Collecter les journaux Fidelis Network

Compatible avec :

Ce document explique comment ingérer des journaux Fidelis Network dans Google Security Operations à l'aide de Bindplane.

Fidelis Network est une solution de détection et de réponse réseau (NDR) qui offre une inspection approfondie du contenu, une analyse au niveau de la session et une réponse automatisée aux menaces. Il surveille le trafic réseau en temps réel pour détecter les menaces avancées, les tentatives d'exfiltration de données et les cas de non-respect des règles sur tous les ports et protocoles. L'analyseur extrait les champs des journaux au format syslog Fidelis Network à l'aide de modèles KV et JSON. Il mappe ensuite ces valeurs au modèle de données unifié (UDM). Il définit également les valeurs de métadonnées par défaut pour la source et le type d'événement.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès privilégié à l'interface Web Fidelis Network CommandPost

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sc query observiq-otel-collector

Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sudo systemctl status observiq-otel-collector

Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

  • Linux :

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

  • Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'FIDELIS_NETWORK'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Paramètres de configuration

  • Remplacez les espaces réservés suivants :

    • Configuration du récepteur :

      • tcplog : utilisez udplog pour syslog UDP ou tcplog pour syslog TCP.
      • 0.0.0.0 : adresse IP à écouter (0.0.0.0 pour écouter sur toutes les interfaces)
      • 514 : numéro de port à écouter (port syslog standard)

    • Configuration de l'exportateur :

      • creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
        • Linux : /etc/bindplane-agent/ingestion-auth.json
        • Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID : ID client de la section "Obtenir l'ID client"
      • endpoint : URL du point de terminaison régional :
        • États-Unis : malachiteingestion-pa.googleapis.com
        • Europe : europe-malachiteingestion-pa.googleapis.com
        • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
        • Pour obtenir la liste complète, consultez Points de terminaison régionaux.
      • log_type : type de journal tel qu'il apparaît dans Chronicle (FIDELIS_NETWORK)

Enregistrez le fichier de configuration.

  • Après avoir modifié le fichier, enregistrez-le :
    • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
    • Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart observiq-otel-collector

    1. Vérifiez que le service est en cours d'exécution :

        sudo systemctl status observiq-otel-collector

    2. Recherchez les erreurs dans les journaux :

        sudo journalctl -u observiq-otel-collector -f

  • Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :

    • Invite de commandes ou PowerShell en tant qu'administrateur :

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console Services :

      1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
      2. Localisez observIQ OpenTelemetry Collector.

      3. Effectuez un clic droit, puis sélectionnez Redémarrer.

      4. Vérifiez que le service est en cours d'exécution :

        sc query observiq-otel-collector

      5. Recherchez les erreurs dans les journaux :

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer le transfert syslog de Fidelis Network

  1. Connectez-vous à l'interface Web CommandPost de Fidelis Network.
  2. Accédez à Système > Exporter > Syslog.
  3. Cliquez sur Ajouter un serveur Syslog.
  4. Fournissez les informations de configuration suivantes :
    • Nom : saisissez un nom descriptif (par exemple, Google-SecOps-Bindplane).
    • Adresse IP/Nom d'hôte : saisissez l'adresse IP de l'hôte de l'agent Bindplane.
    • Port : saisissez 514.
    • Protocole : sélectionnez TCP.
    • Format : sélectionnez CEF (Common Event Format) ou Syslog en fonction de vos besoins d'analyse.
    • Établissement : sélectionnez LOCAL0 (ou l'établissement de votre choix).
    • Gravité : sélectionnez Informationnel (ou le niveau de gravité de votre choix).
  5. Dans la section Types d'alertes, sélectionnez les événements à transférer :
    • Événements d'alerte
    • Événements de logiciel malveillant
    • Événements DLP
    • Événements DNS
    • Événements de session
  6. Cliquez sur Enregistrer.
  7. Vérifiez que les messages syslog sont envoyés en consultant les journaux de l'agent Bindplane.

Table de mappage UDM

Champ de journal Mappage UDM Logique
aaction event.idm.read_only_udm.security_result.action_details Directement mappé si la valeur n'est pas "none" ni une chaîne vide.
alert_threat_score event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: valeur de alert_threat_score Mappé directement en tant que champ de détection.
alert_type event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: value of alert_type Mappé directement en tant que champ de détection.
réponses event.idm.read_only_udm.network.dns.answers[].data Mappé directement pour les événements DNS.
application_user event.idm.read_only_udm.principal.user.userid Mappé directement.
asset_os event.idm.read_only_udm.target.platform Normalisé sur WINDOWS, LINUX, MAC ou UNKNOWN_PLATFORM.
certificate.end_date event.idm.read_only_udm.network.tls.client.certificate.not_after Analysé et converti en code temporel.
certificate.extended_key_usage event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.extended_key_usage Mappé en tant que champ supplémentaire.
certificate.issuer_name event.idm.read_only_udm.network.tls.server.certificate.issuer Mappé directement.
certificate.key_length event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_length Mappé en tant que champ supplémentaire.
certificate.key_usage event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_usage Mappé en tant que champ supplémentaire.
certificate.start_date event.idm.read_only_udm.network.tls.client.certificate.not_before Analysé et converti en code temporel.
certificate.subject_altname event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.subject_altname Mappé en tant que champ supplémentaire.
certificate.subject_name event.idm.read_only_udm.network.tls.server.certificate.subject Mappé directement.
certificate.type event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.type Mappé en tant que champ supplémentaire.
chiffrement event.idm.read_only_udm.network.tls.cipher Mappé directement.
client_asset_name event.idm.read_only_udm.principal.application Mappé directement.
client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: value of client_asset_subnet Mappé en tant que champ supplémentaire.
client_ip event.idm.read_only_udm.principal.ip Mappé directement.
client_port event.idm.read_only_udm.principal.port Mappé directement et converti en entier.
ClientIP event.idm.read_only_udm.principal.ip Mappé directement.
ClientPort event.idm.read_only_udm.principal.port Mappé directement et converti en entier.
ClientCountry event.idm.read_only_udm.principal.location.country_or_region Directement mappé s'il n'est pas "UNKNOWN" ni une chaîne vide.
ClientAssetID event.idm.read_only_udm.principal.asset_id Préfixé par "Asset:" si la valeur n'est pas "0" ni une chaîne vide.
ClientAssetName event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valeur de ClientAssetName Mappé en tant que libellé de ressource principal.
ClientAssetRole event.idm.read_only_udm.principal.asset.attribute.roles[].name Mappé directement.
ClientAssetServices event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: value of ClientAssetServices Mappé en tant que libellé de ressource principal.
Client event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: value of Client Mappé en tant que libellé de ressource principal.
Collecteur event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: valeur de Collector Mappé en tant que champ de détection.
commande event.idm.read_only_udm.network.http.method Directement mappé pour les événements HTTP.
Commande event.idm.read_only_udm.security_result.detection_fields[].key: "Command", event.idm.read_only_udm.security_result.detection_fields[].value: valeur de Command Mappé en tant que champ de détection.
Connexion event.idm.read_only_udm.security_result.detection_fields[].key: "Connection", event.idm.read_only_udm.security_result.detection_fields[].value: value of Connection Mappé en tant que champ de détection.
DecodingPath event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: value of DecodingPath Mappé en tant que champ de détection.
dest_country event.idm.read_only_udm.target.location.country_or_region Mappé directement.
dest_domain event.idm.read_only_udm.target.hostname Mappé directement.
dest_ip event.idm.read_only_udm.target.ip Mappé directement.
dest_port event.idm.read_only_udm.target.port Mappé directement et converti en entier.
Direction event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: value of Direction Mappé en tant que champ de détection.
dns.host event.idm.read_only_udm.network.dns.questions[].name Mappé directement pour les événements DNS.
DomainName event.idm.read_only_udm.target.administrative_domain Mappé directement.
DomainAlexaRank event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: value of DomainAlexaRank Mappé en tant que champ de détection.
dport event.idm.read_only_udm.target.port Mappé directement et converti en entier.
dnsresolution.server_fqdn event.idm.read_only_udm.target.hostname Mappé directement.
Durée event.idm.read_only_udm.security_result.detection_fields[].key: "Duration", event.idm.read_only_udm.security_result.detection_fields[].value: value of Duration Mappé en tant que champ de détection.
Chiffré event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: value of Encrypted Mappé en tant que champ de détection.
Entropie event.idm.read_only_udm.security_result.detection_fields[].key: "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value: value of Entropy Mappé en tant que champ de détection.
event.idm.read_only_udm.additional.fields event.idm.read_only_udm.additional.fields Contient divers champs supplémentaires basés sur la logique de l'analyseur.
event.idm.read_only_udm.metadata.description event.idm.read_only_udm.metadata.description Mappé directement à partir du champ "Résumé".
event.idm.read_only_udm.metadata.event_type event.idm.read_only_udm.metadata.event_type Déterminé en fonction de divers champs de journaux et de la logique de l'analyseur. Il peut s'agir de GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE ou NETWORK_FLOW.
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type Définissez-le sur "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.product_name event.idm.read_only_udm.metadata.product_name Définissez-le sur "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Définissez-le sur "FIDELIS_NETWORK".
event.idm.read_only_udm.network.application_protocol event.idm.read_only_udm.network.application_protocol Déterminé en fonction du champ "server_port" ou "protocol". Il peut s'agir de HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS ou AOLMAIL.
event.idm.read_only_udm.network.direction event.idm.read_only_udm.network.direction Déterminée en fonction du champ de direction ou des mots clés du résumé. Il peut s'agir de "INBOUND" ou de "OUTBOUND".
event.idm.read_only_udm.network.dns.answers event.idm.read_only_udm.network.dns.answers Valeur renseignée pour les événements DNS.
event.idm.read_only_udm.network.dns.id event.idm.read_only_udm.network.dns.id Mappé à partir du champ numérique pour les événements DNS.
event.idm.read_only_udm.network.dns.questions event.idm.read_only_udm.network.dns.questions Valeur renseignée pour les événements DNS.
event.idm.read_only_udm.network.email.from event.idm.read_only_udm.network.email.from Mappé directement à partir de "De" s'il s'agit d'une adresse e-mail valide.
event.idm.read_only_udm.network.email.subject event.idm.read_only_udm.network.email.subject Mappé directement à partir de "Subject".
event.idm.read_only_udm.network.email.to event.idm.read_only_udm.network.email.to Mappé directement à partir de "À".
event.idm.read_only_udm.network.ftp.command event.idm.read_only_udm.network.ftp.command Mappé directement à partir de ftp.command.
event.idm.read_only_udm.network.http.method event.idm.read_only_udm.network.http.method Directement mappé à partir de http.command ou Command.
event.idm.read_only_udm.network.http.referral_url event.idm.read_only_udm.network.http.referral_url Directement mappé à partir de "Referer".
event.idm.read_only_udm.network.http.response_code event.idm.read_only_udm.network.http.response_code Mappé directement à partir de http.status_code ou StatusCode et converti en entier.
event.idm.read_only_udm.network.http.user_agent event.idm.read_only_udm.network.http.user_agent Mappé directement à partir de http.useragent ou UserAgent.
event.idm.read_only_udm.network.ip_protocol event.idm.read_only_udm.network.ip_protocol Directement mappé à partir de tproto s'il s'agit de TCP ou UDP.
event.idm.read_only_udm.network.received_bytes event.idm.read_only_udm.network.received_bytes Renommée event1.server_packet_count et convertie en entier non signé.
event.idm.read_only_udm.network.sent_bytes event.idm.read_only_udm.network.sent_bytes Renommée event1.client_packet_count et convertie en entier non signé.
event.idm.read_only_udm.network.session_duration.seconds event.idm.read_only_udm.network.session_duration.seconds Renommée "event1.session_size" et convertie en nombre entier.
event.idm.read_only_udm.network.session_id event.idm.read_only_udm.network.session_id Directement mappé à partir de event1.rel_sesid ou UserSessionID.
event.idm.read_only_udm.network.tls.client.certificate.issuer event.idm.read_only_udm.network.tls.client.certificate.issuer Mappé directement à partir de event1.certificate_issuer_name.
event.idm.read_only_udm.network.tls.client.certificate.not_after event.idm.read_only_udm.network.tls.client.certificate.not_after Analysé à partir de event1.certificate_end_date et converti en code temporel.
event.idm.read_only_udm.network.tls.client.certificate.not_before event.idm.read_only_udm.network.tls.client.certificate.not_before Analysé à partir de event1.certificate_start_date et converti en code temporel.
event.idm.read_only_udm.network.tls.client.certificate.subject event.idm.read_only_udm.network.tls.client.certificate.subject Mappé directement à partir de event1.certificate_subject_name.
event.idm.read_only_udm.network.tls.client.ja3 event.idm.read_only_udm.network.tls.client.ja3 Mappé directement à partir de event1.ja3digest et converti en chaîne.
event.idm.read_only_udm.network.tls.cipher event.idm.read_only_udm.network.tls.cipher Directement mappé à partir de event1.cipher, CipherSuite, cipher ou event1.tls_ciphersuite.
event.idm.read_only_udm.network.tls.server.certificate.issuer event.idm.read_only_udm.network.tls.server.certificate.issuer Mappé directement à partir de certificate_issuer_name.
event.idm.read_only_udm.network.tls.server.certificate.subject event.idm.read_only_udm.network.tls.server.certificate.subject Mappé directement à partir de certificate_subject_name.
event.idm.read_only_udm.network.tls.server.ja3s event.idm.read_only_udm.network.tls.server.ja3s Mappé directement à partir de event1.ja3sdigest et converti en chaîne.
event.idm.read_only_udm.network.tls.version event.idm.read_only_udm.network.tls.version Mappé directement à partir de event1.version.
event.idm.read_only_udm.principal.application event.idm.read_only_udm.principal.application Mappé directement à partir de event1.client_asset_name.
event.idm.read_only_udm.principal.asset.attribute.roles[].name event.idm.read_only_udm.principal.asset.attribute.roles[].name Mappé directement à partir de ClientAssetRole.
event.idm.read_only_udm.principal.asset_id event.idm.read_only_udm.principal.asset_id Directement mappé à partir de ClientAssetID ou ServerAssetID (avec le préfixe "Asset:").
event.idm.read_only_udm.principal.hostname event.idm.read_only_udm.principal.hostname Directement mappé à partir de event1.sld ou src_domain.
event.idm.read_only_udm.principal.ip event.idm.read_only_udm.principal.ip Mappé directement à partir de event1.src_ip6, client_ip ou ClientIP.
event.idm.read_only_udm.principal.location.country_or_region event.idm.read_only_udm.principal.location.country_or_region Directement mappé à partir de ClientCountry ou src_country s'il n'est pas défini sur "UNKNOWN" ou sur une chaîne vide.
event.idm.read_only_udm.principal.port event.idm.read_only_udm.principal.port Mappé directement à partir de event1.sport ou client_port et converti en entier.
event.idm.read_only_udm.principal.resource.attribute.labels event.idm.read_only_udm.principal.resource.attribute.labels Contient différents libellés basés sur la logique de l'analyseur.
event.idm.read_only_udm.principal.user.userid event.idm.read_only_udm.principal.user.userid Mappé directement à partir de ftp.user ou AppUser.
event.idm.read_only_udm.security_result.action event.idm.read_only_udm.security_result.action Déterminé en fonction de la gravité. Les valeurs possibles sont ALLOW, BLOCK ou UNKNOWN_ACTION.
event.idm.read_only_udm.security_result.action_details event.idm.read_only_udm.security_result.action_details Directement mappé à partir de l'action si elle n'est pas définie sur "none" ou sur une chaîne vide.
event.idm.read_only_udm.security_result.category event.idm.read_only_udm.security_result.category Définissez sur NETWORK_SUSPICIOUS si malware_type est présent.
event.idm.read_only_udm.security_result.detection_fields event.idm.read_only_udm.security_result.detection_fields Contient différents champs de détection basés sur la logique de l'analyseur.
event.idm.read_only_udm.security_result.rule_name event.idm.read_only_udm.security_result.rule_name Mappé directement à partir de rule_name.
event.idm.read_only_udm.security_result.severity event.idm.read_only_udm.security_result.severity Déterminé en fonction de la gravité. Les valeurs possibles sont INFORMATIONAL, MEDIUM, ERROR ou CRITICAL.
event.idm.read_only_udm.security_result.summary event.idm.read_only_udm.security_result.summary Mappé directement à partir du libellé.
event.idm.read_only_udm.security_result.threat_name event.idm.read_only_udm.security_result.threat_name Mappé directement à partir de malware_type ou analysé à partir du résumé s'il contient "CVE-".
event.idm.read_only_udm.target.administrative_domain event.idm.read_only_udm.target.administrative_domain Directement mappé à partir de DomainName.
event.idm.read_only_udm.target.asset.attribute.roles[].name event.idm.read_only_udm.target.asset.attribute.roles[].name Mappé directement à partir de ServerAssetRole.
event.idm.read_only_udm.target.file.full_path event.idm.read_only_udm.target.file.full_path Directement mappé à partir de ftp.filename ou Filename.
event.idm.read_only_udm.target.file.md5 event.idm.read_only_udm.target.file.md5 Mappé directement à partir de event1.md5 ou md5.
event.idm.read_only_udm.target.file.mime_type event.idm.read_only_udm.target.file.mime_type Mappé directement à partir de event1.filetype.
event.idm.read_only_udm.target.file.sha1 event.idm.read_only_udm.target.file.sha1 Mappé directement à partir de event1.srvcerthash.
event.idm.read_only_udm.target.file.sha256 event.idm.read_only_udm.target.file.sha256 Directement mappé à partir de event1.sha256 ou sha256.
event.idm.read_only_udm.target.file.size event.idm.read_only_udm.target.file.size Renommé à partir de event1.filesize et converti en entier non signé s'il n'est pas égal à 0.
event.idm.read_only_udm.target.hostname event.idm.read_only_udm.target.hostname Mappé directement à partir de event1.sni, dest_domain ou Host.
event.idm.read_only_udm.target.ip event.idm.read_only_udm.target.ip Mappé directement à partir de event1.dst_ip6, server_ip ou ServerIP.
event.idm.read_only_udm.target.location.country_or_region event.idm.read_only_udm.target.location.country_or_region Mappé directement à partir de dest_country ou ServerCountry.
event.idm.read_only_udm.target.platform event.idm.read_only_udm.target.platform Mappé à partir de asset_os après normalisation.
event.idm.read_only_udm.target.platform_version event.idm.read_only_udm.target.platform_version Mappé directement à partir de os_version.
event.idm.read_only_udm.target.port event.idm.read_only_udm.target.port Directement mappé à partir de event1.dport ou server_port et converti en entier.
event.idm.read_only_udm.target.resource.attribute.labels event.idm.read_only_udm.target.resource.attribute.labels Contient différents libellés basés sur la logique de l'analyseur.
event.idm.read_only_udm.target.url event.idm.read_only_udm.target.url Mappé directement à partir de l'URL.
event.idm.read_only_udm.target.user.product_object_id event.idm.read_only_udm.target.user.product_object_id Mappé directement à partir de l'UUID.
event1.certificate_end_date event.idm.read_only_udm.network.tls.client.certificate.not_after Analysé et converti en code temporel.
event1.certificate_extended_key_usage event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_extended_key_usage Mappé en tant que champ supplémentaire.
event1.certificate_issuer_name event.idm.read_only_udm.network.tls.client.certificate.issuer Mappé directement.
event1.certificate_key_length event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_key_length Mappé en tant que champ supplémentaire.
event1.certificate_key_usage event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_key_usage Mappé en tant que champ supplémentaire.
event1.certificate_start_date event.idm.read_only_udm.network.tls.client.certificate.not_before Analysé et converti en code temporel.
event1.certificate_subject_altname event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_subject_altname Mappé en tant que champ supplémentaire.
event1.certificate_subject_name event.idm.read_only_udm.network.tls.client.certificate.subject Mappé directement.
event1.client_asset_name event.idm.read_only_udm.principal.application Mappé directement.
event1.client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.client_asset_subnet Mappé en tant que champ supplémentaire.
event1.client_packet_count event.idm.read_only_udm.network.sent_bytes Converti en entier non signé et renommé.
event1.cipher event.idm.read_only_udm.network.tls.cipher Mappé directement.
event1.direction event.idm.read_only_udm.network.direction Correspond à INBOUND si la valeur est "s2c" ou à OUTBOUND si la valeur est "c2s".
event1.d

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.