Fidelis Network ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Fidelis Network ログを Google Security Operations に取り込む方法について説明します。
Fidelis Network は、詳細なコンテンツ検査、セッションレベルの分析、自動化された脅威対応を提供するネットワークの検出と対応(NDR)ソリューションです。ネットワーク トラフィックをリアルタイムでモニタリングし、すべてのポートとプロトコルで高度な脅威、データ流出の試み、ポリシー違反を検出します。パーサーは、KV パターンと JSON パターンを使用して、Fidelis Network syslog 形式のログからフィールドを抽出します。次に、これらの値を Unified Data Model(UDM)にマッピングします。また、イベントのソースとタイプのデフォルトのメタデータ値も設定します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- Fidelis Network CommandPost ウェブ インターフェースへの特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collector
サービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collector
サービスが [アクティブ(実行中)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'FIDELIS_NETWORK' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
tcplog: UDP Syslog にはudplogを使用し、TCP Syslog にはtcplogを使用します。0.0.0.0: リッスンする IP アドレス(すべてのインターフェースでリッスンする場合は0.0.0.0)514: リッスンするポート番号(標準の syslog ポート)
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: 「顧客 ID を取得する」セクションの顧客 IDendpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
log_type: Chronicle に表示されるログタイプ(FIDELIS_NETWORK)
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押し、「services.msc」と入力して Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Fidelis Network の syslog 転送を構成する
- Fidelis Network CommandPost ウェブ インターフェースにログインします。
- [System] > [Export] > [Syslog] に移動します。
- [Syslog Server を追加] をクリックします。
- 次の構成の詳細を指定します。
- 名前: わかりやすい名前を入力します(例:
Google-SecOps-Bindplane)。 - IP アドレス/ホスト名: Bindplane エージェント ホストの IP アドレスを入力します。
- ポート: 「
514」と入力します。 - プロトコル: [TCP] を選択します。
- 形式: 解析の要件に基づいて、[CEF](Common Event Format)または [Syslog] を選択します。
- ファシリティ: LOCAL0(または任意のファシリティ)を選択します。
- 重大度: [情報](または任意の重大度レベル)を選択します。
- 名前: わかりやすい名前を入力します(例:
- [Alert Types] セクションで、転送するイベントを選択します。
- アラート イベント
- マルウェア イベント
- DLP イベント
- DNS イベント
- セッション イベント
- [保存] をクリックします。
- Bindplane エージェントのログを確認して、syslog メッセージが送信されていることを確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| aaction | event.idm.read_only_udm.security_result.action_details | 「none」または空の文字列でない場合、直接マッピングされます。 |
| alert_threat_score | event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: alert_threat_score の値 | 検出フィールドとして直接マッピングされます。 |
| alert_type | event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: alert_type の値 | 検出フィールドとして直接マッピングされます。 |
| 回答 | event.idm.read_only_udm.network.dns.answers[].data | DNS イベントに直接マッピングされます。 |
| application_user | event.idm.read_only_udm.principal.user.userid | 直接マッピングされます。 |
| asset_os | event.idm.read_only_udm.target.platform | WINDOWS、LINUX、MAC、UNKNOWN_PLATFORM に正規化されます。 |
| certificate.end_date | event.idm.read_only_udm.network.tls.client.certificate.not_after | 解析され、タイムスタンプに変換されます。 |
| certificate.extended_key_usage | event.idm.read_only_udm.additional.fields[].key: 「Extended Key Usage」、event.idm.read_only_udm.additional.fields[].value.string_value: certificate.extended_key_usage の値 | 追加フィールドとしてマッピングされます。 |
| certificate.issuer_name | event.idm.read_only_udm.network.tls.server.certificate.issuer | 直接マッピングされます。 |
| certificate.key_length | event.idm.read_only_udm.additional.fields[].key: "Key Length"、event.idm.read_only_udm.additional.fields[].value.string_value: certificate.key_length の値 | 追加フィールドとしてマッピングされます。 |
| certificate.key_usage | event.idm.read_only_udm.additional.fields[].key: 「Key Usage」、event.idm.read_only_udm.additional.fields[].value.string_value: certificate.key_usage の値 | 追加フィールドとしてマッピングされます。 |
| certificate.start_date | event.idm.read_only_udm.network.tls.client.certificate.not_before | 解析され、タイムスタンプに変換されます。 |
| certificate.subject_altname | event.idm.read_only_udm.additional.fields[].key: 「Certificate Alternate Name」、event.idm.read_only_udm.additional.fields[].value.string_value: certificate.subject_altname の値 | 追加フィールドとしてマッピングされます。 |
| certificate.subject_name | event.idm.read_only_udm.network.tls.server.certificate.subject | 直接マッピングされます。 |
| certificate.type | event.idm.read_only_udm.additional.fields[].key: "Certificate_Type"、event.idm.read_only_udm.additional.fields[].value.string_value: certificate.type の値 | 追加フィールドとしてマッピングされます。 |
| 暗号 | event.idm.read_only_udm.network.tls.cipher | 直接マッピングされます。 |
| client_asset_name | event.idm.read_only_udm.principal.application | 直接マッピングされます。 |
| client_asset_subnet | event.idm.read_only_udm.additional.fields[].key: 「client_asset_subnet」、event.idm.read_only_udm.additional.fields[].value.string_value: client_asset_subnet の値 | 追加フィールドとしてマッピングされます。 |
| client_ip | event.idm.read_only_udm.principal.ip | 直接マッピングされます。 |
| client_port | event.idm.read_only_udm.principal.port | 直接マッピングされ、整数に変換されます。 |
| ClientIP | event.idm.read_only_udm.principal.ip | 直接マッピングされます。 |
| ClientPort | event.idm.read_only_udm.principal.port | 直接マッピングされ、整数に変換されます。 |
| ClientCountry | event.idm.read_only_udm.principal.location.country_or_region | 「UNKNOWN」または空の文字列でない場合、直接マッピングされます。 |
| ClientAssetID | event.idm.read_only_udm.principal.asset_id | 「0」または空の文字列でない場合、「Asset:」の接頭辞が付きます。 |
| ClientAssetName | event.idm.read_only_udm.principal.resource.attribute.labels[].key: 「ClientAssetName」、event.idm.read_only_udm.principal.resource.attribute.labels[].value: ClientAssetName の値 | プリンシパル リソースラベルとしてマッピングされます。 |
| ClientAssetRole | event.idm.read_only_udm.principal.asset.attribute.roles[].name | 直接マッピングされます。 |
| ClientAssetServices | event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: ClientAssetServices の値 | プリンシパル リソースラベルとしてマッピングされます。 |
| クライアント | event.idm.read_only_udm.principal.resource.attribute.labels[].key: 「Client」、event.idm.read_only_udm.principal.resource.attribute.labels[].value: Client の値 | プリンシパル リソースラベルとしてマッピングされます。 |
| コレクタ | event.idm.read_only_udm.security_result.detection_fields[].key: 「Collector」、event.idm.read_only_udm.security_result.detection_fields[].value: Collector の値 | 検出フィールドとしてマッピングされます。 |
| コマンド | event.idm.read_only_udm.network.http.method | HTTP イベントに直接マッピングされます。 |
| コマンド | event.idm.read_only_udm.security_result.detection_fields[].key: 「Command」、event.idm.read_only_udm.security_result.detection_fields[].value: Command の値 | 検出フィールドとしてマッピングされます。 |
| 接続 | event.idm.read_only_udm.security_result.detection_fields[].key: 「Connection」、event.idm.read_only_udm.security_result.detection_fields[].value: Connection の値 | 検出フィールドとしてマッピングされます。 |
| DecodingPath | event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: DecodingPath の値 | 検出フィールドとしてマッピングされます。 |
| dest_country | event.idm.read_only_udm.target.location.country_or_region | 直接マッピングされます。 |
| dest_domain | event.idm.read_only_udm.target.hostname | 直接マッピングされます。 |
| dest_ip | event.idm.read_only_udm.target.ip | 直接マッピングされます。 |
| dest_port | event.idm.read_only_udm.target.port | 直接マッピングされ、整数に変換されます。 |
| 方向 | event.idm.read_only_udm.security_result.detection_fields[].key: 「Direction」、event.idm.read_only_udm.security_result.detection_fields[].value: Direction の値 | 検出フィールドとしてマッピングされます。 |
| dns.host | event.idm.read_only_udm.network.dns.questions[].name | DNS イベントに直接マッピングされます。 |
| DomainName | event.idm.read_only_udm.target.administrative_domain | 直接マッピングされます。 |
| DomainAlexaRank | event.idm.read_only_udm.security_result.detection_fields[].key: 「DomainAlexaRank」、event.idm.read_only_udm.security_result.detection_fields[].value: DomainAlexaRank の値 | 検出フィールドとしてマッピングされます。 |
| dport | event.idm.read_only_udm.target.port | 直接マッピングされ、整数に変換されます。 |
| dnsresolution.server_fqdn | event.idm.read_only_udm.target.hostname | 直接マッピングされます。 |
| 所要時間 | event.idm.read_only_udm.security_result.detection_fields[].key: 「Duration」、event.idm.read_only_udm.security_result.detection_fields[].value: Duration の値 | 検出フィールドとしてマッピングされます。 |
| 暗号化あり | event.idm.read_only_udm.security_result.detection_fields[].key: 「Encrypted」、event.idm.read_only_udm.security_result.detection_fields[].value: Encrypted の値 | 検出フィールドとしてマッピングされます。 |
| エントロピー | event.idm.read_only_udm.security_result.detection_fields[].key: "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value: エントロピーの値 | 検出フィールドとしてマッピングされます。 |
| event.idm.read_only_udm.additional.fields | event.idm.read_only_udm.additional.fields | パーサー ロジックに基づくさまざまな追加フィールドが含まれます。 |
| event.idm.read_only_udm.metadata.description | event.idm.read_only_udm.metadata.description | 概要フィールドから直接マッピングされます。 |
| event.idm.read_only_udm.metadata.event_type | event.idm.read_only_udm.metadata.event_type | さまざまなログフィールドとパーサー ロジックに基づいて決定されます。GENERIC_EVENT、NETWORK_CONNECTION、NETWORK_HTTP、NETWORK_SMTP、NETWORK_DNS、STATUS_UPDATE、NETWORK_FLOW のいずれかです。 |
| event.idm.read_only_udm.metadata.log_type | event.idm.read_only_udm.metadata.log_type | 「FIDELIS_NETWORK」に設定します。 |
| event.idm.read_only_udm.metadata.product_name | event.idm.read_only_udm.metadata.product_name | 「FIDELIS_NETWORK」に設定します。 |
| event.idm.read_only_udm.metadata.vendor_name | event.idm.read_only_udm.metadata.vendor_name | 「FIDELIS_NETWORK」に設定します。 |
| event.idm.read_only_udm.network.application_protocol | event.idm.read_only_udm.network.application_protocol | server_port フィールドまたは protocol フィールドに基づいて決定されます。HTTP、HTTPS、SMTP、SSH、RPC、DNS、NFS、AOLMAIL のいずれかです。 |
| event.idm.read_only_udm.network.direction | event.idm.read_only_udm.network.direction | 概要の方向フィールドまたはキーワードに基づいて決定されます。INBOUND または OUTBOUND のいずれかです。 |
| event.idm.read_only_udm.network.dns.answers | event.idm.read_only_udm.network.dns.answers | DNS イベントの場合に入力されます。 |
| event.idm.read_only_udm.network.dns.id | event.idm.read_only_udm.network.dns.id | DNS イベントの数値フィールドからマッピングされます。 |
| event.idm.read_only_udm.network.dns.questions | event.idm.read_only_udm.network.dns.questions | DNS イベントの場合に入力されます。 |
| event.idm.read_only_udm.network.email.from | event.idm.read_only_udm.network.email.from | 有効なメールアドレスの場合、From から直接マッピングされます。 |
| event.idm.read_only_udm.network.email.subject | event.idm.read_only_udm.network.email.subject | Subject から直接マッピングされます。 |
| event.idm.read_only_udm.network.email.to | event.idm.read_only_udm.network.email.to | To から直接マッピングされます。 |
| event.idm.read_only_udm.network.ftp.command | event.idm.read_only_udm.network.ftp.command | ftp.command から直接マッピングされます。 |
| event.idm.read_only_udm.network.http.method | event.idm.read_only_udm.network.http.method | http.command または Command から直接マッピングされます。 |
| event.idm.read_only_udm.network.http.referral_url | event.idm.read_only_udm.network.http.referral_url | Referer から直接マッピングされます。 |
| event.idm.read_only_udm.network.http.response_code | event.idm.read_only_udm.network.http.response_code | http.status_code または StatusCode から直接マッピングされ、整数に変換されます。 |
| event.idm.read_only_udm.network.http.user_agent | event.idm.read_only_udm.network.http.user_agent | http.useragent または UserAgent から直接マッピングされます。 |
| event.idm.read_only_udm.network.ip_protocol | event.idm.read_only_udm.network.ip_protocol | TCP または UDP の場合、tproto から直接マッピングされます。 |
| event.idm.read_only_udm.network.received_bytes | event.idm.read_only_udm.network.received_bytes | event1.server_packet_count から名前が変更され、符号なし整数に変換されます。 |
| event.idm.read_only_udm.network.sent_bytes | event.idm.read_only_udm.network.sent_bytes | event1.client_packet_count から名前が変更され、符号なし整数に変換されます。 |
| event.idm.read_only_udm.network.session_duration.seconds | event.idm.read_only_udm.network.session_duration.seconds | event1.session_size から名前が変更され、整数に変換されます。 |
| event.idm.read_only_udm.network.session_id | event.idm.read_only_udm.network.session_id | event1.rel_sesid または UserSessionID から直接マッピングされます。 |
| event.idm.read_only_udm.network.tls.client.certificate.issuer | event.idm.read_only_udm.network.tls.client.certificate.issuer | event1.certificate_issuer_name から直接マッピングされます。 |
| event.idm.read_only_udm.network.tls.client.certificate.not_after | event.idm.read_only_udm.network.tls.client.certificate.not_after | event1.certificate_end_date から解析され、タイムスタンプに変換されます。 |
| event.idm.read_only_udm.network.tls.client.certificate.not_before | event.idm.read_only_udm.network.tls.client.certificate.not_before | event1.certificate_start_date から解析され、タイムスタンプに変換されます。 |
| event.idm.read_only_udm.network.tls.client.certificate.subject | event.idm.read_only_udm.network.tls.client.certificate.subject | event1.certificate_subject_name から直接マッピングされます。 |
| event.idm.read_only_udm.network.tls.client.ja3 | event.idm.read_only_udm.network.tls.client.ja3 | event1.ja3digest から直接マッピングされ、文字列に変換されます。 |
| event.idm.read_only_udm.network.tls.cipher | event.idm.read_only_udm.network.tls.cipher | event1.cipher、CipherSuite、cipher、または event1.tls_ciphersuite から直接マッピングされます。 |
| event.idm.read_only_udm.network.tls.server.certificate.issuer | event.idm.read_only_udm.network.tls.server.certificate.issuer | certificate_issuer_name から直接マッピングされます。 |
| event.idm.read_only_udm.network.tls.server.certificate.subject | event.idm.read_only_udm.network.tls.server.certificate.subject | certificate_subject_name から直接マッピングされます。 |
| event.idm.read_only_udm.network.tls.server.ja3s | event.idm.read_only_udm.network.tls.server.ja3s | event1.ja3sdigest から直接マッピングされ、文字列に変換されます。 |
| event.idm.read_only_udm.network.tls.version | event.idm.read_only_udm.network.tls.version | event1.version から直接マッピングされます。 |
| event.idm.read_only_udm.principal.application | event.idm.read_only_udm.principal.application | event1.client_asset_name から直接マッピングされます。 |
| event.idm.read_only_udm.principal.asset.attribute.roles[].name | event.idm.read_only_udm.principal.asset.attribute.roles[].name | ClientAssetRole から直接マッピングされます。 |
| event.idm.read_only_udm.principal.asset_id | event.idm.read_only_udm.principal.asset_id | ClientAssetID または ServerAssetID から直接マッピングされます(「Asset:」の接頭辞が付きます)。 |
| event.idm.read_only_udm.principal.hostname | event.idm.read_only_udm.principal.hostname | event1.sld または src_domain から直接マッピングされます。 |
| event.idm.read_only_udm.principal.ip | event.idm.read_only_udm.principal.ip | event1.src_ip6、client_ip、ClientIP から直接マッピングされます。 |
| event.idm.read_only_udm.principal.location.country_or_region | event.idm.read_only_udm.principal.location.country_or_region | 「UNKNOWN」または空の文字列でない場合、ClientCountry または src_country から直接マッピングされます。 |
| event.idm.read_only_udm.principal.port | event.idm.read_only_udm.principal.port | event1.sport または client_port から直接マッピングされ、整数に変換されます。 |
| event.idm.read_only_udm.principal.resource.attribute.labels | event.idm.read_only_udm.principal.resource.attribute.labels | パーサー ロジックに基づくさまざまなラベルが含まれます。 |
| event.idm.read_only_udm.principal.user.userid | event.idm.read_only_udm.principal.user.userid | ftp.user または AppUser から直接マッピングされます。 |
| event.idm.read_only_udm.security_result.action | event.idm.read_only_udm.security_result.action | 重大度に基づいて決定されます。ALLOW、BLOCK、UNKNOWN_ACTION のいずれか。 |
| event.idm.read_only_udm.security_result.action_details | event.idm.read_only_udm.security_result.action_details | 「none」または空の文字列でない場合、Action から直接マッピングされます。 |
| event.idm.read_only_udm.security_result.category | event.idm.read_only_udm.security_result.category | malware_type が存在する場合は、NETWORK_SUSPICIOUS に設定します。 |
| event.idm.read_only_udm.security_result.detection_fields | event.idm.read_only_udm.security_result.detection_fields | パーサー ロジックに基づくさまざまな検出フィールドが含まれます。 |
| event.idm.read_only_udm.security_result.rule_name | event.idm.read_only_udm.security_result.rule_name | rule_name から直接マッピングされます。 |
| event.idm.read_only_udm.security_result.severity | event.idm.read_only_udm.security_result.severity | 重大度に基づいて決定されます。INFORMATIONAL、MEDIUM、ERROR、CRITICAL のいずれかになります。 |
| event.idm.read_only_udm.security_result.summary | event.idm.read_only_udm.security_result.summary | ラベルから直接マッピングされます。 |
| event.idm.read_only_udm.security_result.threat_name | event.idm.read_only_udm.security_result.threat_name | malware_type から直接マッピングされるか、概要に「CVE-」が含まれている場合はそれから解析されます。 |
| event.idm.read_only_udm.target.administrative_domain | event.idm.read_only_udm.target.administrative_domain | DomainName から直接マッピングされます。 |
| event.idm.read_only_udm.target.asset.attribute.roles[].name | event.idm.read_only_udm.target.asset.attribute.roles[].name | ServerAssetRole から直接マッピングされます。 |
| event.idm.read_only_udm.target.file.full_path | event.idm.read_only_udm.target.file.full_path | ftp.filename または Filename から直接マッピングされます。 |
| event.idm.read_only_udm.target.file.md5 | event.idm.read_only_udm.target.file.md5 | event1.md5 または md5 から直接マッピングされます。 |
| event.idm.read_only_udm.target.file.mime_type | event.idm.read_only_udm.target.file.mime_type | event1.filetype から直接マッピングされます。 |
| event.idm.read_only_udm.target.file.sha1 | event.idm.read_only_udm.target.file.sha1 | event1.srvcerthash から直接マッピングされます。 |
| event.idm.read_only_udm.target.file.sha256 | event.idm.read_only_udm.target.file.sha256 | event1.sha256 または sha256 から直接マッピングされます。 |
| event.idm.read_only_udm.target.file.size | event.idm.read_only_udm.target.file.size | event1.filesize から名前が変更され、0 でない場合、符号なし整数に変換されます。 |
| event.idm.read_only_udm.target.hostname | event.idm.read_only_udm.target.hostname | event1.sni、dest_domain、または Host から直接マッピングされます。 |
| event.idm.read_only_udm.target.ip | event.idm.read_only_udm.target.ip | event1.dst_ip6、server_ip、ServerIP から直接マッピングされます。 |
| event.idm.read_only_udm.target.location.country_or_region | event.idm.read_only_udm.target.location.country_or_region | dest_country または ServerCountry から直接マッピングされます。 |
| event.idm.read_only_udm.target.platform | event.idm.read_only_udm.target.platform | 正規化後に asset_os からマッピングされます。 |
| event.idm.read_only_udm.target.platform_version | event.idm.read_only_udm.target.platform_version | os_version から直接マッピングされます。 |
| event.idm.read_only_udm.target.port | event.idm.read_only_udm.target.port | event1.dport または server_port から直接マッピングされ、整数に変換されます。 |
| event.idm.read_only_udm.target.resource.attribute.labels | event.idm.read_only_udm.target.resource.attribute.labels | パーサー ロジックに基づくさまざまなラベルが含まれます。 |
| event.idm.read_only_udm.target.url | event.idm.read_only_udm.target.url | url または URL から直接マッピングされます。 |
| event.idm.read_only_udm.target.user.product_object_id | event.idm.read_only_udm.target.user.product_object_id | uuid から直接マッピングされます。 |
| event1.certificate_end_date | event.idm.read_only_udm.network.tls.client.certificate.not_after | 解析されてタイムスタンプに変換されます。 |
| event1.certificate_extended_key_usage | event.idm.read_only_udm.additional.fields[].key: 「Extended Key Usage」、event.idm.read_only_udm.additional.fields[].value.string_value: event1.certificate_extended_key_usage の値 | 追加フィールドとしてマッピングされます。 |
| event1.certificate_issuer_name | event.idm.read_only_udm.network.tls.client.certificate.issuer | 直接マッピングされます。 |
| event1.certificate_key_length | event.idm.read_only_udm.additional.fields[].key: 「Key Length」、event.idm.read_only_udm.additional.fields[].value.string_value: event1.certificate_key_length の値 | 追加フィールドとしてマッピングされます。 |
| event1.certificate_key_usage | event.idm.read_only_udm.additional.fields[].key: "Key Usage"、event.idm.read_only_udm.additional.fields[].value.string_value: event1.certificate_key_usage の値 | 追加フィールドとしてマッピングされます。 |
| event1.certificate_start_date | event.idm.read_only_udm.network.tls.client.certificate.not_before | 解析されてタイムスタンプに変換されます。 |
| event1.certificate_subject_altname | event.idm.read_only_udm.additional.fields[].key: 「Certificate Alternate Name」、event.idm.read_only_udm.additional.fields[].value.string_value: event1.certificate_subject_altname の値 | 追加フィールドとしてマッピングされます。 |
| event1.certificate_subject_name | event.idm.read_only_udm.network.tls.client.certificate.subject | 直接マッピングされます。 |
| event1.client_asset_name | event.idm.read_only_udm.principal.application | 直接マッピングされます。 |
| event1.client_asset_subnet | event.idm.read_only_udm.additional.fields[].key: 「client_asset_subnet」、event.idm.read_only_udm.additional.fields[].value.string_value: event1.client_asset_subnet の値 | 追加フィールドとしてマッピングされます。 |
| event1.client_packet_count | event.idm.read_only_udm.network.sent_bytes | 符号なし整数に変換され、名前が変更されます。 |
| event1.cipher | event.idm.read_only_udm.network.tls.cipher | 直接マッピングされます。 |
| event1.direction | event.idm.read_only_udm.network.direction | 「s2c」の場合は INBOUND に、「c2s」の場合は OUTBOUND にマッピングされます。 |
| event1.d |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。