Mengumpulkan log Fidelis Network

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Fidelis Network ke Google Security Operations menggunakan Bindplane.

Fidelis Network adalah solusi deteksi dan respons jaringan (NDR) yang menyediakan inspeksi konten mendalam, analisis tingkat sesi, dan respons ancaman otomatis. Solusi ini memantau traffic jaringan secara real-time untuk mendeteksi ancaman tingkat lanjut, upaya pencurian data, dan pelanggaran kebijakan di semua port dan protokol. Parser mengekstrak kolom dari log berformat syslog Fidelis Network menggunakan pola KV dan JSON. Kemudian, nilai ini dipetakan ke Model Data Terpadu (UDM). Layanan ini juga menetapkan nilai metadata default untuk sumber dan jenis peristiwa.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke antarmuka web Fidelis Network CommandPost

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Tunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
```
sc query observiq-otel-collector
```

Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Tunggu hingga penginstalan selesai.

Verifikasi penginstalan dengan menjalankan:

sudo systemctl status observiq-otel-collector

Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

Ganti seluruh konten config.yaml dengan konfigurasi berikut:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'FIDELIS_NETWORK'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Parameter konfigurasi

Ganti placeholder berikut:
- Konfigurasi penerima:
  - tcplog: Gunakan udplog untuk syslog UDP atau tcplog untuk syslog TCP
  - 0.0.0.0: Alamat IP yang akan didengarkan (0.0.0.0 untuk mendengarkan semua antarmuka)
  - 514: Nomor port yang akan diproses (port syslog standar)
- Konfigurasi eksportir:
  - creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID: ID Pelanggan dari bagian Dapatkan ID pelanggan
  - endpoint: URL endpoint regional:
    - Amerika Serikat: malachiteingestion-pa.googleapis.com
    - Eropa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
  - log_type: Jenis log persis seperti yang muncul di Chronicle (FIDELIS_NETWORK)

Simpan file konfigurasi

Setelah mengedit, simpan file:
- Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
- Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

sudo systemctl restart observiq-otel-collector

Pastikan layanan sedang berjalan:

  sudo systemctl status observiq-otel-collector

Periksa log untuk mengetahui error:

  sudo journalctl -u observiq-otel-collector -f

Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
- Command Prompt atau PowerShell sebagai administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Konsol layanan:
  1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
  2. Temukan observIQ OpenTelemetry Collector.
  3. Klik kanan, lalu pilih Mulai Ulang.
  4. Pastikan layanan sedang berjalan:
```
sc query observiq-otel-collector
```
  5. Periksa log untuk mengetahui error:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Mengonfigurasi penerusan syslog Fidelis Network

Login ke antarmuka web CommandPost Fidelis Network.
Buka Sistem > Ekspor > Syslog.
Klik Tambahkan Server Syslog.
Berikan detail konfigurasi berikut:
- Name: Masukkan nama deskriptif (misalnya, Google-SecOps-Bindplane).
- Alamat IP/Nama Host: Masukkan alamat IP host agen Bindplane.
- Port: Masukkan 514.
- Protocol: Pilih TCP.
- Format: Pilih CEF (Common Event Format) atau Syslog berdasarkan persyaratan parsing Anda.
- Fasilitas: Pilih LOCAL0 (atau fasilitas pilihan Anda).
- Tingkat keparahan: Pilih Informasional (atau tingkat keparahan pilihan Anda).
Di bagian Jenis Pemberitahuan, pilih peristiwa yang akan diteruskan:
- Peristiwa pemberitahuan
- Peristiwa malware
- Peristiwa DLP
- Peristiwa DNS
- Peristiwa sesi
Klik Simpan.
Pastikan pesan syslog dikirim dengan memeriksa log agen Bindplane.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
aaction	event.idm.read_only_udm.security_result.action_details	Dipetakan secara langsung jika bukan "none" atau string kosong.
alert_threat_score	event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: nilai alert_threat_score	Dipetakan langsung sebagai kolom deteksi.
alert_type	event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: value of alert_type	Dipetakan langsung sebagai kolom deteksi.
jawaban	event.idm.read_only_udm.network.dns.answers[].data	Dipetakan secara langsung untuk peristiwa DNS.
application_user	event.idm.read_only_udm.principal.user.userid	Dipetakan secara langsung.
asset_os	event.idm.read_only_udm.target.platform	Dinormalisasi ke WINDOWS, LINUX, MAC, atau UNKNOWN_PLATFORM.
certificate.end_date	event.idm.read_only_udm.network.tls.client.certificate.not_after	Diuraikan dan dikonversi menjadi stempel waktu.
certificate.extended_key_usage	event.idm.read_only_udm.additional.fields[].key: "Penggunaan Kunci yang Diperluas", event.idm.read_only_udm.additional.fields[].value.string_value: nilai certificate.extended_key_usage	Dipetakan sebagai kolom tambahan.
certificate.issuer_name	event.idm.read_only_udm.network.tls.server.certificate.issuer	Dipetakan secara langsung.
certificate.key_length	event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_length	Dipetakan sebagai kolom tambahan.
certificate.key_usage	event.idm.read_only_udm.additional.fields[].key: "Penggunaan Kunci", event.idm.read_only_udm.additional.fields[].value.string_value: nilai certificate.key_usage	Dipetakan sebagai kolom tambahan.
certificate.start_date	event.idm.read_only_udm.network.tls.client.certificate.not_before	Diuraikan dan dikonversi menjadi stempel waktu.
certificate.subject_altname	event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.subject_altname	Dipetakan sebagai kolom tambahan.
certificate.subject_name	event.idm.read_only_udm.network.tls.server.certificate.subject	Dipetakan secara langsung.
certificate.type	event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.type	Dipetakan sebagai kolom tambahan.
cipher	event.idm.read_only_udm.network.tls.cipher	Dipetakan secara langsung.
client_asset_name	event.idm.read_only_udm.principal.application	Dipetakan secara langsung.
client_asset_subnet	event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: value of client_asset_subnet	Dipetakan sebagai kolom tambahan.
client_ip	event.idm.read_only_udm.principal.ip	Dipetakan secara langsung.
client_port	event.idm.read_only_udm.principal.port	Dipetakan dan dikonversi langsung ke bilangan bulat.
ClientIP	event.idm.read_only_udm.principal.ip	Dipetakan secara langsung.
ClientPort	event.idm.read_only_udm.principal.port	Dipetakan dan dikonversi langsung ke bilangan bulat.
ClientCountry	event.idm.read_only_udm.principal.location.country_or_region	Dipetakan secara langsung jika bukan "UNKNOWN" atau string kosong.
ClientAssetID	event.idm.read_only_udm.principal.asset_id	Diawali dengan "Aset:" jika bukan "0" atau string kosong.
ClientAssetName	event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: nilai ClientAssetName	Dipetakan sebagai label resource utama.
ClientAssetRole	event.idm.read_only_udm.principal.asset.attribute.roles[].name	Dipetakan secara langsung.
ClientAssetServices	event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: value of ClientAssetServices	Dipetakan sebagai label resource utama.
Klien	event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: value of Client	Dipetakan sebagai label resource utama.
Kolektor	event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Collector	Dipetakan sebagai kolom deteksi.
perintah	event.idm.read_only_udm.network.http.method	Dipetakan langsung untuk peristiwa HTTP.
Perintah	event.idm.read_only_udm.security_result.detection_fields[].key: "Command", event.idm.read_only_udm.security_result.detection_fields[].value: value of Command	Dipetakan sebagai kolom deteksi.
Koneksi	event.idm.read_only_udm.security_result.detection_fields[].key: "Connection", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Connection	Dipetakan sebagai kolom deteksi.
DecodingPath	event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: nilai DecodingPath	Dipetakan sebagai kolom deteksi.
dest_country	event.idm.read_only_udm.target.location.country_or_region	Dipetakan secara langsung.
dest_domain	event.idm.read_only_udm.target.hostname	Dipetakan secara langsung.
dest_ip	event.idm.read_only_udm.target.ip	Dipetakan secara langsung.
dest_port	event.idm.read_only_udm.target.port	Dipetakan dan dikonversi langsung ke bilangan bulat.
Arah	event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Direction	Dipetakan sebagai kolom deteksi.
dns.host	event.idm.read_only_udm.network.dns.questions[].name	Dipetakan secara langsung untuk peristiwa DNS.
DomainName	event.idm.read_only_udm.target.administrative_domain	Dipetakan secara langsung.
DomainAlexaRank	event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: nilai DomainAlexaRank	Dipetakan sebagai kolom deteksi.
dport	event.idm.read_only_udm.target.port	Dipetakan dan dikonversi langsung ke bilangan bulat.
dnsresolution.server_fqdn	event.idm.read_only_udm.target.hostname	Dipetakan secara langsung.
Durasi	event.idm.read_only_udm.security_result.detection_fields[].key: "Duration", event.idm.read_only_udm.security_result.detection_fields[].value: value of Duration	Dipetakan sebagai kolom deteksi.
Dienkripsi	event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: value of Encrypted	Dipetakan sebagai kolom deteksi.
Entropi	event.idm.read_only_udm.security_result.detection_fields[].key: "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value: value of Entropy	Dipetakan sebagai kolom deteksi.
event.idm.read_only_udm.additional.fields	event.idm.read_only_udm.additional.fields	Berisi berbagai kolom tambahan berdasarkan logika parser.
event.idm.read_only_udm.metadata.description	event.idm.read_only_udm.metadata.description	Dipetakan langsung dari kolom ringkasan.
event.idm.read_only_udm.metadata.event_type	event.idm.read_only_udm.metadata.event_type	Ditentukan berdasarkan berbagai kolom log dan logika parser. Dapat berupa GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE, NETWORK_FLOW.
event.idm.read_only_udm.metadata.log_type	event.idm.read_only_udm.metadata.log_type	Tetapkan ke "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.product_name	event.idm.read_only_udm.metadata.product_name	Tetapkan ke "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.vendor_name	event.idm.read_only_udm.metadata.vendor_name	Tetapkan ke "FIDELIS_NETWORK".
event.idm.read_only_udm.network.application_protocol	event.idm.read_only_udm.network.application_protocol	Ditentukan berdasarkan kolom server_port atau protokol. Dapat berupa HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS, AOLMAIL.
event.idm.read_only_udm.network.direction	event.idm.read_only_udm.network.direction	Ditentukan berdasarkan kolom arah atau kata kunci dalam ringkasan. Dapat berupa INBOUND atau OUTBOUND.
event.idm.read_only_udm.network.dns.answers	event.idm.read_only_udm.network.dns.answers	Diisi untuk peristiwa DNS.
event.idm.read_only_udm.network.dns.id	event.idm.read_only_udm.network.dns.id	Dipetakan dari kolom angka untuk peristiwa DNS.
event.idm.read_only_udm.network.dns.questions	event.idm.read_only_udm.network.dns.questions	Diisi untuk peristiwa DNS.
event.idm.read_only_udm.network.email.from	event.idm.read_only_udm.network.email.from	Dipetakan langsung dari Dari jika merupakan alamat email yang valid.
event.idm.read_only_udm.network.email.subject	event.idm.read_only_udm.network.email.subject	Dipetakan langsung dari Subjek.
event.idm.read_only_udm.network.email.to	event.idm.read_only_udm.network.email.to	Dipetakan langsung dari To.
event.idm.read_only_udm.network.ftp.command	event.idm.read_only_udm.network.ftp.command	Dipetakan langsung dari ftp.command.
event.idm.read_only_udm.network.http.method	event.idm.read_only_udm.network.http.method	Dipetakan langsung dari http.command atau Command.
event.idm.read_only_udm.network.http.referral_url	event.idm.read_only_udm.network.http.referral_url	Dipetakan langsung dari Referer.
event.idm.read_only_udm.network.http.response_code	event.idm.read_only_udm.network.http.response_code	Dipetakan langsung dari http.status_code atau StatusCode dan dikonversi menjadi bilangan bulat.
event.idm.read_only_udm.network.http.user_agent	event.idm.read_only_udm.network.http.user_agent	Dipetakan langsung dari http.useragent atau UserAgent.
event.idm.read_only_udm.network.ip_protocol	event.idm.read_only_udm.network.ip_protocol	Dipetakan langsung dari tproto jika berupa TCP atau UDP.
event.idm.read_only_udm.network.received_bytes	event.idm.read_only_udm.network.received_bytes	Diganti namanya dari event1.server_packet_count dan dikonversi menjadi bilangan bulat tanpa tanda.
event.idm.read_only_udm.network.sent_bytes	event.idm.read_only_udm.network.sent_bytes	Diganti namanya dari event1.client_packet_count dan dikonversi menjadi bilangan bulat tidak bertanda.
event.idm.read_only_udm.network.session_duration.seconds	event.idm.read_only_udm.network.session_duration.seconds	Diganti namanya dari event1.session_size dan dikonversi menjadi bilangan bulat.
event.idm.read_only_udm.network.session_id	event.idm.read_only_udm.network.session_id	Dipetakan langsung dari event1.rel_sesid atau UserSessionID.
event.idm.read_only_udm.network.tls.client.certificate.issuer	event.idm.read_only_udm.network.tls.client.certificate.issuer	Dipetakan langsung dari event1.certificate_issuer_name.
event.idm.read_only_udm.network.tls.client.certificate.not_after	event.idm.read_only_udm.network.tls.client.certificate.not_after	Diuraikan dari event1.certificate_end_date dan dikonversi menjadi stempel waktu.
event.idm.read_only_udm.network.tls.client.certificate.not_before	event.idm.read_only_udm.network.tls.client.certificate.not_before	Diuraikan dari event1.certificate_start_date dan dikonversi menjadi stempel waktu.
event.idm.read_only_udm.network.tls.client.certificate.subject	event.idm.read_only_udm.network.tls.client.certificate.subject	Dipetakan langsung dari event1.certificate_subject_name.
event.idm.read_only_udm.network.tls.client.ja3	event.idm.read_only_udm.network.tls.client.ja3	Dipetakan langsung dari event1.ja3digest dan dikonversi menjadi string.
event.idm.read_only_udm.network.tls.cipher	event.idm.read_only_udm.network.tls.cipher	Dipetakan langsung dari event1.cipher, CipherSuite, cipher, atau event1.tls_ciphersuite.
event.idm.read_only_udm.network.tls.server.certificate.issuer	event.idm.read_only_udm.network.tls.server.certificate.issuer	Dipetakan langsung dari certificate_issuer_name.
event.idm.read_only_udm.network.tls.server.certificate.subject	event.idm.read_only_udm.network.tls.server.certificate.subject	Dipetakan langsung dari certificate_subject_name.
event.idm.read_only_udm.network.tls.server.ja3s	event.idm.read_only_udm.network.tls.server.ja3s	Dipetakan langsung dari event1.ja3sdigest dan dikonversi menjadi string.
event.idm.read_only_udm.network.tls.version	event.idm.read_only_udm.network.tls.version	Dipetakan langsung dari event1.version.
event.idm.read_only_udm.principal.application	event.idm.read_only_udm.principal.application	Dipetakan langsung dari event1.client_asset_name.
event.idm.read_only_udm.principal.asset.attribute.roles[].name	event.idm.read_only_udm.principal.asset.attribute.roles[].name	Dipetakan langsung dari ClientAssetRole.
event.idm.read_only_udm.principal.asset_id	event.idm.read_only_udm.principal.asset_id	Dipetakan langsung dari ClientAssetID atau ServerAssetID (diawali dengan "Asset:").
event.idm.read_only_udm.principal.hostname	event.idm.read_only_udm.principal.hostname	Dipetakan langsung dari event1.sld atau src_domain.
event.idm.read_only_udm.principal.ip	event.idm.read_only_udm.principal.ip	Dipetakan langsung dari event1.src_ip6, client_ip, atau ClientIP.
event.idm.read_only_udm.principal.location.country_or_region	event.idm.read_only_udm.principal.location.country_or_region	Dipetakan langsung dari ClientCountry atau src_country jika bukan "UNKNOWN" atau string kosong.
event.idm.read_only_udm.principal.port	event.idm.read_only_udm.principal.port	Dipetakan langsung dari event1.sport atau client_port dan dikonversi menjadi bilangan bulat.
event.idm.read_only_udm.principal.resource.attribute.labels	event.idm.read_only_udm.principal.resource.attribute.labels	Berisi berbagai label berdasarkan logika parser.
event.idm.read_only_udm.principal.user.userid	event.idm.read_only_udm.principal.user.userid	Dipetakan langsung dari ftp.user atau AppUser.
event.idm.read_only_udm.security_result.action	event.idm.read_only_udm.security_result.action	Ditentukan berdasarkan tingkat keparahan. Dapat berupa ALLOW, BLOCK, atau UNKNOWN_ACTION.
event.idm.read_only_udm.security_result.action_details	event.idm.read_only_udm.security_result.action_details	Dipetakan langsung dari Tindakan jika bukan "none" atau string kosong.
event.idm.read_only_udm.security_result.category	event.idm.read_only_udm.security_result.category	Ditetapkan ke NETWORK_SUSPICIOUS jika malware_type ada.
event.idm.read_only_udm.security_result.detection_fields	event.idm.read_only_udm.security_result.detection_fields	Berisi berbagai kolom deteksi berdasarkan logika parser.
event.idm.read_only_udm.security_result.rule_name	event.idm.read_only_udm.security_result.rule_name	Dipetakan langsung dari rule_name.
event.idm.read_only_udm.security_result.severity	event.idm.read_only_udm.security_result.severity	Ditentukan berdasarkan tingkat keparahan. Dapat berupa INFORMATIONAL, MEDIUM, ERROR, atau CRITICAL.
event.idm.read_only_udm.security_result.summary	event.idm.read_only_udm.security_result.summary	Dipetakan langsung dari label.
event.idm.read_only_udm.security_result.threat_name	event.idm.read_only_udm.security_result.threat_name	Dipetakan langsung dari malware_type atau diuraikan dari ringkasan jika berisi "CVE-".
event.idm.read_only_udm.target.administrative_domain	event.idm.read_only_udm.target.administrative_domain	Dipetakan langsung dari DomainName.
event.idm.read_only_udm.target.asset.attribute.roles[].name	event.idm.read_only_udm.target.asset.attribute.roles[].name	Dipetakan langsung dari ServerAssetRole.
event.idm.read_only_udm.target.file.full_path	event.idm.read_only_udm.target.file.full_path	Dipetakan langsung dari ftp.filename atau Filename.
event.idm.read_only_udm.target.file.md5	event.idm.read_only_udm.target.file.md5	Dipetakan langsung dari event1.md5 atau md5.
event.idm.read_only_udm.target.file.mime_type	event.idm.read_only_udm.target.file.mime_type	Dipetakan langsung dari event1.filetype.
event.idm.read_only_udm.target.file.sha1	event.idm.read_only_udm.target.file.sha1	Dipetakan langsung dari event1.srvcerthash.
event.idm.read_only_udm.target.file.sha256	event.idm.read_only_udm.target.file.sha256	Dipetakan langsung dari event1.sha256 atau sha256.
event.idm.read_only_udm.target.file.size	event.idm.read_only_udm.target.file.size	Diganti namanya dari event1.filesize dan dikonversi menjadi bilangan bulat yang tidak bertanda tangan jika bukan 0.
event.idm.read_only_udm.target.hostname	event.idm.read_only_udm.target.hostname	Dipetakan langsung dari event1.sni, dest_domain, atau Host.
event.idm.read_only_udm.target.ip	event.idm.read_only_udm.target.ip	Dipetakan langsung dari event1.dst_ip6 atau server_ip atau ServerIP.
event.idm.read_only_udm.target.location.country_or_region	event.idm.read_only_udm.target.location.country_or_region	Dipetakan langsung dari dest_country atau ServerCountry.
event.idm.read_only_udm.target.platform	event.idm.read_only_udm.target.platform	Dipetakan dari asset_os setelah normalisasi.
event.idm.read_only_udm.target.platform_version	event.idm.read_only_udm.target.platform_version	Dipetakan langsung dari os_version.
event.idm.read_only_udm.target.port	event.idm.read_only_udm.target.port	Dipetakan langsung dari event1.dport atau server_port dan dikonversi menjadi bilangan bulat.
event.idm.read_only_udm.target.resource.attribute.labels	event.idm.read_only_udm.target.resource.attribute.labels	Berisi berbagai label berdasarkan logika parser.
event.idm.read_only_udm.target.url	event.idm.read_only_udm.target.url	Dipetakan langsung dari url atau URL.
event.idm.read_only_udm.target.user.product_object_id	event.idm.read_only_udm.target.user.product_object_id	Dipetakan langsung dari uuid.
event1.certificate_end_date	event.idm.read_only_udm.network.tls.client.certificate.not_after	Diuraikan dan dikonversi menjadi stempel waktu.
event1.certificate_extended_key_usage	event.idm.read_only_udm.additional.fields[].key: "Penggunaan Kunci yang Diperluas", event.idm.read_only_udm.additional.fields[].value.string_value: nilai event1.certificate_extended_key_usage	Dipetakan sebagai kolom tambahan.
event1.certificate_issuer_name	event.idm.read_only_udm.network.tls.client.certificate.issuer	Dipetakan secara langsung.
event1.certificate_key_length	event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_key_length	Dipetakan sebagai kolom tambahan.
event1.certificate_key_usage	event.idm.read_only_udm.additional.fields[].key: "Penggunaan Kunci", event.idm.read_only_udm.additional.fields[].value.string_value: nilai event1.certificate_key_usage	Dipetakan sebagai kolom tambahan.
event1.certificate_start_date	event.idm.read_only_udm.network.tls.client.certificate.not_before	Diuraikan dan dikonversi menjadi stempel waktu.
event1.certificate_subject_altname	event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_subject_altname	Dipetakan sebagai kolom tambahan.
event1.certificate_subject_name	event.idm.read_only_udm.network.tls.client.certificate.subject	Dipetakan secara langsung.
event1.client_asset_name	event.idm.read_only_udm.principal.application	Dipetakan secara langsung.
event1.client_asset_subnet	event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.client_asset_subnet	Dipetakan sebagai kolom tambahan.
event1.client_packet_count	event.idm.read_only_udm.network.sent_bytes	Dikonversi menjadi bilangan bulat tidak bertanda dan diganti namanya.
event1.cipher	event.idm.read_only_udm.network.tls.cipher	Dipetakan secara langsung.
event1.direction	event.idm.read_only_udm.network.direction	Dipetakan ke INBOUND jika "s2c" atau OUTBOUND jika "c2s".
event1.d

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.