FireEye eMPS-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie FireEye eMPS-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.
Das FireEye Email Malware Protection System (eMPS), auch bekannt als FireEye EX Series (früher FireEye Email Security, jetzt Teil von Trellix Email Security), ist ein E‑Mail-Sicherheitsgerät, das Organisationen vor modernen E‑Mail-Bedrohungen wie Spear-Phishing, Malware und gezielten Angriffen schützt, indem es E‑Mail-Inhalte und ‑Anhänge in Echtzeit analysiert.
Hinweis
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- Windows Server 2016 oder höher oder Linux-Host mit
systemd - Netzwerkverbindung zwischen dem Bindplane-Agent und der FireEye eMPS-Appliance
- Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
- Privilegierter Zugriff auf die FireEye eMPS-Appliance-Befehlszeile (Administrator- oder Operatorrolle)
- FireEye eMPS-Appliance mit Syslog-Benachrichtigungsfunktion
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agent auf.
- Klicken Sie auf Herunterladen, um die Datei zur Authentifizierung der Aufnahme herunterzuladen.
Speichern Sie die Datei sicher auf dem System, auf dem der Bindplane-Agent installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstermontage
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sc query observiq-otel-collector
Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sudo systemctl status observiq-otel-collector
Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.
Zusätzliche Installationsressourcen
Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Konfigurationsdatei suchen
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Konfigurationsdatei bearbeiten
Ersetzen Sie den gesamten Inhalt von
config.yamldurch die folgende Konfiguration:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/fireeye_emps: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: FIREEYE_EMPS raw_log_field: body ingestion_labels: env: production service: pipelines: logs/fireeye_to_chronicle: receivers: - udplog exporters: - chronicle/fireeye_emps
Konfigurationsparameter
Ersetzen Sie die folgenden Platzhalter:
Empfängerkonfiguration:
- Der Empfänger ist für UDP-Syslog an Port 514 (Standard-Syslog-Port) konfiguriert.
- Wenn Sie unter Linux einen nicht privilegierten Port verwenden möchten, ändern Sie
514in1514oder höher. - Wenn Sie TCP anstelle von UDP verwenden möchten, ersetzen Sie
udplogdurchtcplog.
Exporter-Konfiguration:
creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Ersetzen SieYOUR_CUSTOMER_IDdurch die Kunden-ID aus dem vorherigen Schritt.endpoint: Regionale Endpunkt-URL:- USA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asien:
asia-southeast1-malachiteingestion-pa.googleapis.com - Eine vollständige Liste finden Sie unter Regionale Endpunkte.
- USA:
log_type: Muss genauFIREEYE_EMPSsein, damit es mit dem Chronicle-Parser übereinstimmt.ingestion_labels: Optionale Labels im YAML-Format (nach Bedarf anpassen).
Konfigurationsdatei speichern
Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie
Ctrl+O, dannEnterund dannCtrl+X. - Windows: Klicken Sie auf Datei > Speichern.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Linux
sudo systemctl restart observiq-otel-collectorPrüfen Sie, ob der Dienst ausgeführt wird:
sudo systemctl status observiq-otel-collectorLogs auf Fehler prüfen:
sudo journalctl -u observiq-otel-collector -f
Windows
Wählen Sie eine der folgenden Optionen aus:
So verwenden Sie die Eingabeaufforderung oder PowerShell als Administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorServices Console verwenden:
- Drücken Sie
Win+R, geben Sieservices.mscein und drücken Sie die Eingabetaste. - Suchen Sie nach observIQ OpenTelemetry Collector.
Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
Prüfen Sie, ob der Dienst ausgeführt wird:
sc query observiq-otel-collectorLogs auf Fehler prüfen:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Drücken Sie
Syslog-Weiterleitung für FireEye eMPS konfigurieren
Konfigurieren Sie die FireEye eMPS-Appliance so, dass Syslog-Benachrichtigungen über die CLI an den Bindplane-Agent weitergeleitet werden.
Auf die FireEye eMPS CLI zugreifen
- Stellen Sie eine Verbindung zur FireEye eMPS-Appliance über SSH oder die Konsole her.
- Melden Sie sich mit einem Konto an, das Administrator- oder Operatorberechtigungen hat.
Aktivierungsmodus aufrufen:
hostname> enableKonfigurationsmodus aufrufen:
hostname# configure terminal
Syslog-Server konfigurieren
Fügen Sie den Bindplane-Agent als Syslog-Trap-Senke hinzu:
hostname(config)# fenotify rsyslog trap-sink chronicle address <BINDPLANE_IP_ADDRESS>Ersetzen Sie
<BINDPLANE_IP_ADDRESS>durch die IP-Adresse des Hosts, auf dem der Bindplane-Agent ausgeführt wird (z. B.192.168.1.100).Stellen Sie das Syslog-Format auf CEF (Common Event Format) ein:
hostname(config)# fenotify rsyslog trap-sink chronicle prefer message format cefStellen Sie die Syslog-Einrichtung auf „local4“ ein (empfohlen):
hostname(config)# fenotify syslog default facility local4So legen Sie den Zustellungsmodus für das Senden von Benachrichtigungen pro Ereignis fest:
hostname(config)# fenotify rsyslog trap-sink chronicle message delivery per-eventLegen Sie den Schweregrad der Benachrichtigung auf „Warnstufe“ fest (empfohlen):
hostname(config)# fenotify rsyslog trap-sink chronicle prefer message send-as alertLegen Sie das Protokoll auf UDP fest (oder auf TCP, falls in Bindplane konfiguriert):
hostname(config)# fenotify rsyslog trap-sink chronicle protocol udpLegen Sie den Port auf 514 fest (oder auf den in Bindplane konfigurierten Port):
hostname(config)# fenotify rsyslog trap-sink chronicle port 514
Syslog-Benachrichtigungen aktivieren
So aktivieren Sie rsyslog-Benachrichtigungen global:
hostname(config)# fenotify rsyslog enableGlobale Benachrichtigungen aktivieren:
hostname(config)# fenotify enableAktivieren Sie bestimmte Benachrichtigungstypen für rsyslog. So aktivieren Sie beispielsweise alle E‑Mail-Benachrichtigungen:
hostname(config)# fenotify rsyslog alert malware-object enable hostname(config)# fenotify rsyslog alert malware-callback enable hostname(config)# fenotify rsyslog alert infection-match enable hostname(config)# fenotify rsyslog alert domain-match enableKonfiguration prüfen:
hostname(config)# show fenotify alertsMit diesem Befehl werden die aktivierten Benachrichtigungsmethoden und Benachrichtigungstypen angezeigt.
Konfiguration speichern:
hostname(config)# write memoryKonfigurationsmodus beenden:
hostname(config)# exit hostname# exit
Syslog-Verbindung testen
Senden Sie eine Syslog-Testnachricht, um die Verbindung zu überprüfen:
hostname# fenotify rsyslog send-testPrüfen Sie die Bindplane-Agent-Logs, um den Empfang der Testnachricht zu bestätigen:
Linux:
sudo journalctl -u observiq-otel-collector -n 50Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Prüfen Sie, ob Logs in der Google SecOps Console angezeigt werden. Die erste Aufnahme kann 5 bis 10 Minuten dauern.
Zusätzliche Hinweise zur Konfiguration
- FireEye eMPS sendet Syslog-Meldungen im CEF (Common Event Format), wenn es wie oben konfiguriert ist.
- Die Syslog-Nachrichten enthalten Details zu E-Mail-Bedrohungen wie Absender, Empfänger, Betreff, Namen von Malware, URLs, Dateihashes und Schweregrad der Bedrohung.
- Achten Sie darauf, dass Firewallregeln UDP- (oder TCP-)Traffic von der FireEye eMPS-Appliance zum Bindplane-Agent am konfigurierten Port zulassen.
- Eine detaillierte CLI-Befehlsreferenz finden Sie im FireEye-Dokumentationsportal unter https://docs.fireeye.com/ (Anmeldung erforderlich).
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| _hash | about.file.sha256 | Wert aus „_hash“ übernommen |
| _message | security_result_token.description | Wert aus _message, wenn has_invalid_msg „false“ ist |
| IPv6_Address | event.idm.read_only_udm.target.ip | Wert aus „IPv6_Address“, sofern nicht „-“ |
| Action_Taken | security_result.action_details | Wert aus „Action_Taken“ |
| CustomerName | event.idm.read_only_udm.target.user.user_display_name | Wert, der aus „CustomerName“ übernommen wurde, nachdem Anführungszeichen entfernt wurden |
| Device_name | event.idm.read_only_udm.principal.hostname | Wert wird aus „Device_name“ übernommen, falls vorhanden |
| Domene | sntdom | Wert aus „Domene“ übernommen, wenn „Domain“ nicht vorhanden ist |
| Domain | sntdom | Wert aus Domain übernommen |
| Emne | about.process.command_line | Wert aus „Emne“, wenn „Subject“ nicht vorhanden ist |
| Gerätename | event.idm.read_only_udm.principal.hostname | Der Wert wird aus „Enhetsnavn“ übernommen, wenn „Device_name“ nicht vorhanden ist. |
| File_name | event.idm.read_only_udm.target.process.file.full_path | Wert aus „File_name“ |
| Generiert | event.idm.read_only_udm.metadata.event_timestamp | Von „Generiert“ in Zeitstempelformat konvertiert |
| Group_name | event.idm.read_only_udm.principal.group.group_display_name | Wert aus „Group_name“ |
| Gruppenavn | event.idm.read_only_udm.principal.group.group_display_name | Wert aus „Gruppenavn“, wenn „Group_name“ nicht vorhanden ist |
| Infected_Resource | event.idm.read_only_udm.target.process.file.full_path | Wert aus „Infected_Resource“, wenn keine anderen vorhanden sind |
| Infection_Channel | security_result.detection_fields | Schlüssel auf „Infection Channel“ (Infektionskanal) gesetzt, Wert aus Infection_Channel |
| IPv6_Address | target_machine_id_present | Wird auf „true“ gesetzt, wenn „IPv6_Address“ nicht „-“ ist. |
| Objekt | event.idm.read_only_udm.target.process.file.full_path | Wert wird aus dem Objekt übernommen, wenn „File_name“ nicht vorhanden ist. |
| Objekt | event.idm.read_only_udm.target.process.file.full_path | Wert aus „Objekt“, wenn andere nicht vorhanden sind |
| Operasjon | operasjon_label | Wert aus „Operasjon“ |
| Vorgang | operation_label | Aus Vorgang übernommener Wert |
| Pfad | about.process.command_line | Wert aus dem Pfad, wenn keine anderen vorhanden sind |
| Berechtigung | permission_label | Wert aus Berechtigung |
| Erhalten | event.idm.read_only_udm.metadata.collected_timestamp | Von „Received“ in das Zeitstempelformat konvertiert |
| Resource_Type | event.idm.read_only_udm.target.resource.attribute.labels | Schlüssel auf „Resource_Type“ gesetzt, Wert aus Resource_Type |
| Ergebnis | security_result.summary | Wert aus „Ergebnis“ |
| Scan_Type | security_result.description | Wert aus „Scan_Type“, wenn „Type“ nicht vorhanden ist |
| Spyware | security_result.threat_name | Von Spyware übernommener Wert |
| Spyware_Grayware_Type | security_result.detection_fields | Schlüssel auf „Spyware/Grayware_Type“ festgelegt, Wert aus Spyware_Grayware_Type |
| Betreff | about.process.command_line | Wert aus „Subject“ übernommen |
| Threat_Probability | security_result.detection_fields | Schlüssel auf „Threat_Probability“ gesetzt, Wert aus Threat_Probability |
| Tillatelse | tillatelse_label | Wert aus „Tillatelse“ |
| Typ | security_result.description | Wert aus „Typ“ |
| Unknown_Threat | security_result.threat_name | Wert aus „Unknown_Threat“, wenn keine anderen vorhanden sind |
| Nutzer | event.idm.read_only_udm.target.user.userid | Vom Nutzer übernommener Wert |
| Virus_Malware_Name | security_result.threat_name | Wert aus Virus_Malware_Name, wenn keine Spyware vorhanden ist |
| _metadata.customer | security_result_token.detection_fields | Schlüssel auf „Customer“ festgelegt, Wert aus _metadata.customer |
| _metadata.proxy.address | event.idm.read_only_udm.principal.hostname | Wert aus _metadata.proxy.address |
| _metadata.proxy.address | event.idm.read_only_udm.principal.asset.hostname | Wert aus _metadata.proxy.address |
| _metadata.source.address | principal.hostname | Wert aus _metadata.source.address |
| _metadata.source.address | principal.asset.hostname | Wert aus _metadata.source.address |
| _metadata.source.port | principal.port | Von _metadata.source.port in Ganzzahl konvertiert |
| _metadata.source.type | security_result_token.detection_fields | Schlüssel auf „Type“ festgelegt, Wert aus _metadata.source.type |
| _metadata.timestamp.producer_process | event.idm.read_only_udm.metadata.event_timestamp | Konvertiert von _metadata.timestamp.producer_process in das Zeitstempelformat |
| _metadata.timestamp.producer_process | metadata.event_timestamp | Konvertiert von _metadata.timestamp.producer_process in das Zeitstempelformat |
| Info | event.idm.read_only_udm.about | Zusammengeführt aus „Über“ |
| about_token | event.idm.read_only_udm.about | Zusammengeführt aus „about_token“ |
| Handeln: | security_result.action | Abgeleitet von „act“: accept/notified → ALLOW; deny/blocked → BLOCK; Failure → FAIL |
| Handeln: | security_result.action_details | Wert aus „act“ |
| additional_cs1 | event.idm.read_only_udm.additional.fields | Schlüssel auf „cs1Label“ festgelegt, Wert aus „cs1“ |
| additional_cs2 | event.idm.read_only_udm.additional.fields | Schlüssel auf „cs2Label“ festgelegt, Wert aus „cs2“ |
| additional_cs3 | event.idm.read_only_udm.additional.fields | Schlüssel auf „cs3Label“ gesetzt, Wert aus „cs3“, falls nicht leer |
| additional_cs4 | event.idm.read_only_udm.additional.fields | Schlüssel auf „cs4Label“ festgelegt, Wert aus „cs4“ |
| additional_cs5 | event.idm.read_only_udm.additional.fields | Schlüssel auf „cs5Label“ gesetzt, Wert aus „cs5“, falls nicht „NA“ |
| additional_cs6 | event.idm.read_only_udm.additional.fields | Schlüssel auf „cs6Label“ festgelegt, Wert aus „cs6“, falls nicht leer |
| additional_cs7 | event.idm.read_only_udm.additional.fields | Schlüssel auf cs7Label gesetzt, Wert aus cs7, falls nicht leer |
| additional_cn1 | event.idm.read_only_udm.additional.fields | Schlüssel auf „cn1Label“ festgelegt, Wert aus „cn1“, falls nicht leer |
| additional_cn2 | event.idm.read_only_udm.additional.fields | Schlüssel auf „cn2Label“ gesetzt, Wert aus „cn2“, falls nicht leer |
| additional_cn3 | event.idm.read_only_udm.additional.fields | Schlüssel auf „cn3Label“ festgelegt, Wert aus „cn3“, falls nicht leer |
| additional_cfp1 | event.idm.read_only_udm.additional.fields | Schlüssel auf „cfp1Label“ festgelegt, Wert aus „cfp1“, falls nicht leer |
| additional_cfp2 | event.idm.read_only_udm.additional.fields | Schlüssel auf „cfp2Label“ festgelegt, Wert aus „cfp2“, falls nicht leer |
| additional_cfp3 | event.idm.read_only_udm.additional.fields | Schlüssel auf „cfp3Label“ festgelegt, Wert aus „cfp3“, falls nicht leer |
| additional_cfp4 | event.idm.read_only_udm.additional.fields | Schlüssel auf „cfp4Label“ festgelegt, Wert aus „cfp4“, falls nicht leer |
| additional_devicePayloadId | event.idm.read_only_udm.additional.fields | Schlüssel auf „devicePayloadId“ gesetzt, Wert aus devicePayloadId |
| additional_eventId | event.idm.read_only_udm.additional.fields | Schlüssel auf „eventId“ festgelegt, Wert aus eventId |
| additional_fname | event.idm.read_only_udm.additional.fields | Schlüssel auf „fname“ gesetzt, Wert aus „fname“, falls nicht „N/A“ |
| additional_flexString1 | event.idm.read_only_udm.additional.fields | Schlüssel auf „flexString1Label“ festgelegt, Wert aus „flexString1“ |
| additional_flexString2 | event.idm.read_only_udm.additional.fields | Schlüssel auf „flexString2Label“ gesetzt, Wert aus „flexString2“, falls nicht leer |
| App | app_protocol_src | Wert aus App übernommen |
| appcategory | security_result.summary | Wert aus „appcategory“ |
| base64_sha256 | event.idm.read_only_udm.network.tls.client.certificate.sha256 | Von Sha256 in Base64-Hexadezimal umgewandelt |
| base64_sha256 | event.idm.read_only_udm.target.resource.name | Wert aus base64_sha256 |
| Katze | security_result.category_details | Wert aus der Kategorie |
| cs5 | cs5_label | Wert aus cs5, wenn das Label nicht festgelegt ist |
| cs5_label | event.idm.read_only_udm.additional.fields | Schlüssel auf „cs5 Label“ gesetzt, Wert aus cs5, falls ungültig |
| destinationServiceName | event.idm.read_only_udm.target.application | Wert aus „destinationServiceName“ |
| destinationTranslatedAddress | event.idm.read_only_udm.target.nat_ip | Wert aus „destinationTranslatedAddress“ |
| destinationTranslatedPort | event.idm.read_only_udm.target.nat_port | Von „destinationTranslatedPort“ in Ganzzahl konvertiert |
| deviceDirection | event.idm.read_only_udm.network.direction | Auf INBOUND gesetzt, wenn 0, auf OUTBOUND, wenn 1 |
| deviceExternalId | about.asset.asset_id | Wert aus „deviceExternalId“ als „device_vendor.device_product:deviceExternalId“ |
| deviceNtDomain | about.administrative_domain | Wert aus „deviceNtDomain“ |
| devicePayloadId | additional_devicePayloadId | Wert aus „devicePayloadId“ |
| deviceProcessName | about.process.command_line | Wert aus „deviceProcessName“ |
| deviceTranslatedAddress | about.nat_ip | Wert aus „deviceTranslatedAddress“ |
| device_vendor | event.idm.read_only_udm.metadata.vendor_name | Wert aus „device_vendor“ |
| device_version | event.idm.read_only_udm.metadata.product_version | Wert aus „device_version“ |
| dhost | temp_dhost | Wert aus „dhost“ |
| dmac | event.idm.read_only_udm.target.mac | Wert, der nach der Formatierung aus „dmac“ übernommen wurde |
| dmac | mac_address | Wert, der nach der Formatierung aus „dmac“ übernommen wurde |
| dntdom | event.idm.read_only_udm.target.administrative_domain | Wert aus „dntdom“ |
| dpid | event.idm.read_only_udm.target.process.pid | Wert aus „dpid“ |
| dpriv | target_role | Wert aus „dpriv“ |
| dproc | event.idm.read_only_udm.target.process.command_line | Wert aus „dproc“ |
| dpt | event.idm.read_only_udm.target.port | Von dpt in Ganzzahl konvertiert |
| dst | event.idm.read_only_udm.target.asset.ip | Wert aus „dst“ übernommen |
| dst | event.idm.read_only_udm.target.ip | Wert aus „dst“ übernommen |
| dst_ip | target_ip | Wert aus „dst_ip“ |
| duid | temp_duid | Wert aus „duid“ übernommen |
| duser | event.idm.read_only_udm.metadata.event_type | Auf USER_UNCATEGORIZED gesetzt, wenn „duser“ nicht leer ist |
| duser | temp_duser | Wert aus „duser“ |
| dvchost | about.hostname | Wert aus dvchost |
| dvcmac | about.mac | Wert aus dvcmac nach der Formatierung, falls gültige MAC-Adresse |
| dvcmac | dvc_mac | Wert aus dvcmac nach der Formatierung |
| dvcpid | about.process.pid | Wert aus „dvcpid“ |
| dvc | about.ip | Aus DVC-Array aufteilen |
| eventId | additional_eventId | Wert aus „eventId“ übernommen |
| event_name | event.idm.read_only_udm.metadata.product_event_type | Kombiniert mit device_event_class_id als „[device_event_class_id] – event_name“ oder nur event_name |
| event_name | event.idm.read_only_udm.metadata.event_type | Auf SCAN_UNCATEGORIZED setzen, wenn LogSpyware oder LogPredictiveMachineLearning |
| eventid | eventId | Wert aus „eventid“ |
| externalId | event.idm.read_only_udm.metadata.product_log_id | Wert aus „externalId“ übernommen |
| fileHash | about.file.sha256 | Wert aus „fileHash“, wenn gültiger Hash |
| fileHash | about.file.full_path | Wert aus „fileHash“, wenn kein gültiger Hash |
| filePath | about.file.full_path | Wert aus „filePath“ |
| filePermission | Berechtigungen | Wert aus „filePermission“ übernommen |
| fileType | about.file.mime_type | Wert aus „fileType“ |
| flexString2 | additional_flexString2 | Wert aus „flexString2“ |
| flexString2Label | additional_flexString2 | Wert aus flexString2Label |
| fname | additional_fname | Wert aus „fname“ |
| fsize | about.file.size | Von fsize in uinteger konvertiert |
| has_principal | metadata.event_type | Wird auf STATUS_UPDATE gesetzt, wenn „has_principal“ auf „true“ und „has_target“ auf „false“ gesetzt ist. |
| has_principal | principal_present | Auf „true“ festlegen |
| has_target | metadata.event_type | Auf GENERIC_EVENT setzen, wenn has_principal „false“ ist |
| in | event.idm.read_only_udm.network.received_bytes | Wird von „in“ in „uinteger“ konvertiert, wenn > 0 |
| infection_channel_label | security_result.detection_fields | Schlüssel auf „Infection Channel“ (Infektionskanal) gesetzt, Wert aus Infection_Channel |
| ipv6 | target_machine_id_present | Wird auf „true“ gesetzt, wenn „IPv6_Address“ nicht „-“ ist. |
| mac | event.idm.read_only_udm.principal.mac | Wert vom Mac übernommen |
| mac_address | event.idm.read_only_udm.target.mac | Wert aus „mac_address“ |
| mac_address | about.mac | Wert aus „mac_address“ |
| Metadaten | event.idm.read_only_udm.metadata | Umbenannt von „Metadaten“ |
| msg | event.idm.read_only_udm.metadata.description | Wert, der aus „msg“ übernommen wurde, nachdem Anführungszeichen entfernt wurden |
| msg_data_2 | security_result.description | Wert aus „msg_data_2“, falls nicht leer |
| mwProfile | security_result.rule_name | Wert aus „mwProfile“ |
| oldFilePath | event.idm.read_only_udm.src.file.full_path | Wert aus „oldFilePath“ übernommen |
| oldFilePermission | old_permissions | Wert aus „oldFilePermission“ |
| oldFileSize | event.idm.read_only_udm.src.file.size | Von „oldFileSize“ in „uinteger“ konvertiert |
| operasjon_label | security_result.detection_fields | Wird aus „operasjon_label“ zusammengeführt, wenn der Wert nicht leer ist. |
| operation_label | security_result.detection_fields | Wird aus „operation_label“ zusammengeführt, wenn der Wert nicht leer ist. |
| von | event.idm.read_only_udm.network.sent_bytes | Von „out“ in „uinteger“ konvertiert, wenn > 0 |
| permission_label | security_result.detection_fields | Wird aus „permission_label“ zusammengeführt, wenn der Wert nicht leer ist. |
| Port | event.idm.read_only_udm.principal.port | Von Port zu Ganzzahl konvertiert |
| Prinzipal | event.idm.read_only_udm.principal | Umbenannt vom Hauptkonto |
| proto | protocol_number_src | Wert aus Proto |
| Anfrage | event.idm.read_only_udm.target.url | Aus der Anfrage übernommener Wert |
| requestClientApplication | event.idm.read_only_udm.network.http.user_agent | Wert aus requestClientApplication |
| requestMethod | event.idm.read_only_udm.network.http.method | Wert aus requestMethod |
| resource_Type_label | event.idm.read_only_udm.target.resource.attribute.labels | Wird aus „resource_Type_label“ zusammengeführt, sofern nicht ungültig |
| rt | event.idm.read_only_udm.metadata.event_timestamp | Von „rt“ in das Zeitstempelformat konvertiert |
| security_result | event.idm.read_only_udm.security_result | Zusammengeführt aus security_result |
| security_result_token | event.idm.read_only_udm.security_result | Zusammengeführt aus „security_result_token“ |
| die Ausprägung | security_result.severity | Abgeleitet vom Schweregrad: 0–1 → NIEDRIG; 2–3 → MITTEL; 4–5 → HOCH; 6–9 → KRITISCH |
| shost | event.idm.read_only_udm.principal.hostname | Wert aus „shost“, wenn IP, andernfalls Hostname |
| shost | event.idm.read_only_udm.principal.ip | Wert aus „shost“, wenn IP |
| shost_present | shost_present | Auf „true“ festlegen |
| smac | event.idm.read_only_udm.principal.mac | Wert, der nach der Formatierung aus SMAC übernommen wurde |
| smac | mac | Wert, der nach der Formatierung aus SMAC übernommen wurde |
| sntdom | event.idm.read_only_udm.principal.administrative_domain | Wert aus sntdom |
| sourceDnsDomain | event.idm.read_only_udm.target.asset.hostname | Wert aus dem Hostnamen von „sourceDnsDomain“ |
| sourceDnsDomain | event.idm.read_only_udm.target.hostname | Wert aus dem Hostnamen von „sourceDnsDomain“ |
| sourceServiceName | event.idm.read_only_udm.principal.application | Wert aus „sourceServiceName“ |
| sourceTranslatedAddress | event.idm.read_only_udm.principal.nat_ip | Wert aus „sourceTranslatedAddress“ |
| sourceTranslatedPort | event.idm.read_only_udm.principal.nat_port | Von sourceTranslatedPort in Ganzzahl konvertiert |
| spid | event.idm.read_only_udm.principal.process.pid | Wert aus „spid“ |
| spriv | principal_role | Wert aus „spriv“ |
| sproc | event.idm.read_only_udm.principal.process.command_line | Wert aus gespeicherter Prozedur |
| spt | event.idm.read_only_udm.principal.port | Bei Gültigkeit von spt in Ganzzahl konvertiert |
| src | event.idm.read_only_udm.principal.asset.ip | Wert aus „src“ übernommen |
| src | event.idm.read_only_udm.principal.ip | Wert aus „src“ übernommen |
| src | event.idm.read_only_udm.metadata.event_type | Wird auf STATUS_UPDATE gesetzt, wenn „src“ nicht leer ist. |
| srcip | principal_ip | Wert aus „srcip“ |
| spyware_Grayware_Type_label | security_result.detection_fields | Zusammengeführt aus „spyware_Grayware_Type_label“ |
| suid | event.idm.read_only_udm.principal.user.userid | Wert aus „suid“ übernommen |
| suser | event.idm.read_only_udm.principal.user.user_display_name | Wert aus „suser“ übernommen, wenn er nicht mit „{“ beginnt |
| Ziel | event.idm.read_only_udm.target | Umbenannt aus Ziel |
| target_hostname_present | target_hostname_present | Auf „true“ festlegen |
| target_machine_id_present | target_machine_id_present | Auf „true“ festlegen |
| target_present | target_present | Auf „true“ festlegen |
| temp_dhost | event.idm.read_only_udm.target.hostname | Wert aus temp_dhost |
| temp_dhost | target_hostname_present | Auf „true“ festlegen |
| temp_dhost | target_machine_id_present | Auf „true“ festlegen |
| temp_duid | event.idm.read_only_udm.target.user.userid | Wert, der nach dem Grokking aus „temp_duid“ übernommen wurde |
| temp_duser | event.idm.read_only_udm.target.user.user_display_name | Wert aus „temp_duser“ |
| temp_duser | has_target_user | Auf „true“ festlegen |
| threat_probability_label | security_result.detection_fields | Zusammengeführt aus „threat_probability_label“ |
| tillatelse_label | security_result.detection_fields | Zusammengeführt aus tillatelse_label |
| type_label | security_result_token.detection_fields | Schlüssel auf „Type“ festgelegt, Wert aus _metadata.source.type |
| customer_label | security_result_token.detection_fields | Schlüssel auf „Customer“ festgelegt, Wert aus _metadata.customer |
| event.idm.read_only_udm.metadata.vendor_name | Auf „FIREEYE_EMPS“ festgelegt | |
| event.idm.read_only_udm.metadata.product_name | Auf „FIREEYE_EMPS“ festgelegt |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten