Coletar registros de rede da Fidelis

Compatível com:

Este documento explica como ingerir registros da Fidelis Network no Google Security Operations usando o Bindplane.

O Fidelis Network é uma solução de detecção e resposta de rede (NDR) que oferece inspeção de conteúdo detalhada, análise no nível da sessão e resposta automatizada a ameaças. Ele monitora o tráfego de rede em tempo real para detectar ameaças avançadas, tentativas de exfiltração de dados e violações de política em todas as portas e protocolos. O analisador extrai campos de registros formatados do syslog da rede Fidelis usando padrões KV e JSON. Em seguida, ele mapeia esses valores para o modelo de dados unificado (UDM). Ele também define valores de metadados padrão para a origem e o tipo do evento.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Windows Server 2016 ou mais recente ou host Linux com systemd
  • Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
  • Acesso privilegiado à interface da Web do Fidelis Network CommandPost.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

  1. Abra o prompt de comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sc query observiq-otel-collector

O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sudo systemctl status observiq-otel-collector

O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

  • Substitua todo o conteúdo de config.yaml pela seguinte configuração:

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'FIDELIS_NETWORK'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Parâmetros de configuração

  • Substitua os seguintes marcadores de posição:

    • Configuração do receptor:

      • tcplog: use udplog para syslog UDP ou tcplog para syslog TCP.
      • 0.0.0.0: endereço IP para escutar (0.0.0.0 para escutar em todas as interfaces)
      • 514: número da porta a ser detectada (porta syslog padrão).

    • Configuração do exportador:

      • creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: ID do cliente da seção "Receber ID do cliente"
      • endpoint: URL do endpoint regional:
        • EUA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Consulte a lista completa em Endpoints regionais.
      • log_type: tipo de registro exatamente como aparece no Chronicle (FIDELIS_NETWORK)

Salve o arquivo de configuração.

  • Depois de editar, salve o arquivo:
    • Linux: pressione Ctrl+O, Enter e Ctrl+X.
    • Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifique se o serviço está em execução:

        sudo systemctl status observiq-otel-collector

    2. Verifique se há erros nos registros:

        sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:

    • Prompt de comando ou PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console de serviços:

      1. Pressione Win+R, digite services.msc e pressione Enter.
      2. Localize o Coletor do OpenTelemetry da observIQ.

      3. Clique com o botão direito do mouse e selecione Reiniciar.

      4. Verifique se o serviço está em execução:

        sc query observiq-otel-collector

      5. Verifique se há erros nos registros:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurar o encaminhamento de syslog da rede Fidelis

  1. Faça login na interface da Web do CommandPost da Fidelis Network.
  2. Acesse Sistema > Exportar > Syslog.
  3. Clique em Adicionar servidor Syslog.
  4. Informe os seguintes detalhes de configuração:
    • Nome: insira um nome descritivo, por exemplo, Google-SecOps-Bindplane.
    • Endereço IP/nome do host: insira o endereço IP do host do agente do Bindplane.
    • Porta: insira 514.
    • Protocolo: selecione TCP.
    • Formato: selecione CEF (Common Event Format) ou Syslog com base nos seus requisitos de análise.
    • Instalação: selecione LOCAL0 (ou a instalação de sua preferência).
    • Gravidade: selecione Informativa (ou o nível de gravidade de sua preferência).
  5. Na seção Tipos de alerta, selecione os eventos a serem encaminhados:
    • Eventos de alerta
    • Eventos de malware
    • Eventos da DLP
    • Eventos de DNS
    • Eventos de sessão
  6. Clique em Salvar.
  7. Verifique se as mensagens syslog estão sendo enviadas conferindo os registros do agente Bindplane.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
aaction event.idm.read_only_udm.security_result.action_details Mapeado diretamente se não for "none" ou uma string vazia.
alert_threat_score event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: valor de alert_threat_score Mapeado diretamente como um campo de detecção.
alert_type event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: value of alert_type Mapeado diretamente como um campo de detecção.
respostas event.idm.read_only_udm.network.dns.answers[].data Mapeado diretamente para eventos de DNS.
application_user event.idm.read_only_udm.principal.user.userid Mapeado diretamente.
asset_os event.idm.read_only_udm.target.platform Normalizado para WINDOWS, LINUX, MAC ou UNKNOWN_PLATFORM.
certificate.end_date event.idm.read_only_udm.network.tls.client.certificate.not_after Analisado e convertido em carimbo de data/hora.
certificate.extended_key_usage event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.extended_key_usage Mapeado como um campo adicional.
certificate.issuer_name event.idm.read_only_udm.network.tls.server.certificate.issuer Mapeado diretamente.
certificate.key_length event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_length Mapeado como um campo adicional.
certificate.key_usage event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_usage Mapeado como um campo adicional.
certificate.start_date event.idm.read_only_udm.network.tls.client.certificate.not_before Analisado e convertido em carimbo de data/hora.
certificate.subject_altname event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.subject_altname Mapeado como um campo adicional.
certificate.subject_name event.idm.read_only_udm.network.tls.server.certificate.subject Mapeado diretamente.
certificate.type event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.type Mapeado como um campo adicional.
criptografia event.idm.read_only_udm.network.tls.cipher Mapeado diretamente.
client_asset_name event.idm.read_only_udm.principal.application Mapeado diretamente.
client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: value of client_asset_subnet Mapeado como um campo adicional.
client_ip event.idm.read_only_udm.principal.ip Mapeado diretamente.
client_port event.idm.read_only_udm.principal.port Mapeado e convertido diretamente para número inteiro.
ClientIP event.idm.read_only_udm.principal.ip Mapeado diretamente.
ClientPort event.idm.read_only_udm.principal.port Mapeado e convertido diretamente para número inteiro.
ClientCountry event.idm.read_only_udm.principal.location.country_or_region Mapeado diretamente se não for "UNKNOWN" ou uma string vazia.
ClientAssetID event.idm.read_only_udm.principal.asset_id Prefixo "Asset:" se não for "0" ou uma string vazia.
ClientAssetName event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de ClientAssetName Mapeado como um rótulo de recurso principal.
ClientAssetRole event.idm.read_only_udm.principal.asset.attribute.roles[].name Mapeado diretamente.
ClientAssetServices event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: value of ClientAssetServices Mapeado como um rótulo de recurso principal.
Cliente event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: value of Client Mapeado como um rótulo de recurso principal.
Coletor event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: valor do coletor Mapeado como um campo de detecção.
comando event.idm.read_only_udm.network.http.method Mapeado diretamente para eventos HTTP.
Comando event.idm.read_only_udm.security_result.detection_fields[].key: "Command", event.idm.read_only_udm.security_result.detection_fields[].value: value of Command Mapeado como um campo de detecção.
Conexão event.idm.read_only_udm.security_result.detection_fields[].key: "Connection", event.idm.read_only_udm.security_result.detection_fields[].value: value of Connection Mapeado como um campo de detecção.
DecodingPath event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: valor de DecodingPath Mapeado como um campo de detecção.
dest_country event.idm.read_only_udm.target.location.country_or_region Mapeado diretamente.
dest_domain event.idm.read_only_udm.target.hostname Mapeado diretamente.
dest_ip event.idm.read_only_udm.target.ip Mapeado diretamente.
dest_port event.idm.read_only_udm.target.port Mapeado e convertido diretamente para número inteiro.
Direção event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: value of Direction Mapeado como um campo de detecção.
dns.host event.idm.read_only_udm.network.dns.questions[].name Mapeado diretamente para eventos de DNS.
DomainName event.idm.read_only_udm.target.administrative_domain Mapeado diretamente.
DomainAlexaRank event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: valor de DomainAlexaRank Mapeado como um campo de detecção.
dport event.idm.read_only_udm.target.port Mapeado e convertido diretamente para número inteiro.
dnsresolution.server_fqdn event.idm.read_only_udm.target.hostname Mapeado diretamente.
Duração event.idm.read_only_udm.security_result.detection_fields[].key: "Duration", event.idm.read_only_udm.security_result.detection_fields[].value: value of Duration Mapeado como um campo de detecção.
Criptografado event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: value of Encrypted Mapeado como um campo de detecção.
Entropia event.idm.read_only_udm.security_result.detection_fields[].key: "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value: value of Entropy Mapeado como um campo de detecção.
event.idm.read_only_udm.additional.fields event.idm.read_only_udm.additional.fields Contém vários campos adicionais com base na lógica do analisador.
event.idm.read_only_udm.metadata.description event.idm.read_only_udm.metadata.description Mapeado diretamente do campo de resumo.
event.idm.read_only_udm.metadata.event_type event.idm.read_only_udm.metadata.event_type Determinado com base em vários campos de registro e na lógica do analisador. Pode ser GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE ou NETWORK_FLOW.
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type Definido como "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.product_name event.idm.read_only_udm.metadata.product_name Definido como "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Definido como "FIDELIS_NETWORK".
event.idm.read_only_udm.network.application_protocol event.idm.read_only_udm.network.application_protocol Determinado com base no campo "server_port" ou "protocol". Pode ser HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS, AOLMAIL.
event.idm.read_only_udm.network.direction event.idm.read_only_udm.network.direction Determinado com base no campo de direção ou nas palavras-chave no resumo. Pode ser INBOUND ou OUTBOUND.
event.idm.read_only_udm.network.dns.answers event.idm.read_only_udm.network.dns.answers Preenchido para eventos de DNS.
event.idm.read_only_udm.network.dns.id event.idm.read_only_udm.network.dns.id Mapeado do campo de número para eventos de DNS.
event.idm.read_only_udm.network.dns.questions event.idm.read_only_udm.network.dns.questions Preenchido para eventos de DNS.
event.idm.read_only_udm.network.email.from event.idm.read_only_udm.network.email.from Mapeado diretamente do campo "De" se for um endereço de e-mail válido.
event.idm.read_only_udm.network.email.subject event.idm.read_only_udm.network.email.subject Mapeado diretamente do assunto.
event.idm.read_only_udm.network.email.to event.idm.read_only_udm.network.email.to Mapeado diretamente de "Para".
event.idm.read_only_udm.network.ftp.command event.idm.read_only_udm.network.ftp.command Mapeado diretamente de ftp.command.
event.idm.read_only_udm.network.http.method event.idm.read_only_udm.network.http.method Mapeado diretamente de "http.command" ou "Command".
event.idm.read_only_udm.network.http.referral_url event.idm.read_only_udm.network.http.referral_url Mapeado diretamente do referenciador.
event.idm.read_only_udm.network.http.response_code event.idm.read_only_udm.network.http.response_code Mapeado diretamente de http.status_code ou StatusCode e convertido em número inteiro.
event.idm.read_only_udm.network.http.user_agent event.idm.read_only_udm.network.http.user_agent Mapeado diretamente de http.useragent ou UserAgent.
event.idm.read_only_udm.network.ip_protocol event.idm.read_only_udm.network.ip_protocol Mapeado diretamente de tproto se for TCP ou UDP.
event.idm.read_only_udm.network.received_bytes event.idm.read_only_udm.network.received_bytes Mudou de event1.server_packet_count e foi convertido para um número inteiro sem sinal.
event.idm.read_only_udm.network.sent_bytes event.idm.read_only_udm.network.sent_bytes Renomeado de event1.client_packet_count e convertido para número inteiro sem sinal.
event.idm.read_only_udm.network.session_duration.seconds event.idm.read_only_udm.network.session_duration.seconds Renomeada de event1.session_size e convertida para número inteiro.
event.idm.read_only_udm.network.session_id event.idm.read_only_udm.network.session_id Mapeado diretamente de event1.rel_sesid ou UserSessionID.
event.idm.read_only_udm.network.tls.client.certificate.issuer event.idm.read_only_udm.network.tls.client.certificate.issuer Mapeado diretamente de "event1.certificate_issuer_name".
event.idm.read_only_udm.network.tls.client.certificate.not_after event.idm.read_only_udm.network.tls.client.certificate.not_after Analisado de event1.certificate_end_date e convertido para carimbo de data/hora.
event.idm.read_only_udm.network.tls.client.certificate.not_before event.idm.read_only_udm.network.tls.client.certificate.not_before Analisado de event1.certificate_start_date e convertido para carimbo de data/hora.
event.idm.read_only_udm.network.tls.client.certificate.subject event.idm.read_only_udm.network.tls.client.certificate.subject Mapeado diretamente de event1.certificate_subject_name.
event.idm.read_only_udm.network.tls.client.ja3 event.idm.read_only_udm.network.tls.client.ja3 Mapeado diretamente de event1.ja3digest e convertido em string.
event.idm.read_only_udm.network.tls.cipher event.idm.read_only_udm.network.tls.cipher Mapeado diretamente de event1.cipher, CipherSuite, cipher ou event1.tls_ciphersuite.
event.idm.read_only_udm.network.tls.server.certificate.issuer event.idm.read_only_udm.network.tls.server.certificate.issuer Mapeado diretamente de "certificate_issuer_name".
event.idm.read_only_udm.network.tls.server.certificate.subject event.idm.read_only_udm.network.tls.server.certificate.subject Mapeado diretamente de "certificate_subject_name".
event.idm.read_only_udm.network.tls.server.ja3s event.idm.read_only_udm.network.tls.server.ja3s Mapeado diretamente de event1.ja3sdigest e convertido em string.
event.idm.read_only_udm.network.tls.version event.idm.read_only_udm.network.tls.version Mapeado diretamente de event1.version.
event.idm.read_only_udm.principal.application event.idm.read_only_udm.principal.application Mapeado diretamente de "event1.client_asset_name".
event.idm.read_only_udm.principal.asset.attribute.roles[].name event.idm.read_only_udm.principal.asset.attribute.roles[].name Mapeado diretamente de "ClientAssetRole".
event.idm.read_only_udm.principal.asset_id event.idm.read_only_udm.principal.asset_id Mapeado diretamente de ClientAssetID ou ServerAssetID (com o prefixo "Asset:").
event.idm.read_only_udm.principal.hostname event.idm.read_only_udm.principal.hostname Mapeado diretamente de event1.sld ou src_domain.
event.idm.read_only_udm.principal.ip event.idm.read_only_udm.principal.ip Mapeado diretamente de event1.src_ip6, client_ip ou ClientIP.
event.idm.read_only_udm.principal.location.country_or_region event.idm.read_only_udm.principal.location.country_or_region Mapeado diretamente de ClientCountry ou src_country se não for "UNKNOWN" ou uma string vazia.
event.idm.read_only_udm.principal.port event.idm.read_only_udm.principal.port Mapeado diretamente de event1.sport ou client_port e convertido em número inteiro.
event.idm.read_only_udm.principal.resource.attribute.labels event.idm.read_only_udm.principal.resource.attribute.labels Contém vários rótulos com base na lógica do analisador.
event.idm.read_only_udm.principal.user.userid event.idm.read_only_udm.principal.user.userid Mapeado diretamente de ftp.user ou AppUser.
event.idm.read_only_udm.security_result.action event.idm.read_only_udm.security_result.action Determinado com base na gravidade. Pode ser ALLOW, BLOCK ou UNKNOWN_ACTION.
event.idm.read_only_udm.security_result.action_details event.idm.read_only_udm.security_result.action_details Mapeado diretamente da ação, se não for "none" ou uma string vazia.
event.idm.read_only_udm.security_result.category event.idm.read_only_udm.security_result.category Definido como NETWORK_SUSPICIOUS se malware_type estiver presente.
event.idm.read_only_udm.security_result.detection_fields event.idm.read_only_udm.security_result.detection_fields Contém vários campos de detecção com base na lógica do analisador.
event.idm.read_only_udm.security_result.rule_name event.idm.read_only_udm.security_result.rule_name Mapeado diretamente de "rule_name".
event.idm.read_only_udm.security_result.severity event.idm.read_only_udm.security_result.severity Determinado com base na gravidade. Pode ser INFORMATIONAL, MEDIUM, ERROR ou CRITICAL.
event.idm.read_only_udm.security_result.summary event.idm.read_only_udm.security_result.summary Mapeado diretamente do rótulo.
event.idm.read_only_udm.security_result.threat_name event.idm.read_only_udm.security_result.threat_name Mapeado diretamente de "malware_type" ou analisado do resumo se ele contiver "CVE-".
event.idm.read_only_udm.target.administrative_domain event.idm.read_only_udm.target.administrative_domain Mapeado diretamente de DomainName.
event.idm.read_only_udm.target.asset.attribute.roles[].name event.idm.read_only_udm.target.asset.attribute.roles[].name Mapeado diretamente de "ServerAssetRole".
event.idm.read_only_udm.target.file.full_path event.idm.read_only_udm.target.file.full_path Mapeado diretamente de ftp.filename ou Filename.
event.idm.read_only_udm.target.file.md5 event.idm.read_only_udm.target.file.md5 Mapeado diretamente de event1.md5 ou md5.
event.idm.read_only_udm.target.file.mime_type event.idm.read_only_udm.target.file.mime_type Mapeado diretamente de event1.filetype.
event.idm.read_only_udm.target.file.sha1 event.idm.read_only_udm.target.file.sha1 Mapeado diretamente de event1.srvcerthash.
event.idm.read_only_udm.target.file.sha256 event.idm.read_only_udm.target.file.sha256 Mapeado diretamente de event1.sha256 ou sha256.
event.idm.read_only_udm.target.file.size event.idm.read_only_udm.target.file.size Renomeado de "event1.filesize" e convertido para número inteiro sem sinal, se não for 0.
event.idm.read_only_udm.target.hostname event.idm.read_only_udm.target.hostname Mapeado diretamente de event1.sni, dest_domain ou Host.
event.idm.read_only_udm.target.ip event.idm.read_only_udm.target.ip Mapeado diretamente de event1.dst_ip6 ou server_ip ou ServerIP.
event.idm.read_only_udm.target.location.country_or_region event.idm.read_only_udm.target.location.country_or_region Mapeado diretamente de dest_country ou ServerCountry.
event.idm.read_only_udm.target.platform event.idm.read_only_udm.target.platform Mapeado de "asset_os" após a normalização.
event.idm.read_only_udm.target.platform_version event.idm.read_only_udm.target.platform_version Mapeado diretamente de "os_version".
event.idm.read_only_udm.target.port event.idm.read_only_udm.target.port Mapeado diretamente de event1.dport ou server_port e convertido em número inteiro.
event.idm.read_only_udm.target.resource.attribute.labels event.idm.read_only_udm.target.resource.attribute.labels Contém vários rótulos com base na lógica do analisador.
event.idm.read_only_udm.target.url event.idm.read_only_udm.target.url Mapeado diretamente do URL ou url.
event.idm.read_only_udm.target.user.product_object_id event.idm.read_only_udm.target.user.product_object_id Mapeado diretamente do UUID.
event1.certificate_end_date event.idm.read_only_udm.network.tls.client.certificate.not_after Analisado e convertido em carimbo de data/hora.
event1.certificate_extended_key_usage event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_extended_key_usage Mapeado como um campo adicional.
event1.certificate_issuer_name event.idm.read_only_udm.network.tls.client.certificate.issuer Mapeado diretamente.
event1.certificate_key_length event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_key_length Mapeado como um campo adicional.
event1.certificate_key_usage event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_key_usage Mapeado como um campo adicional.
event1.certificate_start_date event.idm.read_only_udm.network.tls.client.certificate.not_before Analisado e convertido em carimbo de data/hora.
event1.certificate_subject_altname event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_subject_altname Mapeado como um campo adicional.
event1.certificate_subject_name event.idm.read_only_udm.network.tls.client.certificate.subject Mapeado diretamente.
event1.client_asset_name event.idm.read_only_udm.principal.application Mapeado diretamente.
event1.client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.client_asset_subnet Mapeado como um campo adicional.
event1.client_packet_count event.idm.read_only_udm.network.sent_bytes Convertido para número inteiro sem sinal e renomeado.
event1.cipher event.idm.read_only_udm.network.tls.cipher Mapeado diretamente.
event1.direction event.idm.read_only_udm.network.direction Mapeado para INBOUND se "s2c" ou OUTBOUND se "c2s".
event1.d

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.