
event.idm.read_only_udm.metadata.event_type event.idm.read_only_udm.metadata.event_type Se determina en función de varios campos de registro y la lógica del analizador. Puede ser GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE o NETWORK_FLOW.
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type Se debe establecer en "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.product_name event.idm.read_only_udm.metadata.product_name Se debe establecer en "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Se debe establecer en "FIDELIS_NETWORK".
event.idm.read_only_udm.network.application_protocol event.idm.read_only_udm.network.application_protocol Se determina según el campo server_port o protocol. Puede ser HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS o AOLMAIL.
event.idm.read_only_udm.network.direction event.idm.read_only_udm.network.direction Se determina según el campo de dirección o las palabras clave del resumen. Puede ser INBOUND o OUTBOUND.
event.idm.read_only_udm.network.dns.answers event.idm.read_only_udm.network.dns.answers Se propaga para los eventos de DNS.
event.idm.read_only_udm.network.dns.id event.idm.read_only_udm.network.dns.id Se asigna desde el campo de número para los eventos de DNS.
event.idm.read_only_udm.network.dns.questions event.idm.read_only_udm.network.dns.questions Se propaga para los eventos de DNS.
event.idm.read_only_udm.network.email.from event.idm.read_only_udm.network.email.from Se asigna directamente desde From si es una dirección de correo electrónico válida.
event.idm.read_only_udm.network.email.subject event.idm.read_only_udm.network.email.subject Se asigna directamente desde Subject.
event.idm.read_only_udm.network.email.to event.idm.read_only_udm.network.email.to Se asigna directamente desde To.
event.idm.read_only_udm.network.ftp.command event.idm.read_only_udm.network.ftp.command Se asigna directamente desde ftp.command.
event.idm.read_only_udm.network.http.method event.idm.read_only_udm.network.http.method Se asigna directamente desde http.command o Command.
event.idm.read_only_udm.network.http.referral_url event.idm.read_only_udm.network.http.referral_url Se asigna directamente desde el encabezado Referer.
event.idm.read_only_udm.network.http.response_code event.idm.read_only_udm.network.http.response_code Se asigna directamente desde http.status_code o StatusCode y se convierte en un número entero.
event.idm.read_only_udm.network.http.user_agent event.idm.read_only_udm.network.http.user_agent Se asigna directamente desde http.useragent o UserAgent.
event.idm.read_only_udm.network.ip_protocol event.idm.read_only_udm.network.ip_protocol Se asigna directamente desde tproto si es TCP o UDP.
event.idm.read_only_udm.network.received_bytes event.idm.read_only_udm.network.received_bytes Se cambió el nombre de event1.server_packet_count y se convirtió en un número entero sin signo.
event.idm.read_only_udm.network.sent_bytes event.idm.read_only_udm.network.sent_bytes Se cambió el nombre de event1.client_packet_count y se convirtió en un número entero sin signo.
event.idm.read_only_udm.network.session_duration.seconds event.idm.read_only_udm.network.session_duration.seconds Se cambió el nombre de event1.session_size y se convirtió en un número entero.
event.idm.read_only_udm.network.session_id event.idm.read_only_udm.network.session_id Se asigna directamente desde event1.rel_sesid o UserSessionID.
event.idm.read_only_udm.network.tls.client.certificate.issuer event.idm.read_only_udm.network.tls.client.certificate.issuer Se asigna directamente desde event1.certificate_issuer_name.
event.idm.read_only_udm.network.tls.client.certificate.not_after event.idm.read_only_udm.network.tls.client.certificate.not_after Se analizó a partir de event1.certificate_end_date y se convirtió en una marca de tiempo.
event.idm.read_only_udm.network.tls.client.certificate.not_before event.idm.read_only_udm.network.tls.client.certificate.not_before Se analizó a partir de event1.certificate_start_date y se convirtió en una marca de tiempo.
event.idm.read_only_udm.network.tls.client.certificate.subject event.idm.read_only_udm.network.tls.client.certificate.subject Se asigna directamente desde event1.certificate_subject_name.
event.idm.read_only_udm.network.tls.client.ja3 event.idm.read_only_udm.network.tls.client.ja3 Se asigna directamente desde event1.ja3digest y se convierte en una cadena.
event.idm.read_only_udm.network.tls.cipher event.idm.read_only_udm.network.tls.cipher Se asigna directamente desde event1.cipher, CipherSuite, cipher o event1.tls_ciphersuite.
event.idm.read_only_udm.network.tls.server.certificate.issuer event.idm.read_only_udm.network.tls.server.certificate.issuer Se asigna directamente desde certificate_issuer_name.
event.idm.read_only_udm.network.tls.server.certificate.subject event.idm.read_only_udm.network.tls.server.certificate.subject Se asigna directamente desde certificate_subject_name.
event.idm.read_only_udm.network.tls.server.ja3s event.idm.read_only_udm.network.tls.server.ja3s Se asigna directamente desde event1.ja3sdigest y se convierte en una cadena.
event.idm.read_only_udm.network.tls.version event.idm.read_only_udm.network.tls.version Se asigna directamente desde event1.version.
event.idm.read_only_udm.principal.application event.idm.read_only_udm.principal.application Se asigna directamente desde event1.client_asset_name.
event.idm.read_only_udm.principal.asset.attribute.roles[].name event.idm.read_only_udm.principal.asset.attribute.roles[].name Se asigna directamente desde ClientAssetRole.
event.idm.read_only_udm.principal.asset_id event.idm.read_only_udm.principal.asset_id Se asigna directamente desde ClientAssetID o ServerAssetID (con el prefijo "Asset:").
event.idm.read_only_udm.principal.hostname event.idm.read_only_udm.principal.hostname Se asigna directamente desde event1.sld o src_domain.
event.idm.read_only_udm.principal.ip event.idm.read_only_udm.principal.ip Se asigna directamente desde event1.src_ip6, client_ip o ClientIP.
event.idm.read_only_udm.principal.location.country_or_region event.idm.read_only_udm.principal.location.country_or_region Se asigna directamente desde ClientCountry o src_country si no es "UNKNOWN" o una cadena vacía.
event.idm.read_only_udm.principal.port event.idm.read_only_udm.principal.port Se asigna directamente desde event1.sport o client_port y se convierte en un número entero.
event.idm.read_only_udm.principal.resource.attribute.labels event.idm.read_only_udm.principal.resource.attribute.labels Contiene varias etiquetas basadas en la lógica del analizador.
event.idm.read_only_udm.principal.user.userid event.idm.read_only_udm.principal.user.userid Se asigna directamente desde ftp.user o AppUser.
event.idm.read_only_udm.security_result.action event.idm.read_only_udm.security_result.action Se determina según la gravedad. Puede ser ALLOW, BLOCK o UNKNOWN_ACTION.
event.idm.read_only_udm.security_result.action_details event.idm.read_only_udm.security_result.action_details Se asigna directamente desde Action si no es "none" o una cadena vacía.
event.idm.read_only_udm.security_result.category event.idm.read_only_udm.security_result.category Se establece en NETWORK_SUSPICIOUS si malware_type está presente.
event.idm.read_only_udm.security_result.detection_fields event.idm.read_only_udm.security_result.detection_fields Contiene varios campos de detección basados en la lógica del analizador.
event.idm.read_only_udm.security_result.rule_name event.idm.read_only_udm.security_result.rule_name Se asigna directamente desde rule_name.
event.idm.read_only_udm.security_result.severity event.idm.read_only_udm.security_result.severity Se determina según la gravedad. Puede ser INFORMATIONAL, MEDIUM, ERROR o CRITICAL.
event.idm.read_only_udm.security_result.summary event.idm.read_only_udm.security_result.summary Se asigna directamente desde la etiqueta.
event.idm.read_only_udm.security_result.threat_name event.idm.read_only_udm.security_result.threat_name Se asigna directamente desde malware_type o se analiza desde el resumen si contiene "CVE-".
event.idm.read_only_udm.target.administrative_domain event.idm.read_only_udm.target.administrative_domain Se asigna directamente desde DomainName.
event.idm.read_only_udm.target.asset.attribute.roles[].name event.idm.read_only_udm.target.asset.attribute.roles[].name Se asigna directamente desde ServerAssetRole.
event.idm.read_only_udm.target.file.full_path event.idm.read_only_udm.target.file.full_path Se asigna directamente desde ftp.filename o Filename.
event.idm.read_only_udm.target.file.md5 event.idm.read_only_udm.target.file.md5 Se asigna directamente desde event1.md5 o md5.
event.idm.read_only_udm.target.file.mime_type event.idm.read_only_udm.target.file.mime_type Se asigna directamente desde event1.filetype.
event.idm.read_only_udm.target.file.sha1 event.idm.read_only_udm.target.file.sha1 Se asigna directamente desde event1.srvcerthash.
event.idm.read_only_udm.target.file.sha256 event.idm.read_only_udm.target.file.sha256 Se asigna directamente desde event1.sha256 o sha256.
event.idm.read_only_udm.target.file.size event.idm.read_only_udm.target.file.size Se cambió el nombre de event1.filesize y se convirtió en un número entero sin signo si no es 0.
event.idm.read_only_udm.target.hostname event.idm.read_only_udm.target.hostname Se asigna directamente desde event1.sni, dest_domain o Host.
event.idm.read_only_udm.target.ip event.idm.read_only_udm.target.ip Se asigna directamente desde event1.dst_ip6 o server_ip o ServerIP.
event.idm.read_only_udm.target.location.country_or_region event.idm.read_only_udm.target.location.country_or_region Se asigna directamente desde dest_country o ServerCountry.
event.idm.read_only_udm.target.platform event.idm.read_only_udm.target.platform Se asigna desde asset_os después de la normalización.
event.idm.read_only_udm.target.platform_version event.idm.read_only_udm.target.platform_version Se asigna directamente desde os_version.
event.idm.read_only_udm.target.port event.idm.read_only_udm.target.port Se asigna directamente desde event1.dport o server_port y se convierte en un número entero.
event.idm.read_only_udm.target.resource.attribute.labels event.idm.read_only_udm.target.resource.attribute.labels Contiene varias etiquetas basadas en la lógica del analizador.
event.idm.read_only_udm.target.url event.idm.read_only_udm.target.url Se asigna directamente desde la URL.
event.idm.read_only_udm.target.user.product_object_id event.idm.read_only_udm.target.user.product_object_id Se asigna directamente desde el UUID.
event1.certificate_end_date event.idm.read_only_udm.network.tls.client.certificate.not_after Se analizó y convirtió a una marca de tiempo.
event1.certificate_extended_key_usage event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_extended_key_usage Se asigna como un campo adicional.
event1.certificate_issuer_name event.idm.read_only_udm.network.tls.client.certificate.issuer Se asigna directamente.
event1.certificate_key_length event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_key_length Se asigna como un campo adicional.
event1.certificate_key_usage event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_key_usage Se asigna como un campo adicional.
event1.certificate_start_date event.idm.read_only_udm.network.tls.client.certificate.not_before Se analizó y convirtió a una marca de tiempo.
event1.certificate_subject_altname event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_subject_altname Se asigna como un campo adicional.
event1.certificate_subject_name event.idm.read_only_udm.network.tls.client.certificate.subject Se asigna directamente.
event1.client_asset_name event.idm.read_only_udm.principal.application Se asigna directamente.
event1.client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.client_asset_subnet Se asigna como un campo adicional.
event1.client_packet_count event.idm.read_only_udm.network.sent_bytes Se convirtió en un número entero sin firma y se cambió el nombre.
event1.cipher event.idm.read_only_udm.network.tls.cipher Se asigna directamente.
event1.direction event.idm.read_only_udm.network.direction Se asigna a INBOUND si es "s2c" o a OUTBOUND si es "c2s".
event1.d

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.