Collecter les journaux FireEye eMPS

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux FireEye eMPS dans Google Security Operations à l'aide de l'agent Bindplane.

FireEye Email Malware Protection System (eMPS), également connu sous le nom de FireEye EX Series (anciennement FireEye Email Security, qui fait désormais partie de Trellix Email Security), est un dispositif de sécurité des e-mails qui protège les organisations contre les menaces avancées par e-mail, y compris le spear phishing, les logiciels malveillants et les attaques ciblées, en analysant le contenu et les pièces jointes des e-mails en temps réel.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et l'appliance FireEye eMPS
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à l'interface de ligne de commande de l'appliance FireEye eMPS (rôle d'administrateur ou d'opérateur)
Appliance FireEye eMPS avec fonctionnalité de notification syslog

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agent de collecte.
Cliquez sur Télécharger pour télécharger le fichier d'authentification pour l'ingestion.
Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent BindPlane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```

Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```

Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/fireeye_emps:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FIREEYE_EMPS
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/fireeye_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/fireeye_emps

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :

Le récepteur est configuré pour le syslog UDP sur le port 514 (port syslog standard).
Pour utiliser un port non privilégié sur Linux, remplacez 514 par 1514 ou une valeur supérieure.
Pour utiliser TCP au lieu d'UDP, remplacez udplog par tcplog.

Configuration de l'exportateur :

creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
- Linux : /etc/bindplane-agent/ingestion-auth.json
- Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
customer_id : remplacez YOUR_CUSTOMER_ID par le numéro client de l'étape précédente.
endpoint : URL du point de terminaison régional :
- États-Unis : malachiteingestion-pa.googleapis.com
- Europe : europe-malachiteingestion-pa.googleapis.com
- Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
- Pour obtenir la liste complète, consultez Points de terminaison régionaux.
log_type : doit être exactement FIREEYE_EMPS pour correspondre à l'analyseur Chronicle.
ingestion_labels : libellés facultatifs au format YAML (personnalisez-les selon vos besoins).

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :

Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Linux

sudo systemctl restart observiq-otel-collector

Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```

Recherchez les erreurs dans les journaux :

sudo journalctl -u observiq-otel-collector -f

Windows

Choisissez l'une des options suivantes :
- À l'aide de l'invite de commandes ou de PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Utiliser la console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert syslog FireEye eMPS

Configurez l'appliance FireEye eMPS pour qu'elle transfère les notifications syslog à l'agent Bindplane à l'aide de la CLI.

Accéder à la CLI FireEye eMPS

Connectez-vous à l'appliance FireEye eMPS via SSH ou la console.
Connectez-vous avec un compte disposant des droits d'administrateur ou d'opérateur.
Passez en mode activation :
```
hostname> enable
```
Passez en mode configuration :
```
hostname# configure terminal
```

Configurer le serveur syslog

Ajoutez l'agent Bindplane en tant que récepteur de trap syslog :
```
hostname(config)# fenotify rsyslog trap-sink chronicle address <BINDPLANE_IP_ADDRESS>
```
Remplacez <BINDPLANE_IP_ADDRESS> par l'adresse IP de l'hôte exécutant l'agent Bindplane (par exemple, 192.168.1.100).

Définissez le format syslog sur CEF (Common Event Format) :

hostname(config)# fenotify rsyslog trap-sink chronicle prefer message format cef

Définissez le syslog sur local4 (recommandé) :

hostname(config)# fenotify syslog default facility local4

Définissez le mode de diffusion pour envoyer des notifications par événement :

hostname(config)# fenotify rsyslog trap-sink chronicle message delivery per-event

Définissez la gravité de l'alerte sur le niveau d'alerte (recommandé) :

hostname(config)# fenotify rsyslog trap-sink chronicle prefer message send-as alert

Définissez le protocole sur UDP (ou TCP s'il est configuré dans Bindplane) :
```
hostname(config)# fenotify rsyslog trap-sink chronicle protocol udp
```
Remarque : Si vous avez configuré l'agent Bindplane pour qu'il utilise TCP, remplacez udp par tcp.
Définissez le port sur 514 (ou sur le port configuré dans Bindplane) :
```
hostname(config)# fenotify rsyslog trap-sink chronicle port 514
```
Remarque : Si vous avez configuré l'agent Bindplane pour qu'il utilise un autre port (par exemple, 1514), modifiez 514 en conséquence.

Activer les notifications syslog

Activez les notifications rsyslog de manière globale :
```
hostname(config)# fenotify rsyslog enable
```
Activez les notifications globales :
```
hostname(config)# fenotify enable
```
Activez des types d'alertes spécifiques pour rsyslog. Par exemple, pour activer toutes les alertes liées aux e-mails :
```
hostname(config)# fenotify rsyslog alert malware-object enable
hostname(config)# fenotify rsyslog alert malware-callback enable
hostname(config)# fenotify rsyslog alert infection-match enable
hostname(config)# fenotify rsyslog alert domain-match enable
```
Remarque : Activez les types d'alertes correspondant à vos besoins de surveillance. Les types d'alertes disponibles peuvent inclure malware-object, malware-callback, infection-match, domain-match, web-infection, riskware-object, riskware-callback et d'autres, selon votre version de FireEye eMPS.
Vérifiez la configuration :
```
hostname(config)# show fenotify alerts
```
Cette commande affiche les méthodes de notification et les types d'alerte activés.
Enregistrez la configuration :
```
hostname(config)# write memory
```
Quittez le mode configuration :
```
hostname(config)# exit
hostname# exit
```

Tester la connectivité Syslog

Envoyez un message syslog de test pour vérifier la connectivité :
```
hostname# fenotify rsyslog send-test
```

Consultez les journaux de l'agent Bindplane pour confirmer la réception du message de test :

Linux :

sudo journalctl -u observiq-otel-collector -n 50

Windows :

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Vérifiez que les journaux s'affichent dans la console Google SecOps (comptez 5 à 10 minutes pour l'ingestion initiale).

Remarques supplémentaires sur la configuration

FireEye eMPS envoie des messages syslog au format CEF (Common Event Format) lorsqu'il est configuré comme indiqué ci-dessus.
Les messages syslog incluent des informations sur les menaces par e-mail, telles que l'expéditeur, le destinataire, l'objet, les noms des logiciels malveillants, les URL, les hachages de fichiers et la gravité de la menace.
Assurez-vous que les règles de pare-feu autorisent le trafic UDP (ou TCP) de l'appliance FireEye eMPS vers l'agent Bindplane sur le port configuré.
Pour obtenir des informations détaillées sur les commandes de l'interface de ligne de commande, consultez le portail de documentation FireEye à l'adresse https://docs.fireeye.com/ (connexion requise).

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
_hash	about.file.sha256	Valeur extraite de _hash
_message	security_result_token.description	Valeur extraite de _message si has_invalid_msg est défini sur "false"
IPv6_Address	event.idm.read_only_udm.target.ip	Valeur extraite de IPv6_Address si elle n'est pas "-"
Action_Taken	security_result.action_details	Valeur extraite de "Action_Taken"
CustomerName	event.idm.read_only_udm.target.user.user_display_name	Valeur extraite de CustomerName après suppression des guillemets
Device_name	event.idm.read_only_udm.principal.hostname	Valeur extraite de Device_name si elle est présente
Domene	sntdom	Valeur extraite de Domene si le domaine n'est pas présent
Domaine	sntdom	Valeur extraite du domaine
Emne	about.process.command_line	Valeur extraite de "Emne" si "Subject" est absent
Enhetsnavn	event.idm.read_only_udm.principal.hostname	Valeur extraite de "Enhetsnavn" si "Device_name" est absent
File_name	event.idm.read_only_udm.target.process.file.full_path	Valeur extraite de File_name
Généré	event.idm.read_only_udm.metadata.event_timestamp	Converties du format généré au format code temporel
Group_name	event.idm.read_only_udm.principal.group.group_display_name	Valeur extraite de Group_name
Gruppenavn	event.idm.read_only_udm.principal.group.group_display_name	Valeur extraite de Gruppenavn si Group_name n'est pas présent
Infected_Resource	event.idm.read_only_udm.target.process.file.full_path	Valeur extraite de Infected_Resource si aucune autre valeur n'est présente
Infection_Channel	security_result.detection_fields	Clé définie sur "Infection Channel", valeur issue de Infection_Channel
IPv6_Address	target_machine_id_present	Défini sur "true" si IPv6_Address n'est pas "-"
Objet	event.idm.read_only_udm.target.process.file.full_path	Valeur extraite de l'objet si File_name n'est pas présent
Objekt	event.idm.read_only_udm.target.process.file.full_path	Valeur extraite d'Objekt si aucune autre n'est présente
Operasjon	operasjon_label	Valeur extraite d'Operasjon
Opération	operation_label	Valeur extraite de l'opération
Chemin	about.process.command_line	Valeur extraite du chemin d'accès si aucune autre valeur n'est présente
Autorisation	permission_label	Valeur extraite de l'autorisation
Reçus	event.idm.read_only_udm.metadata.collected_timestamp	Conversion de "Reçu" au format d'horodatage
Resource_Type	event.idm.read_only_udm.target.resource.attribute.labels	Clé définie sur "Resource_Type", valeur issue de Resource_Type
Résultat	security_result.summary	Valeur extraite du résultat
Scan_Type	security_result.description	Valeur extraite de Scan_Type si le type n'est pas présent
Logiciel espion	security_result.threat_name	Valeur extraite de Spyware
Spyware_Grayware_Type	security_result.detection_fields	Clé définie sur "Spyware/Grayware_Type", valeur issue de Spyware_Grayware_Type
Objet	about.process.command_line	Valeur extraite de l'objet
Threat_Probability	security_result.detection_fields	Clé définie sur "Threat_Probability", valeur de Threat_Probability
Tillatelse	tillatelse_label	Valeur extraite de Tillatelse
Type	security_result.description	Valeur extraite du type
Unknown_Threat	security_result.threat_name	Valeur extraite de "Unknown_Threat" si aucune autre valeur n'est présente
Utilisateur	event.idm.read_only_udm.target.user.userid	Valeur extraite de l'utilisateur
Virus_Malware_Name	security_result.threat_name	Valeur extraite de Virus_Malware_Name si le logiciel espion n'est pas présent
_metadata.customer	security_result_token.detection_fields	Clé définie sur "Customer", valeur issue de _metadata.customer
_metadata.proxy.address	event.idm.read_only_udm.principal.hostname	Valeur extraite de _metadata.proxy.address
_metadata.proxy.address	event.idm.read_only_udm.principal.asset.hostname	Valeur extraite de _metadata.proxy.address
_metadata.source.address	principal.hostname	Valeur extraite de _metadata.source.address
_metadata.source.address	principal.asset.hostname	Valeur extraite de _metadata.source.address
_metadata.source.port	principal.port	_metadata.source.port converti en entier
_metadata.source.type	security_result_token.detection_fields	Clé définie sur "Type", valeur issue de _metadata.source.type
_metadata.timestamp.producer_process	event.idm.read_only_udm.metadata.event_timestamp	Conversion de _metadata.timestamp.producer_process au format d'horodatage
_metadata.timestamp.producer_process	metadata.event_timestamp	Conversion de _metadata.timestamp.producer_process au format d'horodatage
concernant	event.idm.read_only_udm.about	Fusionné depuis À propos
about_token	event.idm.read_only_udm.about	Fusionné à partir de about_token
agir	security_result.action	Dérivé de l'action : accept/notified → ALLOW ; deny/blocked → BLOCK ; Failure → FAIL
agir	security_result.action_details	Valeur extraite de l'acte
additional_cs1	event.idm.read_only_udm.additional.fields	Clé définie sur cs1Label, valeur provenant de cs1
additional_cs2	event.idm.read_only_udm.additional.fields	Clé définie sur cs2Label, valeur provenant de cs2
additional_cs3	event.idm.read_only_udm.additional.fields	Clé définie sur cs3Label, valeur de cs3 si elle n'est pas vide
additional_cs4	event.idm.read_only_udm.additional.fields	Clé définie sur cs4Label, valeur provenant de cs4
additional_cs5	event.idm.read_only_udm.additional.fields	Clé définie sur cs5Label, valeur de cs5 si elle n'est pas "NA"
additional_cs6	event.idm.read_only_udm.additional.fields	Clé définie sur cs6Label, valeur de cs6 si elle n'est pas vide
additional_cs7	event.idm.read_only_udm.additional.fields	Clé définie sur cs7Label, valeur de cs7 si elle n'est pas vide
additional_cn1	event.idm.read_only_udm.additional.fields	Clé définie sur cn1Label, valeur de cn1 si elle n'est pas vide
additional_cn2	event.idm.read_only_udm.additional.fields	Clé définie sur cn2Label, valeur de cn2 si elle n'est pas vide
additional_cn3	event.idm.read_only_udm.additional.fields	Clé définie sur cn3Label, valeur de cn3 si elle n'est pas vide
additional_cfp1	event.idm.read_only_udm.additional.fields	Clé définie sur cfp1Label, valeur de cfp1 si elle n'est pas vide
additional_cfp2	event.idm.read_only_udm.additional.fields	Clé définie sur cfp2Label, valeur de cfp2 si elle n'est pas vide
additional_cfp3	event.idm.read_only_udm.additional.fields	Clé définie sur cfp3Label, valeur de cfp3 si elle n'est pas vide
additional_cfp4	event.idm.read_only_udm.additional.fields	Clé définie sur cfp4Label, valeur de cfp4 si elle n'est pas vide
additional_devicePayloadId	event.idm.read_only_udm.additional.fields	Clé définie sur "devicePayloadId", valeur issue de devicePayloadId
additional_eventId	event.idm.read_only_udm.additional.fields	Clé définie sur "eventId", valeur provenant de eventId
additional_fname	event.idm.read_only_udm.additional.fields	Clé définie sur "fname", valeur de fname si elle n'est pas N/A
additional_flexString1	event.idm.read_only_udm.additional.fields	Clé définie sur flexString1Label, valeur issue de flexString1
additional_flexString2	event.idm.read_only_udm.additional.fields	Clé définie sur flexString2Label, valeur de flexString2 si elle n'est pas vide
application	app_protocol_src	Valeur extraite de l'application
appcategory	security_result.summary	Valeur extraite de appcategory
base64_sha256	event.idm.read_only_udm.network.tls.client.certificate.sha256	Conversion de Sha256 en hexadécimal base64
base64_sha256	event.idm.read_only_udm.target.resource.name	Valeur extraite de base64_sha256
cat	security_result.category_details	Valeur extraite de la catégorie
cs5	cs5_label	Valeur extraite de cs5 si l'étiquette n'est pas définie
cs5_label	event.idm.read_only_udm.additional.fields	Clé définie sur "cs5 Label", valeur provenant de cs5 si elle est incorrecte
destinationServiceName	event.idm.read_only_udm.target.application	Valeur extraite de destinationServiceName
destinationTranslatedAddress	event.idm.read_only_udm.target.nat_ip	Valeur extraite de destinationTranslatedAddress
destinationTranslatedPort	event.idm.read_only_udm.target.nat_port	Conversion de destinationTranslatedPort en entier
deviceDirection	event.idm.read_only_udm.network.direction	Définissez sur INBOUND si la valeur est 0, ou sur OUTBOUND si la valeur est 1.
deviceExternalId	about.asset.asset_id	Valeur extraite de deviceExternalId sous la forme "device_vendor.device_product:deviceExternalId"
deviceNtDomain	about.administrative_domain	Valeur extraite de deviceNtDomain
devicePayloadId	additional_devicePayloadId	Valeur extraite de devicePayloadId
deviceProcessName	about.process.command_line	Valeur extraite de deviceProcessName
deviceTranslatedAddress	about.nat_ip	Valeur extraite de deviceTranslatedAddress
device_vendor	event.idm.read_only_udm.metadata.vendor_name	Valeur extraite de device_vendor
device_version	event.idm.read_only_udm.metadata.product_version	Valeur extraite de device_version
dhost	temp_dhost	Valeur extraite de dhost
dmac	event.idm.read_only_udm.target.mac	Valeur extraite de dmac après mise en forme
dmac	mac_address	Valeur extraite de dmac après mise en forme
dntdom	event.idm.read_only_udm.target.administrative_domain	Valeur extraite de dntdom
dpid	event.idm.read_only_udm.target.process.pid	Valeur extraite de dpid
dpriv	target_role	Valeur extraite de dpriv
dproc	event.idm.read_only_udm.target.process.command_line	Valeur extraite de dproc
dpt	event.idm.read_only_udm.target.port	Converti de dpt en entier
dst	event.idm.read_only_udm.target.asset.ip	Valeur extraite de dst
dst	event.idm.read_only_udm.target.ip	Valeur extraite de dst
dst_ip	target_ip	Valeur extraite de dst_ip
duid	temp_duid	Valeur extraite du DUID
duser	event.idm.read_only_udm.metadata.event_type	Définissez sur USER_UNCATEGORIZED si duser n'est pas vide.
duser	temp_duser	Valeur extraite de duser
dvchost	about.hostname	Valeur extraite de dvchost
dvcmac	about.mac	Valeur extraite de dvcmac après mise en forme si l'adresse MAC est valide
dvcmac	dvc_mac	Valeur extraite de dvcmac après mise en forme
dvcpid	about.process.pid	Valeur extraite de dvcpid
dvc	about.ip	Fractionner à partir du tableau DVC
eventId	additional_eventId	Valeur extraite de eventId
event_name	event.idm.read_only_udm.metadata.product_event_type	Combiné à device_event_class_id sous la forme "[device_event_class_id] - event_name" ou simplement event_name
event_name	event.idm.read_only_udm.metadata.event_type	Définissez sur SCAN_UNCATEGORIZED si LogSpyware ou LogPredictiveMachineLearning
eventid	eventId	Valeur extraite de l'identifiant de l'événement
externalId	event.idm.read_only_udm.metadata.product_log_id	Valeur extraite de externalId
fileHash	about.file.sha256	Valeur extraite de fileHash si le hachage est valide
fileHash	about.file.full_path	Valeur extraite de fileHash si le hachage n'est pas valide
filePath	about.file.full_path	Valeur extraite de filePath
filePermission	autorisations	Valeur extraite de filePermission
fileType	about.file.mime_type	Valeur extraite de fileType
flexString2	additional_flexString2	Valeur extraite de flexString2
flexString2Label	additional_flexString2	Valeur extraite de flexString2Label
fname	additional_fname	Valeur extraite de fname
fsize	about.file.size	Conversion de fsize en uinteger
has_principal	metadata.event_type	Définissez sur STATUS_UPDATE si has_principal est défini sur "true" et has_target sur "false".
has_principal	principal_present	Définir sur "true"
has_target	metadata.event_type	Définissez sur GENERIC_EVENT si has_principal est défini sur "false"
dans	event.idm.read_only_udm.network.received_bytes	Converti de int en uinteger si >0
infection_channel_label	security_result.detection_fields	Clé définie sur "Infection Channel", valeur issue de Infection_Channel
ipv6	target_machine_id_present	Défini sur "true" si IPv6_Address n'est pas "-"
mac	event.idm.read_only_udm.principal.mac	Valeur extraite de Mac
mac_address	event.idm.read_only_udm.target.mac	Valeur extraite de mac_address
mac_address	about.mac	Valeur extraite de mac_address
métadonnées	event.idm.read_only_udm.metadata	Renommé à partir des métadonnées
msg	event.idm.read_only_udm.metadata.description	Valeur extraite du message après suppression des guillemets
msg_data_2	security_result.description	Valeur extraite de msg_data_2 si elle n'est pas vide
mwProfile	security_result.rule_name	Valeur extraite de mwProfile
oldFilePath	event.idm.read_only_udm.src.file.full_path	Valeur extraite de oldFilePath
oldFilePermission	old_permissions	Valeur extraite de oldFilePermission
oldFileSize	event.idm.read_only_udm.src.file.size	Conversion de oldFileSize en uinteger
operasjon_label	security_result.detection_fields	Fusionné à partir de operasjon_label si la valeur n'est pas vide
operation_label	security_result.detection_fields	Fusionné à partir de operation_label si la valeur n'est pas vide
sur	event.idm.read_only_udm.network.sent_bytes	Converti de "out" en "uinteger" si la valeur est supérieure à 0
permission_label	security_result.detection_fields	Fusionné à partir de permission_label si la valeur n'est pas vide
port	event.idm.read_only_udm.principal.port	Port converti en entier
compte principal	event.idm.read_only_udm.principal	Renommé par le compte principal
proto	protocol_number_src	Valeur extraite du fichier proto
request	event.idm.read_only_udm.target.url	Valeur extraite de la demande
requestClientApplication	event.idm.read_only_udm.network.http.user_agent	Valeur extraite de requestClientApplication
requestMethod	event.idm.read_only_udm.network.http.method	Valeur extraite de requestMethod
resource_Type_label	event.idm.read_only_udm.target.resource.attribute.labels	Fusionné à partir de resource_Type_label s'il n'est pas incorrect
rt	event.idm.read_only_udm.metadata.event_timestamp	Converti du format rt au format code temporel
security_result	event.idm.read_only_udm.security_result	Fusionné à partir de security_result
security_result_token	event.idm.read_only_udm.security_result	Fusionné à partir de security_result_token
de gravité,	security_result.severity	Dérivé de la gravité : 0-1 → FAIBLE ; 2-3 → MOYENNE ; 4-5 → ÉLEVÉE ; 6-9 → CRITIQUE
shost	event.idm.read_only_udm.principal.hostname	Valeur extraite de shost si IP, sinon nom d'hôte
shost	event.idm.read_only_udm.principal.ip	Valeur extraite de shost si l'adresse IP
shost_present	shost_present	Définir sur "true"
smac	event.idm.read_only_udm.principal.mac	Valeur extraite de smac après mise en forme
smac	mac	Valeur extraite de smac après mise en forme
sntdom	event.idm.read_only_udm.principal.administrative_domain	Valeur extraite de sntdom
sourceDnsDomain	event.idm.read_only_udm.target.asset.hostname	Valeur extraite du nom d'hôte sourceDnsDomain
sourceDnsDomain	event.idm.read_only_udm.target.hostname	Valeur extraite du nom d'hôte sourceDnsDomain
sourceServiceName	event.idm.read_only_udm.principal.application	Valeur extraite de sourceServiceName
sourceTranslatedAddress	event.idm.read_only_udm.principal.nat_ip	Valeur extraite de sourceTranslatedAddress
sourceTranslatedPort	event.idm.read_only_udm.principal.nat_port	Conversion de sourceTranslatedPort en entier
spid	event.idm.read_only_udm.principal.process.pid	Valeur extraite de spid
spriv	principal_role	Valeur extraite de spriv
sproc	event.idm.read_only_udm.principal.process.command_line	Valeur extraite de la procédure stockée
spt	event.idm.read_only_udm.principal.port	Converti de spt en entier si la valeur est valide
src	event.idm.read_only_udm.principal.asset.ip	Valeur extraite de src
src	event.idm.read_only_udm.principal.ip	Valeur extraite de src
src	event.idm.read_only_udm.metadata.event_type	Défini sur STATUS_UPDATE si src n'est pas vide
srcip	principal_ip	Valeur extraite de srcip
spyware_Grayware_Type_label	security_result.detection_fields	Fusionné à partir de spyware_Grayware_Type_label
suid	event.idm.read_only_udm.principal.user.userid	Valeur extraite de suid
suser	event.idm.read_only_udm.principal.user.user_display_name	Valeur extraite de suser si elle ne commence pas par {
cible	event.idm.read_only_udm.target	Renommé à partir de la cible
target_hostname_present	target_hostname_present	Définir sur "true"
target_machine_id_present	target_machine_id_present	Définir sur "true"
target_present	target_present	Définir sur "true"
temp_dhost	event.idm.read_only_udm.target.hostname	Valeur extraite de temp_dhost
temp_dhost	target_hostname_present	Définir sur "true"
temp_dhost	target_machine_id_present	Définir sur "true"
temp_duid	event.idm.read_only_udm.target.user.userid	Valeur extraite de temp_duid après l'analyse
temp_duser	event.idm.read_only_udm.target.user.user_display_name	Valeur extraite de temp_duser
temp_duser	has_target_user	Définir sur "true"
threat_probability_label	security_result.detection_fields	Fusionné à partir de threat_probability_label
tillatelse_label	security_result.detection_fields	Fusionné à partir de tillatelse_label
type_label	security_result_token.detection_fields	Clé définie sur "Type", valeur issue de _metadata.source.type
customer_label	security_result_token.detection_fields	Clé définie sur "Customer", valeur issue de _metadata.customer
	event.idm.read_only_udm.metadata.vendor_name	Définissez-le sur "FIREEYE_EMPS".
	event.idm.read_only_udm.metadata.product_name	Définissez-le sur "FIREEYE_EMPS".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.