Recopila registros de eMPS de FireEye

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de eMPS de FireEye a Google Security Operations con el agente de Bindplane.

El sistema de protección contra software malicioso por correo electrónico de FireEye (eMPS), también conocido como la serie EX de FireEye (anteriormente FireEye Email Security, ahora parte de Trellix Email Security), es un dispositivo de seguridad de correo electrónico que protege a las organizaciones de amenazas avanzadas por correo electrónico, como la suplantación de identidad selectiva, el software malicioso y los ataques dirigidos, ya que analiza el contenido y los archivos adjuntos de los correos electrónicos en tiempo real.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Windows Server 2016 o versiones posteriores, o host de Linux con systemd
Conectividad de red entre el agente de Bindplane y el dispositivo eMPS de FireEye
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso con privilegios a la CLI del dispositivo eMPS de FireEye (rol de administrador o operador)
Dispositivo FireEye eMPS con capacidad de notificación de syslog

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agente de recopilación.
Haz clic en Descargar para descargar el archivo de autenticación de la transferencia.
Guarda el archivo de forma segura en el sistema en el que se instalará el agente de Bindplane.

Nota: Este archivo JSON contiene credenciales para autenticar el agente de Bindplane en Google SecOps.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Nota: Se requiere el ID de cliente para configurar el exportador del agente de Bindplane.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Espera a que se complete la instalación.
Ejecute el siguiente comando para verificar la instalación:
```
sc query observiq-otel-collector
```

El servicio debería mostrarse como RUNNING.

Instalación en Linux

Abre una terminal con privilegios de administrador o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Espera a que se complete la instalación.
Ejecute el siguiente comando para verificar la instalación:
```
sudo systemctl status observiq-otel-collector
```

El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir el syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

Reemplaza todo el contenido de config.yaml con la siguiente configuración:

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/fireeye_emps:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FIREEYE_EMPS
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/fireeye_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/fireeye_emps

Parámetros de configuración

Reemplaza los marcadores de posición que se indican más abajo:

Configuración del receptor:

El receptor está configurado para syslog UDP en el puerto 514 (puerto de syslog estándar).
Para usar un puerto sin privilegios en Linux, cambia 514 a 1514 o a un número mayor.
Para usar TCP en lugar de UDP, reemplaza udplog por tcplog.

Configuración del exportador:

creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:
- Linux: /etc/bindplane-agent/ingestion-auth.json
- Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
customer_id: Reemplaza YOUR_CUSTOMER_ID por el ID del cliente del paso anterior.
endpoint: URL del extremo regional:
- EE.UU.: malachiteingestion-pa.googleapis.com
- Europa: europe-malachiteingestion-pa.googleapis.com
- Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
- Consulta Extremos regionales para obtener la lista completa.
log_type: Debe ser exactamente FIREEYE_EMPS para que coincida con el analizador de Chronicle.
ingestion_labels: Etiquetas opcionales en formato YAML (personaliza según sea necesario).

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:

Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

Linux

sudo systemctl restart observiq-otel-collector

Verifica que el servicio esté en ejecución:

sudo systemctl status observiq-otel-collector

Revisa los registros en busca de errores:

sudo journalctl -u observiq-otel-collector -f

Windows

Elige una de las siguientes opciones:
- Con el símbolo del sistema o PowerShell como administrador, haz lo siguiente:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Usa la consola de Services:
  1. Presiona Win+R, escribe services.msc y presiona Intro.
  2. Busca observIQ OpenTelemetry Collector.
  3. Haz clic con el botón derecho y selecciona Reiniciar.
  4. Verifica que el servicio esté en ejecución:
```
sc query observiq-otel-collector
```
  5. Revisa los registros en busca de errores:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura el reenvío de syslog de FireEye eMPS

Configura el dispositivo FireEye eMPS para que reenvíe las notificaciones de syslog al agente de Bindplane con la CLI.

Accede a la CLI de eMPS de FireEye

Conéctate al dispositivo FireEye eMPS a través de SSH o la consola.
Accede con una cuenta que tenga privilegios de administrador o de operador.
Ingresa al modo de habilitación:
```
hostname> enable
```
Ingresa al modo de configuración:
```
hostname# configure terminal
```

Configura el servidor Syslog

Agrega el agente de Bindplane como receptor de captura de syslog:
```
hostname(config)# fenotify rsyslog trap-sink chronicle address <BINDPLANE_IP_ADDRESS>
```
Reemplaza <BINDPLANE_IP_ADDRESS> por la dirección IP del host que ejecuta el agente de Bindplane (por ejemplo, 192.168.1.100).

Establece el formato de syslog en CEF (formato de evento común):

hostname(config)# fenotify rsyslog trap-sink chronicle prefer message format cef

Establece la instalación de syslog en local4 (recomendado):
```
hostname(config)# fenotify syslog default facility local4
```

Establece el modo de entrega para enviar notificaciones por evento:

hostname(config)# fenotify rsyslog trap-sink chronicle message delivery per-event

Establece la gravedad de la alerta en el nivel de alerta (recomendado):

hostname(config)# fenotify rsyslog trap-sink chronicle prefer message send-as alert

Establece el protocolo en UDP (o TCP si se configuró en Bindplane):
```
hostname(config)# fenotify rsyslog trap-sink chronicle protocol udp
```
Nota: Si configuraste el agente de Bindplane para que use TCP, cambia udp por tcp.
Configura el puerto en 514 (o el puerto configurado en Bindplane):
```
hostname(config)# fenotify rsyslog trap-sink chronicle port 514
```
Nota: Si configuraste el agente de Bindplane para que use un puerto diferente (por ejemplo, 1514), cambia 514 para que coincida.

Habilita las notificaciones de syslog

Para habilitar las notificaciones de rsyslog de forma global, haz lo siguiente:
```
hostname(config)# fenotify rsyslog enable
```
Para habilitar las notificaciones globales, haz lo siguiente:
```
hostname(config)# fenotify enable
```
Habilita tipos de alertas específicos para rsyslog. Por ejemplo, para habilitar todas las alertas relacionadas con el correo electrónico, haz lo siguiente:
```
hostname(config)# fenotify rsyslog alert malware-object enable
hostname(config)# fenotify rsyslog alert malware-callback enable
hostname(config)# fenotify rsyslog alert infection-match enable
hostname(config)# fenotify rsyslog alert domain-match enable
```
Nota: Habilita los tipos de alertas pertinentes para tus requisitos de supervisión. Los tipos de alertas disponibles pueden incluir: malware-object, malware-callback, infection-match, domain-match, web-infection, riskware-object, riskware-callback y otros, según la versión de eMPS de FireEye.
Verifica la configuración:
```
hostname(config)# show fenotify alerts
```
Este comando muestra los métodos de notificación y los tipos de alertas habilitados.
Guarda la configuración:
```
hostname(config)# write memory
```
Salir del modo de configuración:
```
hostname(config)# exit
hostname# exit
```

Cómo probar la conectividad de Syslog

Envía un mensaje de syslog de prueba para verificar la conectividad:
```
hostname# fenotify rsyslog send-test
```

Revisa los registros del agente de Bindplane para confirmar la recepción del mensaje de prueba:

Linux:

sudo journalctl -u observiq-otel-collector -n 50

Windows:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Verifica que los registros aparezcan en la consola de Google SecOps (espera de 5 a 10 minutos para la transferencia inicial).

Notas de configuración adicionales

FireEye eMPS envía mensajes de syslog en formato CEF (formato de evento común) cuando se configura como se muestra arriba.
Los mensajes de syslog incluyen detalles de las amenazas por correo electrónico, como el remitente, el destinatario, el asunto, los nombres de software malicioso, las URLs, los hashes de archivos y la gravedad de la amenaza.
Asegúrate de que las reglas de firewall permitan el tráfico UDP (o TCP) del dispositivo FireEye eMPS al agente de Bindplane en el puerto configurado.
Para obtener una referencia detallada de los comandos de la CLI, consulta el portal de documentación de FireEye en https://docs.fireeye.com/ (se requiere acceso).

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
_hash	about.file.sha256	Valor tomado de _hash
_message	security_result_token.description	Valor tomado de _message si has_invalid_msg es falso
IPv6_Address	event.idm.read_only_udm.target.ip	Valor tomado de IPv6_Address si no es "-"
Action_Taken	security_result.action_details	Valor tomado de Action_Taken
CustomerName	event.idm.read_only_udm.target.user.user_display_name	Valor tomado de CustomerName después de quitar las comillas
Device_name	event.idm.read_only_udm.principal.hostname	Valor tomado de Device_name si está presente
Domene	sntdom	Valor tomado de Domene si el dominio no está presente
Dominio	sntdom	Valor tomado del dominio
Emne	about.process.command_line	Valor tomado de Emne si no está presente el asunto
Enhetsnavn	event.idm.read_only_udm.principal.hostname	El valor se toma de Enhetsnavn si Device_name no está presente.
File_name	event.idm.read_only_udm.target.process.file.full_path	Valor tomado de File_name
Generado	event.idm.read_only_udm.metadata.event_timestamp	Se convirtió de formato generado a formato de marca de tiempo
Group_name	event.idm.read_only_udm.principal.group.group_display_name	Valor tomado de Group_name
Gruppenavn	event.idm.read_only_udm.principal.group.group_display_name	Valor tomado de Gruppenavn si no está presente Group_name
Infected_Resource	event.idm.read_only_udm.target.process.file.full_path	Valor tomado de Infected_Resource si no hay otros presentes
Infection_Channel	security_result.detection_fields	La clave se establece en "Canal de infección", y el valor se toma de Infection_Channel.
IPv6_Address	target_machine_id_present	Se establece en verdadero si IPv6_Address no es "-".
Objeto	event.idm.read_only_udm.target.process.file.full_path	Valor tomado del objeto si no está presente el nombre de archivo
Objekt	event.idm.read_only_udm.target.process.file.full_path	Valor tomado de Objekt si no hay otros presentes
Operasjon	operasjon_label	Valor tomado de Operasjon
Operación	operation_label	Valor tomado de la operación
Ruta	about.process.command_line	Valor tomado de la ruta de acceso si no hay otros presentes
Permiso	permission_label	Valor tomado del permiso
Recibidos	event.idm.read_only_udm.metadata.collected_timestamp	Se convirtió de Received al formato de marca de tiempo.
Resource_Type	event.idm.read_only_udm.target.resource.attribute.labels	Clave establecida en "Resource_Type", valor de Resource_Type
Resultado	security_result.summary	Valor tomado del resultado
Scan_Type	security_result.description	Valor tomado de Scan_Type si no está presente el tipo
Software espía	security_result.threat_name	Valor tomado de Spyware
Spyware_Grayware_Type	security_result.detection_fields	La clave se establece en "Spyware/Grayware_Type", y el valor se toma de Spyware_Grayware_Type.
Asunto	about.process.command_line	Valor tomado del asunto
Threat_Probability	security_result.detection_fields	La clave se establece en "Threat_Probability" y el valor se toma de Threat_Probability.
Tillatelse	tillatelse_label	Valor tomado de Tillatelse
Tipo	security_result.description	Valor tomado de Type
Unknown_Threat	security_result.threat_name	Valor tomado de Unknown_Threat si no hay otros presentes
Usuario	event.idm.read_only_udm.target.user.userid	Valor tomado del usuario
Virus_Malware_Name	security_result.threat_name	Valor tomado de Virus_Malware_Name si no hay software espía
_metadata.customer	security_result_token.detection_fields	Clave establecida en "Cliente", valor de _metadata.customer
_metadata.proxy.address	event.idm.read_only_udm.principal.hostname	Valor tomado de _metadata.proxy.address
_metadata.proxy.address	event.idm.read_only_udm.principal.asset.hostname	Valor tomado de _metadata.proxy.address
_metadata.source.address	principal.hostname	Valor tomado de _metadata.source.address
_metadata.source.address	principal.asset.hostname	Valor tomado de _metadata.source.address
_metadata.source.port	principal.port	Se convirtió de _metadata.source.port a número entero
_metadata.source.type	security_result_token.detection_fields	Clave establecida en "Type", valor de _metadata.source.type
_metadata.timestamp.producer_process	event.idm.read_only_udm.metadata.event_timestamp	Se convirtió de _metadata.timestamp.producer_process al formato de marca de tiempo.
_metadata.timestamp.producer_process	metadata.event_timestamp	Se convirtió de _metadata.timestamp.producer_process al formato de marca de tiempo.
acerca de	event.idm.read_only_udm.about	Se combinó desde Acerca de
about_token	event.idm.read_only_udm.about	Se combinó desde about_token
actúa	security_result.action	Se deriva de act: accept/notified → ALLOW; deny/blocked → BLOCK; Failure → FAIL
actúa	security_result.action_details	Valor tomado del acto
additional_cs1	event.idm.read_only_udm.additional.fields	Clave establecida en cs1Label, valor de cs1
additional_cs2	event.idm.read_only_udm.additional.fields	Clave establecida en cs2Label, valor de cs2
additional_cs3	event.idm.read_only_udm.additional.fields	La clave se establece en cs3Label y el valor se toma de cs3 si no está vacío.
additional_cs4	event.idm.read_only_udm.additional.fields	Clave establecida en cs4Label, valor de cs4
additional_cs5	event.idm.read_only_udm.additional.fields	La clave se establece en cs5Label y el valor se toma de cs5 si no es NA.
additional_cs6	event.idm.read_only_udm.additional.fields	La clave se establece en cs6Label y el valor se toma de cs6 si no está vacío.
additional_cs7	event.idm.read_only_udm.additional.fields	Clave establecida en cs7Label, valor de cs7 si no está vacío
additional_cn1	event.idm.read_only_udm.additional.fields	Clave establecida en cn1Label, valor de cn1 si no está vacío
additional_cn2	event.idm.read_only_udm.additional.fields	La clave se establece en cn2Label y el valor se toma de cn2 si no está vacío.
additional_cn3	event.idm.read_only_udm.additional.fields	La clave se establece en cn3Label y el valor se toma de cn3 si no está vacío.
additional_cfp1	event.idm.read_only_udm.additional.fields	La clave se establece en cfp1Label y el valor se toma de cfp1 si no está vacío.
additional_cfp2	event.idm.read_only_udm.additional.fields	Clave establecida en cfp2Label, valor de cfp2 si no está vacío
additional_cfp3	event.idm.read_only_udm.additional.fields	La clave se establece en cfp3Label y el valor se toma de cfp3 si no está vacío.
additional_cfp4	event.idm.read_only_udm.additional.fields	La clave se establece en cfp4Label y el valor se toma de cfp4 si no está vacío.
additional_devicePayloadId	event.idm.read_only_udm.additional.fields	Clave establecida en "devicePayloadId", valor de devicePayloadId
additional_eventId	event.idm.read_only_udm.additional.fields	Clave establecida en "eventId", valor de eventId
additional_fname	event.idm.read_only_udm.additional.fields	Clave establecida en "fname", valor de fname si no es N/A
additional_flexString1	event.idm.read_only_udm.additional.fields	Clave establecida en flexString1Label, valor de flexString1
additional_flexString2	event.idm.read_only_udm.additional.fields	La clave se establece en flexString2Label y el valor se toma de flexString2 si no está vacío.
aplicación	app_protocol_src	Valor tomado de la app
appcategory	security_result.summary	Valor tomado de appcategory
base64_sha256	event.idm.read_only_udm.network.tls.client.certificate.sha256	Se convirtió de Sha256 a hexadecimal de Base64
base64_sha256	event.idm.read_only_udm.target.resource.name	Valor tomado de base64_sha256
cat	security_result.category_details	Valor tomado de la categoría
cs5	cs5_label	Valor tomado de cs5 si no se configura la etiqueta
cs5_label	event.idm.read_only_udm.additional.fields	Clave establecida en "cs5 Label", valor de cs5 si no es válido
destinationServiceName	event.idm.read_only_udm.target.application	Valor tomado de destinationServiceName
destinationTranslatedAddress	event.idm.read_only_udm.target.nat_ip	Valor tomado de destinationTranslatedAddress
destinationTranslatedPort	event.idm.read_only_udm.target.nat_port	Se convirtió de destinationTranslatedPort a número entero
deviceDirection	event.idm.read_only_udm.network.direction	Se establece en INBOUND si es 0 y en OUTBOUND si es 1.
deviceExternalId	about.asset.asset_id	Valor tomado de deviceExternalId como "device_vendor.device_product:deviceExternalId"
deviceNtDomain	about.administrative_domain	Valor tomado de deviceNtDomain
devicePayloadId	additional_devicePayloadId	Valor tomado de devicePayloadId
deviceProcessName	about.process.command_line	Valor tomado de deviceProcessName
deviceTranslatedAddress	about.nat_ip	Valor tomado de deviceTranslatedAddress
device_vendor	event.idm.read_only_udm.metadata.vendor_name	Valor tomado de device_vendor
device_version	event.idm.read_only_udm.metadata.product_version	Valor tomado de device_version
dhost	temp_dhost	Valor tomado de dhost
dmac	event.idm.read_only_udm.target.mac	Valor tomado de dmac después del formato
dmac	mac_address	Valor tomado de dmac después del formato
dntdom	event.idm.read_only_udm.target.administrative_domain	Valor tomado de dntdom
dpid	event.idm.read_only_udm.target.process.pid	Valor tomado del dpid
dpriv	target_role	Valor tomado de dpriv
dproc	event.idm.read_only_udm.target.process.command_line	Valor tomado de dproc
dpt	event.idm.read_only_udm.target.port	Se convirtió de dpt a número entero
DST	event.idm.read_only_udm.target.asset.ip	Valor tomado de dst
DST	event.idm.read_only_udm.target.ip	Valor tomado de dst
dst_ip	target_ip	Valor tomado de dst_ip
duid	temp_duid	Valor tomado del DUID
duser	event.idm.read_only_udm.metadata.event_type	Se establece en USER_UNCATEGORIZED si duser no está vacío.
duser	temp_duser	Valor tomado de duser
dvchost	about.hostname	Valor tomado de dvchost
dvcmac	about.mac	Valor tomado de dvcmac después del formato si la MAC es válida
dvcmac	dvc_mac	Valor tomado de dvcmac después del formato
dvcpid	about.process.pid	Valor tomado de dvcpid
dvc	about.ip	División del array de dvc
eventId	additional_eventId	Valor tomado de eventId
event_name	event.idm.read_only_udm.metadata.product_event_type	Se combina con device_event_class_id como "[device_event_class_id] - event_name" o solo event_name
event_name	event.idm.read_only_udm.metadata.event_type	Se establece en SCAN_UNCATEGORIZED si es LogSpyware o LogPredictiveMachineLearning
eventid	eventId	Valor tomado de eventid
externalId	event.idm.read_only_udm.metadata.product_log_id	Valor tomado de externalId
fileHash	about.file.sha256	Valor tomado de fileHash si el hash es válido
fileHash	about.file.full_path	Valor tomado de fileHash si no es un hash válido
filePath	about.file.full_path	Valor tomado de filePath
filePermission	permisos	Valor tomado de filePermission
fileType	about.file.mime_type	Valor tomado de fileType
flexString2	additional_flexString2	Valor tomado de flexString2
flexString2Label	additional_flexString2	Valor tomado de flexString2Label
fname	additional_fname	Valor tomado de fname
fsize	about.file.size	Se convirtió de fsize a uinteger
has_principal	metadata.event_type	Se establece en STATUS_UPDATE si has_principal es verdadero y has_target es falso.
has_principal	principal_present	Se establece como verdadero.
has_target	metadata.event_type	Se establece en GENERIC_EVENT si has_principal es falso.
en	event.idm.read_only_udm.network.received_bytes	Se convirtió de int a uinteger si es > 0
infection_channel_label	security_result.detection_fields	La clave se establece en "Canal de infección", y el valor se toma de Infection_Channel.
ipv6	target_machine_id_present	Se establece en verdadero si IPv6_Address no es "-".
mac	event.idm.read_only_udm.principal.mac	Valor tomado de la Mac
mac_address	event.idm.read_only_udm.target.mac	Valor tomado de mac_address
mac_address	about.mac	Valor tomado de mac_address
metadatos	event.idm.read_only_udm.metadata	Se cambió el nombre de los metadatos
msg	event.idm.read_only_udm.metadata.description	Valor tomado del mensaje después de quitar las comillas
msg_data_2	security_result.description	Valor tomado de msg_data_2 si no está vacío
mwProfile	security_result.rule_name	Valor tomado de mwProfile
oldFilePath	event.idm.read_only_udm.src.file.full_path	Valor tomado de oldFilePath
oldFilePermission	old_permissions	Valor tomado de oldFilePermission
oldFileSize	event.idm.read_only_udm.src.file.size	Se convirtió de oldFileSize a uinteger
operasjon_label	security_result.detection_fields	Se fusiona desde operasjon_label si el valor no está vacío
operation_label	security_result.detection_fields	Se combina de operation_label si el valor no está vacío
de	event.idm.read_only_udm.network.sent_bytes	Se convirtió de salida a uinteger si es >0
permission_label	security_result.detection_fields	Se combina desde permission_label si el valor no está vacío.
puerto	event.idm.read_only_udm.principal.port	Se convirtió de puerto a número entero
entidad	event.idm.read_only_udm.principal	Se cambió el nombre del principal
proto	protocol_number_src	Valor tomado del .proto
solicitud	event.idm.read_only_udm.target.url	Valor tomado de la solicitud
requestClientApplication	event.idm.read_only_udm.network.http.user_agent	Valor tomado de requestClientApplication
requestMethod	event.idm.read_only_udm.network.http.method	Valor tomado de requestMethod
resource_Type_label	event.idm.read_only_udm.target.resource.attribute.labels	Se fusiona de resource_Type_label si no es no válido.
rt	event.idm.read_only_udm.metadata.event_timestamp	Se convirtió de rt al formato de marca de tiempo.
security_result	event.idm.read_only_udm.security_result	Se combinó de security_result
security_result_token	event.idm.read_only_udm.security_result	Se combinó de security_result_token
gravedad,	security_result.severity	Se deriva de la gravedad: 0-1 → BAJA; 2-3 → MEDIA; 4-5 → ALTA; 6-9 → CRÍTICA
shost	event.idm.read_only_udm.principal.hostname	Valor tomado de shost si es IP, de lo contrario, es el nombre de host
shost	event.idm.read_only_udm.principal.ip	Valor tomado de shost si es IP
shost_present	shost_present	Se establece como verdadero.
smac	event.idm.read_only_udm.principal.mac	Valor tomado de SMAC después del formato
smac	mac	Valor tomado de SMAC después del formato
sntdom	event.idm.read_only_udm.principal.administrative_domain	Valor tomado de sntdom
sourceDnsDomain	event.idm.read_only_udm.target.asset.hostname	Valor tomado del nombre de host sourceDnsDomain
sourceDnsDomain	event.idm.read_only_udm.target.hostname	Valor tomado del nombre de host sourceDnsDomain
sourceServiceName	event.idm.read_only_udm.principal.application	Valor tomado de sourceServiceName
sourceTranslatedAddress	event.idm.read_only_udm.principal.nat_ip	Valor tomado de sourceTranslatedAddress
sourceTranslatedPort	event.idm.read_only_udm.principal.nat_port	Se convirtió de sourceTranslatedPort a número entero
spid	event.idm.read_only_udm.principal.process.pid	Valor tomado del SPID
spriv	principal_role	Valor tomado de spriv
sproc	event.idm.read_only_udm.principal.process.command_line	Valor tomado del sproc
spt	event.idm.read_only_udm.principal.port	Se convierte de spt a número entero si es válido.
src	event.idm.read_only_udm.principal.asset.ip	Valor tomado de src
src	event.idm.read_only_udm.principal.ip	Valor tomado de src
src	event.idm.read_only_udm.metadata.event_type	Se establece en STATUS_UPDATE si src no está vacío
srcip	principal_ip	Valor tomado de srcip
spyware_Grayware_Type_label	security_result.detection_fields	Se combinó de spyware_Grayware_Type_label
suid	event.idm.read_only_udm.principal.user.userid	Valor tomado del SUID
suser	event.idm.read_only_udm.principal.user.user_display_name	El valor se toma de suser si no comienza con {
objetivo	event.idm.read_only_udm.target	Se cambió el nombre del destino
target_hostname_present	target_hostname_present	Se establece como verdadero.
target_machine_id_present	target_machine_id_present	Se establece como verdadero.
target_present	target_present	Se establece como verdadero.
temp_dhost	event.idm.read_only_udm.target.hostname	Valor tomado de temp_dhost
temp_dhost	target_hostname_present	Se establece como verdadero.
temp_dhost	target_machine_id_present	Se establece como verdadero.
temp_duid	event.idm.read_only_udm.target.user.userid	Valor tomado de temp_duid después de la comprensión
temp_duser	event.idm.read_only_udm.target.user.user_display_name	Valor tomado de temp_duser
temp_duser	has_target_user	Se establece como verdadero.
threat_probability_label	security_result.detection_fields	Se combinó desde threat_probability_label
tillatelse_label	security_result.detection_fields	Se combinó desde tillatelse_label
type_label	security_result_token.detection_fields	Clave establecida en "Type", valor de _metadata.source.type
customer_label	security_result_token.detection_fields	Clave establecida en "Cliente", valor de _metadata.customer
	event.idm.read_only_udm.metadata.vendor_name	Se establece en "FIREEYE_EMPS".
	event.idm.read_only_udm.metadata.product_name	Se establece en "FIREEYE_EMPS".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.