Raccogliere i log di FireEye eMPS

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log FireEye eMPS in Google Security Operations utilizzando l'agente Bindplane.

FireEye Email Malware Protection System (eMPS), noto anche come FireEye EX Series (in precedenza FireEye Email Security, ora parte di Trellix Email Security), è un'appliance di sicurezza email che protegge le organizzazioni da minacce email avanzate, tra cui spear phishing, malware e attacchi mirati, analizzando in tempo reale i contenuti e gli allegati delle email.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e l'appliance FireEye eMPS
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso con privilegi all'interfaccia a riga di comando dell'appliance FireEye eMPS (ruolo Amministratore o Operatore)
Appliance FireEye eMPS con funzionalità di notifica syslog

Recuperare il file di autenticazione dell'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agente di raccolta.
Fai clic su Scarica per scaricare il file di autenticazione dell'importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di finestre

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo il comando:
```
sc query observiq-otel-collector
```

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.

Verifica l'installazione eseguendo il comando:

sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/fireeye_emps:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FIREEYE_EMPS
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/fireeye_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/fireeye_emps

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:

Il ricevitore è configurato per syslog UDP sulla porta 514 (porta syslog standard).
Per utilizzare una porta non privilegiata su Linux, modifica 514 in 1514 o un valore superiore.
Per utilizzare TCP anziché UDP, sostituisci udplog con tcplog.

Configurazione dell'esportatore:

creds_file_path: Percorso completo del file di autenticazione importazione:
- Linux: /etc/bindplane-agent/ingestion-auth.json
- Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
customer_id: sostituisci YOUR_CUSTOMER_ID con l'ID cliente del passaggio precedente.
endpoint: URL endpoint regionale:
- Stati Uniti: malachiteingestion-pa.googleapis.com
- Europa: europe-malachiteingestion-pa.googleapis.com
- Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
- Per un elenco completo, vedi Endpoint regionali.
log_type: deve essere esattamente FIREEYE_EMPS per corrispondere al parser di Chronicle.
ingestion_labels: etichette facoltative in formato YAML (personalizza in base alle esigenze).

Salvare il file di configurazione

Dopo la modifica, salva il file:

Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Linux

sudo systemctl restart observiq-otel-collector

Verifica che il servizio sia in esecuzione:

sudo systemctl status observiq-otel-collector

Controlla i log per individuare eventuali errori:

sudo journalctl -u observiq-otel-collector -f

Windows

Scegli una delle seguenti opzioni:
- Utilizzando il prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Utilizzo della console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare l'inoltro di Syslog di FireEye eMPS

Configura l'appliance FireEye eMPS per inoltrare le notifiche syslog all'agente Bindplane utilizzando la CLI.

Accedi alla CLI eMPS di FireEye

Connettiti all'appliance FireEye eMPS tramite SSH o console.
Accedi con un account con privilegi di amministratore o operatore.
Attiva la modalità di attivazione:
```
hostname> enable
```
Attiva la modalità di configurazione:
```
hostname# configure terminal
```

Configurare il server Syslog

Aggiungi l'agente Bindplane come sink di trap syslog:
```
hostname(config)# fenotify rsyslog trap-sink chronicle address <BINDPLANE_IP_ADDRESS>
```
Sostituisci <BINDPLANE_IP_ADDRESS> con l'indirizzo IP dell'host che esegue l'agente BindPlane (ad esempio 192.168.1.100).

Imposta il formato syslog su CEF (Common Event Format):

hostname(config)# fenotify rsyslog trap-sink chronicle prefer message format cef

Imposta la funzionalità syslog su local4 (consigliato):

hostname(config)# fenotify syslog default facility local4

Imposta la modalità di pubblicazione per inviare notifiche per evento:

hostname(config)# fenotify rsyslog trap-sink chronicle message delivery per-event

Imposta la gravità dell'avviso sul livello di avviso (consigliato):

hostname(config)# fenotify rsyslog trap-sink chronicle prefer message send-as alert

Imposta il protocollo su UDP (o TCP se configurato in Bindplane):
```
hostname(config)# fenotify rsyslog trap-sink chronicle protocol udp
```
Nota: se hai configurato l'agente Bindplane per l'utilizzo di TCP, modifica udp in tcp.
Imposta la porta su 514 (o la porta configurata in Bindplane):
```
hostname(config)# fenotify rsyslog trap-sink chronicle port 514
```
Nota: se hai configurato l'agente Bindplane in modo che utilizzi una porta diversa (ad esempio 1514), modifica 514 in modo che corrisponda.

Attivare le notifiche syslog

Attiva le notifiche rsyslog a livello globale:
```
hostname(config)# fenotify rsyslog enable
```
Attiva le notifiche globali:
```
hostname(config)# fenotify enable
```
Attiva tipi di avvisi specifici per rsyslog. Ad esempio, per attivare tutti gli avvisi relativi alle email:
```
hostname(config)# fenotify rsyslog alert malware-object enable
hostname(config)# fenotify rsyslog alert malware-callback enable
hostname(config)# fenotify rsyslog alert infection-match enable
hostname(config)# fenotify rsyslog alert domain-match enable
```
Nota :attiva i tipi di avvisi pertinenti ai tuoi requisiti di monitoraggio. I tipi di avvisi disponibili possono includere: malware-object, malware-callback, infection-match, domain-match, web-infection, riskware-object, riskware-callback e altri a seconda della versione di FireEye eMPS.
Verifica la configurazione:
```
hostname(config)# show fenotify alerts
```
Questo comando mostra i metodi di notifica e i tipi di avviso abilitati.
Salva la configurazione:
```
hostname(config)# write memory
```
Esci dalla modalità di configurazione:
```
hostname(config)# exit
hostname# exit
```

Testare la connettività syslog

Invia un messaggio syslog di prova per verificare la connettività:
```
hostname# fenotify rsyslog send-test
```

Controlla i log dell'agente Bindplane per confermare la ricezione del messaggio di test:

Linux:

sudo journalctl -u observiq-otel-collector -n 50

Windows:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Verifica che i log vengano visualizzati nella console Google SecOps (attendi 5-10 minuti per l'importazione iniziale).

Note di configurazione aggiuntive

FireEye eMPS invia messaggi syslog in formato CEF (Common Event Format) quando è configurato come mostrato sopra.
I messaggi syslog includono dettagli sulle minacce via email, come mittente, destinatario, oggetto, nomi di malware, URL, hash dei file e gravità della minaccia.
Assicurati che le regole firewall consentano il traffico UDP (o TCP) dall'appliance FireEye eMPS all'agente Bindplane sulla porta configurata.
Per un riferimento dettagliato ai comandi dell'interfaccia a riga di comando, consulta il portale della documentazione di FireEye all'indirizzo https://docs.fireeye.com/ (è necessario l'accesso).

Tabella di mappatura UDM

Campo log	Mappatura UDM	Funzione logica
_hash	about.file.sha256	Valore estratto da _hash
_message	security_result_token.description	Valore estratto da _message se has_invalid_msg è false
IPv6_Address	event.idm.read_only_udm.target.ip	Valore estratto da IPv6_Address se non è "-"
Action_Taken	security_result.action_details	Valore estratto da Action_Taken
CustomerName	event.idm.read_only_udm.target.user.user_display_name	Valore estratto da CustomerName dopo la rimozione delle virgolette
Device_name	event.idm.read_only_udm.principal.hostname	Valore estratto da Device_name, se presente
Domene	sntdom	Valore estratto da Domene se il dominio non è presente
Dominio	sntdom	Valore tratto dal dominio
Emne	about.process.command_line	Valore tratto da Emne se Subject non è presente
Nome unità	event.idm.read_only_udm.principal.hostname	Valore tratto da Enhetsnavn se Device_name non è presente
File_name	event.idm.read_only_udm.target.process.file.full_path	Valore estratto da File_name
Generato	event.idm.read_only_udm.metadata.event_timestamp	Convertito da Generato al formato timestamp
Group_name	event.idm.read_only_udm.principal.group.group_display_name	Valore estratto da Group_name
Gruppenavn	event.idm.read_only_udm.principal.group.group_display_name	Valore estratto da Gruppenavn se Group_name non è presente
Infected_Resource	event.idm.read_only_udm.target.process.file.full_path	Valore estratto da Infected_Resource se gli altri non sono presenti
Infection_Channel	security_result.detection_fields	Chiave impostata su "Infection Channel", valore da Infection_Channel
IPv6_Address	target_machine_id_present	Impostato su true se IPv6_Address non è "-"
Oggetto	event.idm.read_only_udm.target.process.file.full_path	Valore estratto dall'oggetto se File_name non è presente
Objekt	event.idm.read_only_udm.target.process.file.full_path	Valore estratto da Objekt se non sono presenti altri valori
Operasjon	operasjon_label	Valore estratto da Operasjon
Operazione	operation_label	Valore estratto dall'operazione
Percorso	about.process.command_line	Valore estratto dal percorso se gli altri non sono presenti
Autorizzazione	permission_label	Valore tratto dall'autorizzazione
Ricevuti	event.idm.read_only_udm.metadata.collected_timestamp	Convertito da Ricevuto al formato timestamp
Resource_Type	event.idm.read_only_udm.target.resource.attribute.labels	Chiave impostata su "Resource_Type", valore da Resource_Type
Risultato	security_result.summary	Valore tratto dal risultato
Scan_Type	security_result.description	Valore preso da Scan_Type se Type non è presente
Spyware	security_result.threat_name	Valore estratto da Spyware
Spyware_Grayware_Type	security_result.detection_fields	Chiave impostata su "Spyware/Grayware_Type", valore da Spyware_Grayware_Type
Oggetto	about.process.command_line	Valore tratto da Soggetto
Threat_Probability	security_result.detection_fields	Chiave impostata su "Threat_Probability", valore di Threat_Probability
Tillatelse	tillatelse_label	Valore estratto da Tillatelse
Tipo	security_result.description	Valore tratto da Tipo
Unknown_Threat	security_result.threat_name	Valore estratto da Unknown_Threat se non sono presenti altri valori
Utente	event.idm.read_only_udm.target.user.userid	Valore preso dall'utente
Virus_Malware_Name	security_result.threat_name	Valore tratto da Virus_Malware_Name se Spyware non è presente
_metadata.customer	security_result_token.detection_fields	Chiave impostata su "Customer", valore da _metadata.customer
_metadata.proxy.address	event.idm.read_only_udm.principal.hostname	Valore estratto da _metadata.proxy.address
_metadata.proxy.address	event.idm.read_only_udm.principal.asset.hostname	Valore estratto da _metadata.proxy.address
_metadata.source.address	principal.hostname	Valore tratto da _metadata.source.address
_metadata.source.address	principal.asset.hostname	Valore tratto da _metadata.source.address
_metadata.source.port	principal.port	Convertito da _metadata.source.port in numero intero
_metadata.source.type	security_result_token.detection_fields	Chiave impostata su "Type", valore da _metadata.source.type
_metadata.timestamp.producer_process	event.idm.read_only_udm.metadata.event_timestamp	Convertito da _metadata.timestamp.producer_process al formato timestamp
_metadata.timestamp.producer_process	metadata.event_timestamp	Convertito da _metadata.timestamp.producer_process al formato timestamp
informazioni	event.idm.read_only_udm.about	Unito da Informazioni
about_token	event.idm.read_only_udm.about	Unito da about_token
atto	security_result.action	Derivato da act: accept/notified → ALLOW; deny/blocked → BLOCK; Failure → FAIL
atto	security_result.action_details	Valore tratto da act
additional_cs1	event.idm.read_only_udm.additional.fields	Chiave impostata su cs1Label, valore da cs1
additional_cs2	event.idm.read_only_udm.additional.fields	Chiave impostata su cs2Label, valore da cs2
additional_cs3	event.idm.read_only_udm.additional.fields	Chiave impostata su cs3Label, valore da cs3 se non è vuoto
additional_cs4	event.idm.read_only_udm.additional.fields	Chiave impostata su cs4Label, valore da cs4
additional_cs5	event.idm.read_only_udm.additional.fields	Chiave impostata su cs5Label, valore da cs5 se non NA
additional_cs6	event.idm.read_only_udm.additional.fields	Chiave impostata su cs6Label, valore da cs6 se non è vuoto
additional_cs7	event.idm.read_only_udm.additional.fields	Chiave impostata su cs7Label, valore da cs7 se non è vuoto
additional_cn1	event.idm.read_only_udm.additional.fields	Chiave impostata su cn1Label, valore da cn1 se non è vuoto
additional_cn2	event.idm.read_only_udm.additional.fields	Chiave impostata su cn2Label, valore da cn2 se non è vuoto
additional_cn3	event.idm.read_only_udm.additional.fields	Chiave impostata su cn3Label, valore da cn3 se non è vuoto
additional_cfp1	event.idm.read_only_udm.additional.fields	Chiave impostata su cfp1Label, valore da cfp1 se non è vuoto
additional_cfp2	event.idm.read_only_udm.additional.fields	Chiave impostata su cfp2Label, valore da cfp2 se non è vuoto
additional_cfp3	event.idm.read_only_udm.additional.fields	Chiave impostata su cfp3Label, valore da cfp3 se non è vuoto
additional_cfp4	event.idm.read_only_udm.additional.fields	Chiave impostata su cfp4Label, valore da cfp4 se non è vuoto
additional_devicePayloadId	event.idm.read_only_udm.additional.fields	Chiave impostata su "devicePayloadId", valore da devicePayloadId
additional_eventId	event.idm.read_only_udm.additional.fields	Chiave impostata su "eventId", valore da eventId
additional_fname	event.idm.read_only_udm.additional.fields	Chiave impostata su "fname", valore da fname se non N/A
additional_flexString1	event.idm.read_only_udm.additional.fields	Chiave impostata su flexString1Label, valore da flexString1
additional_flexString2	event.idm.read_only_udm.additional.fields	Chiave impostata su flexString2Label, valore di flexString2 se non è vuoto
app	app_protocol_src	Valore estratto dall'app
appcategory	security_result.summary	Valore estratto da appcategory
base64_sha256	event.idm.read_only_udm.network.tls.client.certificate.sha256	Conversione da Sha256 a esadecimale Base64
base64_sha256	event.idm.read_only_udm.target.resource.name	Valore estratto da base64_sha256
gatto	security_result.category_details	Valore tratto dalla categoria
cs5	cs5_label	Valore preso da cs5 se l'etichetta non è impostata
cs5_label	event.idm.read_only_udm.additional.fields	Chiave impostata su "Etichetta cs5", valore da cs5 se non valido
destinationServiceName	event.idm.read_only_udm.target.application	Valore estratto da destinationServiceName
destinationTranslatedAddress	event.idm.read_only_udm.target.nat_ip	Valore ottenuto da destinationTranslatedAddress
destinationTranslatedPort	event.idm.read_only_udm.target.nat_port	Convertito da destinationTranslatedPort a numero intero
deviceDirection	event.idm.read_only_udm.network.direction	Imposta INBOUND se 0, OUTBOUND se 1
deviceExternalId	about.asset.asset_id	Valore estratto da deviceExternalId come "device_vendor.device_product:deviceExternalId"
deviceNtDomain	about.administrative_domain	Valore estratto da deviceNtDomain
devicePayloadId	additional_devicePayloadId	Valore estratto da devicePayloadId
deviceProcessName	about.process.command_line	Valore estratto da deviceProcessName
deviceTranslatedAddress	about.nat_ip	Valore estratto da deviceTranslatedAddress
device_vendor	event.idm.read_only_udm.metadata.vendor_name	Valore estratto da device_vendor
device_version	event.idm.read_only_udm.metadata.product_version	Valore estratto da device_version
dhost	temp_dhost	Valore preso da dhost
dmac	event.idm.read_only_udm.target.mac	Valore estratto da dmac dopo la formattazione
dmac	mac_address	Valore estratto da dmac dopo la formattazione
dntdom	event.idm.read_only_udm.target.administrative_domain	Valore estratto da dntdom
dpid	event.idm.read_only_udm.target.process.pid	Valore ottenuto da dpid
dpriv	target_role	Valore preso da dpriv
dproc	event.idm.read_only_udm.target.process.command_line	Valore estratto da dproc
dpt	event.idm.read_only_udm.target.port	Convertito da dpt a numero intero
dst	event.idm.read_only_udm.target.asset.ip	Valore preso da dst
dst	event.idm.read_only_udm.target.ip	Valore preso da dst
dst_ip	target_ip	Valore estratto da dst_ip
duid	temp_duid	Valore estratto da duid
duser	event.idm.read_only_udm.metadata.event_type	Impostato su USER_UNCATEGORIZED se duser non è vuoto
duser	temp_duser	Valore tratto da duser
dvchost	about.hostname	Valore tratto da dvchost
dvcmac	about.mac	Valore estratto da dvcmac dopo la formattazione se l'indirizzo MAC è valido
dvcmac	dvc_mac	Valore estratto da dvcmac dopo la formattazione
dvcpid	about.process.pid	Valore estratto da dvcpid
dvc	about.ip	Dividi dall'array dvc
eventId	additional_eventId	Valore estratto da eventId
event_name	event.idm.read_only_udm.metadata.product_event_type	Combinato con device_event_class_id come "[device_event_class_id] - event_name" o solo event_name
event_name	event.idm.read_only_udm.metadata.event_type	Imposta su SCAN_UNCATEGORIZED se LogSpyware o LogPredictiveMachineLearning
eventid	eventId	Valore estratto da eventid
externalId	event.idm.read_only_udm.metadata.product_log_id	Valore tratto da externalId
fileHash	about.file.sha256	Valore estratto da fileHash se l'hash è valido
fileHash	about.file.full_path	Valore estratto da fileHash se l'hash non è valido
filePath	about.file.full_path	Valore estratto da filePath
filePermission	autorizzazioni	Valore ottenuto da filePermission
fileType	about.file.mime_type	Valore estratto da fileType
flexString2	additional_flexString2	Valore tratto da flexString2
flexString2Label	additional_flexString2	Valore estratto da flexString2Label
fname	additional_fname	Valore tratto da fname
fsize	about.file.size	Convertito da fsize a uinteger
has_principal	metadata.event_type	Imposta su STATUS_UPDATE se has_principal è true e has_target è false
has_principal	principal_present	Impostato su true
has_target	metadata.event_type	Imposta GENERIC_EVENT se has_principal è false
in	event.idm.read_only_udm.network.received_bytes	Convertito da in a uinteger se > 0
infection_channel_label	security_result.detection_fields	Chiave impostata su "Infection Channel", valore da Infection_Channel
ipv6	target_machine_id_present	Impostato su true se IPv6_Address non è "-"
mac	event.idm.read_only_udm.principal.mac	Valore estratto dal Mac
mac_address	event.idm.read_only_udm.target.mac	Valore estratto da mac_address
mac_address	about.mac	Valore estratto da mac_address
metadati	event.idm.read_only_udm.metadata	Rinominate dai metadati
msg	event.idm.read_only_udm.metadata.description	Valore estratto dal messaggio dopo la rimozione delle virgolette
msg_data_2	security_result.description	Valore estratto da msg_data_2 se non è vuoto
mwProfile	security_result.rule_name	Valore tratto da mwProfile
oldFilePath	event.idm.read_only_udm.src.file.full_path	Valore preso da oldFilePath
oldFilePermission	old_permissions	Valore tratto da oldFilePermission
oldFileSize	event.idm.read_only_udm.src.file.size	Convertito da oldFileSize a uinteger
operasjon_label	security_result.detection_fields	Unito da operasjon_label se il valore non è vuoto
operation_label	security_result.detection_fields	Unito da operation_label se il valore non è vuoto
troppo complessi per essere capiti?	event.idm.read_only_udm.network.sent_bytes	Convertito da out a uinteger se > 0
permission_label	security_result.detection_fields	Unito da permission_label se il valore non è vuoto
porta	event.idm.read_only_udm.principal.port	Convertito da porta a numero intero
entità	event.idm.read_only_udm.principal	Rinominato dall'entità
proto	protocol_number_src	Valore tratto dal proto
richiesta	event.idm.read_only_udm.target.url	Valore estratto dalla richiesta
requestClientApplication	event.idm.read_only_udm.network.http.user_agent	Valore estratto da requestClientApplication
requestMethod	event.idm.read_only_udm.network.http.method	Valore estratto da requestMethod
resource_Type_label	event.idm.read_only_udm.target.resource.attribute.labels	Unito da resource_Type_label se non è valido
rt	event.idm.read_only_udm.metadata.event_timestamp	Convertito dal formato rt al formato timestamp
security_result	event.idm.read_only_udm.security_result	Unito da security_result
security_result_token	event.idm.read_only_udm.security_result	Unito da security_result_token
gravità	security_result.severity	Derivato dalla gravità: 0-1 → BASSA; 2-3 → MEDIA; 4-5 → ALTA; 6-9 → CRITICA
spettro	event.idm.read_only_udm.principal.hostname	Valore estratto da shost se IP, altrimenti nome host
spettro	event.idm.read_only_udm.principal.ip	Valore estratto da shost se IP
shost_present	shost_present	Impostato su true
smac	event.idm.read_only_udm.principal.mac	Valore estratto da smac dopo la formattazione
smac	mac	Valore estratto da smac dopo la formattazione
sntdom	event.idm.read_only_udm.principal.administrative_domain	Valore estratto da sntdom
sourceDnsDomain	event.idm.read_only_udm.target.asset.hostname	Valore estratto dal nome host sourceDnsDomain
sourceDnsDomain	event.idm.read_only_udm.target.hostname	Valore estratto dal nome host sourceDnsDomain
sourceServiceName	event.idm.read_only_udm.principal.application	Valore estratto da sourceServiceName
sourceTranslatedAddress	event.idm.read_only_udm.principal.nat_ip	Valore tratto da sourceTranslatedAddress
sourceTranslatedPort	event.idm.read_only_udm.principal.nat_port	Convertito da sourceTranslatedPort a numero intero
spid	event.idm.read_only_udm.principal.process.pid	Valore tratto da spid
spriv	principal_role	Valore estratto da spriv
sproc	event.idm.read_only_udm.principal.process.command_line	Valore estratto dalla stored procedure
spt	event.idm.read_only_udm.principal.port	Convertito da spt a numero intero, se valido
src	event.idm.read_only_udm.principal.asset.ip	Valore tratto da src
src	event.idm.read_only_udm.principal.ip	Valore tratto da src
src	event.idm.read_only_udm.metadata.event_type	Impostato su STATUS_UPDATE se src non è vuoto
srcip	principal_ip	Valore tratto da srcip
spyware_Grayware_Type_label	security_result.detection_fields	Unito da spyware_Grayware_Type_label
suid	event.idm.read_only_udm.principal.user.userid	Valore estratto da suid
suser	event.idm.read_only_udm.principal.user.user_display_name	Valore estratto da suser se non inizia con {
target	event.idm.read_only_udm.target	Rinominato da target
target_hostname_present	target_hostname_present	Impostato su true
target_machine_id_present	target_machine_id_present	Impostato su true
target_present	target_present	Impostato su true
temp_dhost	event.idm.read_only_udm.target.hostname	Valore ottenuto da temp_dhost
temp_dhost	target_hostname_present	Impostato su true
temp_dhost	target_machine_id_present	Impostato su true
temp_duid	event.idm.read_only_udm.target.user.userid	Valore estratto da temp_duid dopo grok
temp_duser	event.idm.read_only_udm.target.user.user_display_name	Valore ottenuto da temp_duser
temp_duser	has_target_user	Impostato su true
threat_probability_label	security_result.detection_fields	Unito da threat_probability_label
tillatelse_label	security_result.detection_fields	Unito da tillatelse_label
type_label	security_result_token.detection_fields	Chiave impostata su "Type", valore da _metadata.source.type
customer_label	security_result_token.detection_fields	Chiave impostata su "Customer", valore da _metadata.customer
	event.idm.read_only_udm.metadata.vendor_name	Imposta "FIREEYE_EMPS"
	event.idm.read_only_udm.metadata.product_name	Imposta "FIREEYE_EMPS"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.