Mengumpulkan log eMPS FireEye
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log eMPS FireEye ke Google Security Operations menggunakan agen Bindplane.
FireEye Email Malware Protection System (eMPS), juga dikenal sebagai FireEye EX Series (sebelumnya FireEye Email Security, kini menjadi bagian dari Trellix Email Security), adalah perangkat keamanan email yang melindungi organisasi dari ancaman email tingkat lanjut, termasuk spear phishing, malware, dan serangan yang ditargetkan dengan menganalisis konten dan lampiran email secara real time.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Konektivitas jaringan antara agen Bindplane dan perangkat eMPS FireEye
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke CLI appliance eMPS FireEye (peran Admin atau Operator)
- Perangkat FireEye eMPS dengan kemampuan notifikasi syslog
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Klik Download untuk mendownload file autentikasi penyerapan.
Simpan file dengan aman di sistem tempat agen BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen BindPlane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collector
Layanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collector
Layanan akan ditampilkan sebagai aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/fireeye_emps: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: FIREEYE_EMPS raw_log_field: body ingestion_labels: env: production service: pipelines: logs/fireeye_to_chronicle: receivers: - udplog exporters: - chronicle/fireeye_emps
Parameter konfigurasi
Ganti placeholder berikut:
Konfigurasi penerima:
- Penerima dikonfigurasi untuk syslog UDP di port 514 (port syslog standar).
- Untuk menggunakan port non-hak istimewa di Linux, ubah
514menjadi1514atau yang lebih tinggi. - Untuk menggunakan TCP, bukan UDP, ganti
udplogdengantcplog.
Konfigurasi eksportir:
creds_file_path: Jalur lengkap ke file autentikasi penyerapan:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: GantiYOUR_CUSTOMER_IDdengan ID pelanggan dari langkah sebelumnya.endpoint: URL endpoint regional:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya.
- Amerika Serikat:
log_type: Harus persisFIREEYE_EMPSagar cocok dengan parser Chronicle.ingestion_labels: Label opsional dalam format YAML (sesuaikan sesuai kebutuhan).
Simpan file konfigurasi
Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
Mulai ulang agen BindPlane untuk menerapkan perubahan
Linux
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Windows
Pilih salah satu opsi berikut:
Menggunakan Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorMenggunakan konsol Layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
Klik kanan, lalu pilih Mulai Ulang.
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Tekan
Mengonfigurasi penerusan syslog FireEye eMPS
Konfigurasi appliance FireEye eMPS untuk meneruskan notifikasi syslog ke agen Bindplane menggunakan CLI.
Mengakses FireEye eMPS CLI
- Hubungkan ke appliance FireEye eMPS melalui SSH atau konsol.
- Login dengan akun yang memiliki hak istimewa Admin atau Operator.
Masuk ke mode aktifkan:
hostname> enableMasuk ke mode konfigurasi:
hostname# configure terminal
Mengonfigurasi server syslog
Tambahkan agen Bindplane sebagai tujuan perangkap syslog:
hostname(config)# fenotify rsyslog trap-sink chronicle address <BINDPLANE_IP_ADDRESS>Ganti
<BINDPLANE_IP_ADDRESS>dengan alamat IP host yang menjalankan agen Bindplane (misalnya,192.168.1.100).Tetapkan format syslog ke CEF (Common Event Format):
hostname(config)# fenotify rsyslog trap-sink chronicle prefer message format cefTetapkan fasilitas syslog ke local4 (direkomendasikan):
hostname(config)# fenotify syslog default facility local4Tetapkan mode pengiriman untuk mengirim notifikasi per peristiwa:
hostname(config)# fenotify rsyslog trap-sink chronicle message delivery per-eventSetel tingkat keseriusan pemberitahuan ke tingkat pemberitahuan (direkomendasikan):
hostname(config)# fenotify rsyslog trap-sink chronicle prefer message send-as alertSetel protokol ke UDP (atau TCP jika dikonfigurasi di Bindplane):
hostname(config)# fenotify rsyslog trap-sink chronicle protocol udpTetapkan port ke 514 (atau port yang dikonfigurasi di Bindplane):
hostname(config)# fenotify rsyslog trap-sink chronicle port 514
Mengaktifkan notifikasi syslog
Aktifkan notifikasi rsyslog secara global:
hostname(config)# fenotify rsyslog enableMengaktifkan notifikasi global:
hostname(config)# fenotify enableAktifkan jenis pemberitahuan tertentu untuk rsyslog. Misalnya, untuk mengaktifkan semua notifikasi terkait email:
hostname(config)# fenotify rsyslog alert malware-object enable hostname(config)# fenotify rsyslog alert malware-callback enable hostname(config)# fenotify rsyslog alert infection-match enable hostname(config)# fenotify rsyslog alert domain-match enableVerifikasi konfigurasi:
hostname(config)# show fenotify alertsPerintah ini menampilkan metode notifikasi dan jenis pemberitahuan yang diaktifkan.
Simpan konfigurasi:
hostname(config)# write memoryKeluar dari mode konfigurasi:
hostname(config)# exit hostname# exit
Menguji konektivitas syslog
Kirim pesan syslog pengujian untuk memverifikasi konektivitas:
hostname# fenotify rsyslog send-testPeriksa log agen Bindplane untuk mengonfirmasi penerimaan pesan pengujian:
Linux:
sudo journalctl -u observiq-otel-collector -n 50Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Pastikan log muncul di konsol Google SecOps (izinkan 5 hingga 10 menit untuk penyerapan awal).
Catatan konfigurasi tambahan
- FireEye eMPS mengirim pesan syslog dalam CEF (Common Event Format) jika dikonfigurasi seperti yang ditunjukkan di atas.
- Pesan syslog mencakup detail ancaman email seperti pengirim, penerima, subjek, nama malware, URL, hash file, dan tingkat keparahan ancaman.
- Pastikan aturan firewall mengizinkan traffic UDP (atau TCP) dari appliance eMPS FireEye ke agen Bindplane di port yang dikonfigurasi.
- Untuk referensi perintah CLI yang mendetail, lihat portal dokumentasi FireEye di https://docs.fireeye.com/ (login diperlukan).
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| _hash | about.file.sha256 | Nilai diambil dari _hash |
| _message | security_result_token.description | Nilai diambil dari _message jika has_invalid_msg adalah salah (false) |
| IPv6_Address | event.idm.read_only_udm.target.ip | Nilai diambil dari IPv6_Address jika bukan "-" |
| Action_Taken | security_result.action_details | Nilai yang diambil dari Action_Taken |
| CustomerName | event.idm.read_only_udm.target.user.user_display_name | Nilai yang diambil dari CustomerName setelah menghapus tanda petik |
| Device_name | event.idm.read_only_udm.principal.hostname | Nilai diambil dari Device_name jika ada |
| Domene | sntdom | Nilai diambil dari Domene jika Domain tidak ada |
| Domain | sntdom | Nilai diambil dari Domain |
| Emne | about.process.command_line | Nilai diambil dari Emne jika Subject tidak ada |
| Enhetsnavn | event.idm.read_only_udm.principal.hostname | Nilai diambil dari Enhetsnavn jika Device_name tidak ada |
| File_name | event.idm.read_only_udm.target.process.file.full_path | Nilai diambil dari File_name |
| Dibuat | event.idm.read_only_udm.metadata.event_timestamp | Dikonversi dari Dibuat ke format stempel waktu |
| Group_name | event.idm.read_only_udm.principal.group.group_display_name | Nilai diambil dari Group_name |
| Gruppenavn | event.idm.read_only_udm.principal.group.group_display_name | Nilai diambil dari Gruppenavn jika Group_name tidak ada |
| Infected_Resource | event.idm.read_only_udm.target.process.file.full_path | Nilai diambil dari Infected_Resource jika tidak ada nilai lain |
| Infection_Channel | security_result.detection_fields | Kunci ditetapkan ke "Infection Channel", nilai dari Infection_Channel |
| IPv6_Address | target_machine_id_present | Ditetapkan ke benar (true) jika IPv6_Address bukan "-" |
| Objek | event.idm.read_only_udm.target.process.file.full_path | Nilai diambil dari Objek jika File_name tidak ada |
| Objekt | event.idm.read_only_udm.target.process.file.full_path | Nilai diambil dari Objekt jika yang lain tidak ada |
| Operasjon | operasjon_label | Nilai yang diambil dari Operasjon |
| Operasi | operation_label | Nilai yang diambil dari Operasi |
| Jalur | about.process.command_line | Nilai diambil dari Jalur jika yang lain tidak ada |
| Izin | permission_label | Nilai diambil dari Izin |
| Diterima | event.idm.read_only_udm.metadata.collected_timestamp | Dikonversi dari Diterima ke format stempel waktu |
| Resource_Type | event.idm.read_only_udm.target.resource.attribute.labels | Kunci ditetapkan ke "Resource_Type", nilai dari Resource_Type |
| Hasil | security_result.summary | Nilai yang diambil dari Hasil |
| Scan_Type | security_result.description | Nilai diambil dari Scan_Type jika Type tidak ada |
| Spyware | security_result.threat_name | Nilai yang diambil dari Spyware |
| Spyware_Grayware_Type | security_result.detection_fields | Kunci ditetapkan ke "Spyware/Grayware_Type", nilai dari Spyware_Grayware_Type |
| Subjek | about.process.command_line | Nilai diambil dari Subjek |
| Threat_Probability | security_result.detection_fields | Kunci ditetapkan ke "Threat_Probability", nilai dari Threat_Probability |
| Tillatelse | tillatelse_label | Nilai yang diambil dari Tillatelse |
| Jenis | security_result.description | Nilai yang diambil dari Jenis |
| Unknown_Threat | security_result.threat_name | Nilai diambil dari Unknown_Threat jika yang lain tidak ada |
| Pengguna | event.idm.read_only_udm.target.user.userid | Nilai yang diambil dari Pengguna |
| Virus_Malware_Name | security_result.threat_name | Nilai diambil dari Virus_Malware_Name jika Spyware tidak ada |
| _metadata.customer | security_result_token.detection_fields | Kunci ditetapkan ke "Customer", nilai dari _metadata.customer |
| _metadata.proxy.address | event.idm.read_only_udm.principal.hostname | Nilai yang diambil dari _metadata.proxy.address |
| _metadata.proxy.address | event.idm.read_only_udm.principal.asset.hostname | Nilai yang diambil dari _metadata.proxy.address |
| _metadata.source.address | principal.hostname | Nilai yang diambil dari _metadata.source.address |
| _metadata.source.address | principal.asset.hostname | Nilai yang diambil dari _metadata.source.address |
| _metadata.source.port | principal.port | Dikonversi dari _metadata.source.port ke bilangan bulat |
| _metadata.source.type | security_result_token.detection_fields | Kunci ditetapkan ke "Type", nilai dari _metadata.source.type |
| _metadata.timestamp.producer_process | event.idm.read_only_udm.metadata.event_timestamp | Dikonversi dari _metadata.timestamp.producer_process ke format stempel waktu |
| _metadata.timestamp.producer_process | metadata.event_timestamp | Dikonversi dari _metadata.timestamp.producer_process ke format stempel waktu |
| kalau | event.idm.read_only_udm.about | Digabungkan dari tentang |
| about_token | event.idm.read_only_udm.about | Digabungkan dari about_token |
| act | security_result.action | Berasal dari tindakan: terima/diberi tahu → ALLOW; tolak/diblokir → BLOCK; Gagal → FAIL |
| act | security_result.action_details | Nilai yang diambil dari tindakan |
| additional_cs1 | event.idm.read_only_udm.additional.fields | Kunci disetel ke cs1Label, nilai dari cs1 |
| additional_cs2 | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke cs2Label, nilai dari cs2 |
| additional_cs3 | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke cs3Label, nilai dari cs3 jika tidak kosong |
| additional_cs4 | event.idm.read_only_udm.additional.fields | Kunci disetel ke cs4Label, nilai dari cs4 |
| additional_cs5 | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke cs5Label, nilai dari cs5 jika bukan NA |
| additional_cs6 | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke cs6Label, nilai dari cs6 jika tidak kosong |
| additional_cs7 | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke cs7Label, nilai dari cs7 jika tidak kosong |
| additional_cn1 | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke cn1Label, nilai dari cn1 jika tidak kosong |
| additional_cn2 | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke cn2Label, nilai dari cn2 jika tidak kosong |
| additional_cn3 | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke cn3Label, nilai dari cn3 jika tidak kosong |
| additional_cfp1 | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke cfp1Label, nilai dari cfp1 jika tidak kosong |
| additional_cfp2 | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke cfp2Label, nilai dari cfp2 jika tidak kosong |
| additional_cfp3 | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke cfp3Label, nilai dari cfp3 jika tidak kosong |
| additional_cfp4 | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke cfp4Label, nilai dari cfp4 jika tidak kosong |
| additional_devicePayloadId | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke "devicePayloadId", nilai dari devicePayloadId |
| additional_eventId | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke "eventId", nilai dari eventId |
| additional_fname | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke "fname", nilai dari fname jika bukan N/A |
| additional_flexString1 | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke flexString1Label, nilai dari flexString1 |
| additional_flexString2 | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke flexString2Label, nilai dari flexString2 jika tidak kosong |
| aplikasi | app_protocol_src | Nilai yang diambil dari aplikasi |
| appcategory | security_result.summary | Nilai yang diambil dari appcategory |
| base64_sha256 | event.idm.read_only_udm.network.tls.client.certificate.sha256 | Dikonversi dari Sha256 ke hex base64 |
| base64_sha256 | event.idm.read_only_udm.target.resource.name | Nilai yang diambil dari base64_sha256 |
| kucing | security_result.category_details | Nilai yang diambil dari cat |
| cs5 | cs5_label | Nilai diambil dari cs5 jika label tidak ditetapkan |
| cs5_label | event.idm.read_only_udm.additional.fields | Kunci ditetapkan ke "cs5 Label", nilai dari cs5 jika tidak valid |
| destinationServiceName | event.idm.read_only_udm.target.application | Nilai diambil dari destinationServiceName |
| destinationTranslatedAddress | event.idm.read_only_udm.target.nat_ip | Nilai yang diambil dari destinationTranslatedAddress |
| destinationTranslatedPort | event.idm.read_only_udm.target.nat_port | Mengonversi dari destinationTranslatedPort ke bilangan bulat |
| deviceDirection | event.idm.read_only_udm.network.direction | Tetapkan ke INBOUND jika 0, OUTBOUND jika 1 |
| deviceExternalId | about.asset.asset_id | Nilai diambil dari deviceExternalId sebagai "device_vendor.device_product:deviceExternalId" |
| deviceNtDomain | about.administrative_domain | Nilai yang diambil dari deviceNtDomain |
| devicePayloadId | additional_devicePayloadId | Nilai yang diambil dari devicePayloadId |
| deviceProcessName | about.process.command_line | Nilai yang diambil dari deviceProcessName |
| deviceTranslatedAddress | about.nat_ip | Nilai yang diambil dari deviceTranslatedAddress |
| device_vendor | event.idm.read_only_udm.metadata.vendor_name | Nilai diambil dari device_vendor |
| device_version | event.idm.read_only_udm.metadata.product_version | Nilai diambil dari device_version |
| dhost | temp_dhost | Nilai yang diambil dari dhost |
| dmac | event.idm.read_only_udm.target.mac | Nilai yang diambil dari dmac setelah pemformatan |
| dmac | mac_address | Nilai yang diambil dari dmac setelah pemformatan |
| dntdom | event.idm.read_only_udm.target.administrative_domain | Nilai yang diambil dari dntdom |
| dpid | event.idm.read_only_udm.target.process.pid | Nilai diambil dari dpid |
| dpriv | target_role | Nilai yang diambil dari dpriv |
| dproc | event.idm.read_only_udm.target.process.command_line | Nilai diambil dari dproc |
| dpt | event.idm.read_only_udm.target.port | Dikonversi dari dpt ke integer |
| dst | event.idm.read_only_udm.target.asset.ip | Nilai diambil dari dst |
| dst | event.idm.read_only_udm.target.ip | Nilai diambil dari dst |
| dst_ip | target_ip | Nilai diambil dari dst_ip |
| duid | temp_duid | Nilai diambil dari duid |
| duser | event.idm.read_only_udm.metadata.event_type | Ditetapkan ke USER_UNCATEGORIZED jika duser tidak kosong |
| duser | temp_duser | Nilai yang diambil dari duser |
| dvchost | about.hostname | Nilai yang diambil dari dvchost |
| dvcmac | about.mac | Nilai yang diambil dari dvcmac setelah diformat jika MAC valid |
| dvcmac | dvc_mac | Nilai yang diambil dari dvcmac setelah pemformatan |
| dvcpid | about.process.pid | Nilai diambil dari dvcpid |
| dvc | about.ip | Pisahkan dari array dvc |
| eventId | additional_eventId | Nilai diambil dari eventId |
| event_name | event.idm.read_only_udm.metadata.product_event_type | Digabungkan dengan device_event_class_id sebagai "[device_event_class_id] - event_name" atau hanya event_name |
| event_name | event.idm.read_only_udm.metadata.event_type | Tetapkan ke SCAN_UNCATEGORIZED jika LogSpyware atau LogPredictiveMachineLearning |
| eventid | eventId | Nilai diambil dari eventid |
| externalId | event.idm.read_only_udm.metadata.product_log_id | Nilai diambil dari externalId |
| fileHash | about.file.sha256 | Nilai diambil dari fileHash jika hash valid |
| fileHash | about.file.full_path | Nilai diambil dari fileHash jika bukan hash yang valid |
| filePath | about.file.full_path | Nilai yang diambil dari filePath |
| filePermission | izin | Nilai diambil dari filePermission |
| fileType | about.file.mime_type | Nilai yang diambil dari fileType |
| flexString2 | additional_flexString2 | Nilai yang diambil dari flexString2 |
| flexString2Label | additional_flexString2 | Nilai yang diambil dari flexString2Label |
| fname | additional_fname | Nilai diambil dari fname |
| fsize | about.file.size | Dikonversi dari fsize ke uinteger |
| has_principal | metadata.event_type | Setel ke STATUS_UPDATE jika has_principal benar dan has_target salah |
| has_principal | principal_present | Setel ke benar (true) |
| has_target | metadata.event_type | Ditetapkan ke GENERIC_EVENT jika has_principal salah (false) |
| di | event.idm.read_only_udm.network.received_bytes | Dikonversi dari in ke uinteger jika >0 |
| infection_channel_label | security_result.detection_fields | Kunci ditetapkan ke "Infection Channel", nilai dari Infection_Channel |
| ipv6 | target_machine_id_present | Ditetapkan ke benar (true) jika IPv6_Address bukan "-" |
| mac | event.idm.read_only_udm.principal.mac | Nilai diambil dari mac |
| mac_address | event.idm.read_only_udm.target.mac | Nilai diambil dari mac_address |
| mac_address | about.mac | Nilai diambil dari mac_address |
| metadata | event.idm.read_only_udm.metadata | Diganti namanya dari metadata |
| msg | event.idm.read_only_udm.metadata.description | Nilai diambil dari msg setelah menghapus tanda petik |
| msg_data_2 | security_result.description | Nilai diambil dari msg_data_2 jika tidak kosong |
| mwProfile | security_result.rule_name | Nilai diambil dari mwProfile |
| oldFilePath | event.idm.read_only_udm.src.file.full_path | Nilai yang diambil dari oldFilePath |
| oldFilePermission | old_permissions | Nilai diambil dari oldFilePermission |
| oldFileSize | event.idm.read_only_udm.src.file.size | Dikonversi dari oldFileSize ke uinteger |
| operasjon_label | security_result.detection_fields | Digabungkan dari operasjon_label jika nilainya tidak kosong |
| operation_label | security_result.detection_fields | Digabungkan dari operation_label jika nilainya tidak kosong |
| keluar | event.idm.read_only_udm.network.sent_bytes | Dikonversi dari out ke uinteger jika >0 |
| permission_label | security_result.detection_fields | Digabungkan dari permission_label jika nilainya tidak kosong |
| port | event.idm.read_only_udm.principal.port | Dikonversi dari port ke bilangan bulat |
| utama | event.idm.read_only_udm.principal | Diganti namanya dari principal |
| proto | protocol_number_src | Nilai diambil dari proto |
| minta | event.idm.read_only_udm.target.url | Nilai diambil dari permintaan |
| requestClientApplication | event.idm.read_only_udm.network.http.user_agent | Nilai yang diambil dari requestClientApplication |
| requestMethod | event.idm.read_only_udm.network.http.method | Nilai yang diambil dari requestMethod |
| resource_Type_label | event.idm.read_only_udm.target.resource.attribute.labels | Digabungkan dari resource_Type_label jika tidak valid |
| rt | event.idm.read_only_udm.metadata.event_timestamp | Dikonversi dari format rt ke stempel waktu |
| security_result | event.idm.read_only_udm.security_result | Digabungkan dari security_result |
| security_result_token | event.idm.read_only_udm.security_result | Digabungkan dari security_result_token |
| tingkat keseriusan, | security_result.severity | Diperoleh dari tingkat keparahan: 0-1 → RENDAH; 2-3 → SEDANG; 4-5 → TINGGI; 6-9 → KRITIS |
| shost | event.idm.read_only_udm.principal.hostname | Nilai diambil dari shost jika IP, atau nama host |
| shost | event.idm.read_only_udm.principal.ip | Nilai diambil dari shost jika IP |
| shost_present | shost_present | Setel ke benar (true) |
| smac | event.idm.read_only_udm.principal.mac | Nilai yang diambil dari smac setelah pemformatan |
| smac | mac | Nilai yang diambil dari smac setelah pemformatan |
| sntdom | event.idm.read_only_udm.principal.administrative_domain | Nilai diambil dari sntdom |
| sourceDnsDomain | event.idm.read_only_udm.target.asset.hostname | Nilai diambil dari nama host sourceDnsDomain |
| sourceDnsDomain | event.idm.read_only_udm.target.hostname | Nilai diambil dari nama host sourceDnsDomain |
| sourceServiceName | event.idm.read_only_udm.principal.application | Nilai yang diambil dari sourceServiceName |
| sourceTranslatedAddress | event.idm.read_only_udm.principal.nat_ip | Nilai yang diambil dari sourceTranslatedAddress |
| sourceTranslatedPort | event.idm.read_only_udm.principal.nat_port | Dikonversi dari sourceTranslatedPort ke bilangan bulat |
| spid | event.idm.read_only_udm.principal.process.pid | Nilai diambil dari spid |
| spriv | principal_role | Nilai diambil dari spriv |
| sproc | event.idm.read_only_udm.principal.process.command_line | Nilai diambil dari sproc |
| spt | event.idm.read_only_udm.principal.port | Dikonversi dari spt ke bilangan bulat jika valid |
| src | event.idm.read_only_udm.principal.asset.ip | Nilai yang diambil dari src |
| src | event.idm.read_only_udm.principal.ip | Nilai yang diambil dari src |
| src | event.idm.read_only_udm.metadata.event_type | Disetel ke STATUS_UPDATE jika src tidak kosong |
| srcip | principal_ip | Nilai yang diambil dari srcip |
| spyware_Grayware_Type_label | security_result.detection_fields | Digabungkan dari spyware_Grayware_Type_label |
| suid | event.idm.read_only_udm.principal.user.userid | Nilai diambil dari suid |
| suser | event.idm.read_only_udm.principal.user.user_display_name | Nilai diambil dari suser jika tidak dimulai dengan { |
| target | event.idm.read_only_udm.target | Diganti namanya dari target |
| target_hostname_present | target_hostname_present | Setel ke benar (true) |
| target_machine_id_present | target_machine_id_present | Setel ke benar (true) |
| target_present | target_present | Setel ke benar (true) |
| temp_dhost | event.idm.read_only_udm.target.hostname | Nilai diambil dari temp_dhost |
| temp_dhost | target_hostname_present | Setel ke benar (true) |
| temp_dhost | target_machine_id_present | Setel ke benar (true) |
| temp_duid | event.idm.read_only_udm.target.user.userid | Nilai diambil dari temp_duid setelah grok |
| temp_duser | event.idm.read_only_udm.target.user.user_display_name | Nilai yang diambil dari temp_duser |
| temp_duser | has_target_user | Setel ke benar (true) |
| threat_probability_label | security_result.detection_fields | Digabungkan dari threat_probability_label |
| tillatelse_label | security_result.detection_fields | Digabungkan dari tillatelse_label |
| type_label | security_result_token.detection_fields | Kunci ditetapkan ke "Type", nilai dari _metadata.source.type |
| customer_label | security_result_token.detection_fields | Kunci ditetapkan ke "Customer", nilai dari _metadata.customer |
| event.idm.read_only_udm.metadata.vendor_name | Tetapkan ke "FIREEYE_EMPS" | |
| event.idm.read_only_udm.metadata.product_name | Tetapkan ke "FIREEYE_EMPS" |
Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.