FireEye eMPS のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して FireEye eMPS ログを Google Security Operations に取り込む方法について説明します。
FireEye E メール マルウェア対策システム(eMPS)(FireEye EX シリーズとも呼ばれます。以前は FireEye E メール・セキュリティでしたが、現在は Trellix E メール・セキュリティの一部です)は、E メールのコンテンツと添付ファイルをリアルタイムで分析し、スピア フィッシング、マルウェア、標的型攻撃などの高度な E メールの脅威から組織を保護する E メール セキュリティ アプライアンスです。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと FireEye eMPS アプライアンス間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- FireEye eMPS アプライアンス CLI への特権アクセス(管理者またはオペレーターのロール)
- syslog 通知機能を備えた FireEye eMPS アプライアンス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- [ダウンロード] をクリックして、取り込み認証ファイルをダウンロードします。
Bindplane エージェントがインストールされるシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collector
サービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collector
サービスが [アクティブ(実行中)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/fireeye_emps: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: FIREEYE_EMPS raw_log_field: body ingestion_labels: env: production service: pipelines: logs/fireeye_to_chronicle: receivers: - udplog exporters: - chronicle/fireeye_emps
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
- 受信側は、ポート 514(標準 syslog ポート)の UDP syslog 用に構成されています。
- Linux で非特権ポートを使用するには、
514を1514以上に変更します。 - UDP の代わりに TCP を使用するには、
udplogをtcplogに置き換えます。
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:YOUR_CUSTOMER_IDは、前の手順の顧客 ID に置き換えます。endpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
log_type: Chronicle パーサーと一致するように、FIREEYE_EMPSにする必要があります。ingestion_labels: YAML 形式の省略可能なラベル(必要に応じてカスタマイズ)。
構成ファイルを保存する
編集が完了したら、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
Bindplane エージェントを再起動して変更を適用する
Linux
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows
次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を使用します。
net stop observiq-otel-collector && net start observiq-otel-collectorServices コンソールを使用する場合:
Win+Rキーを押し、「services.msc」と入力して Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
FireEye eMPS syslog 転送を構成する
CLI を使用して、syslog 通知を Bindplane エージェントに転送するように FireEye eMPS アプライアンスを構成します。
FireEye eMPS CLI にアクセスする
- SSH またはコンソール経由で FireEye eMPS アプライアンスに接続します。
- 管理者またはオペレーターの権限を持つアカウントでログインします。
イネーブル モードに入ります。
hostname> enable構成モードに入ります。
hostname# configure terminal
syslog サーバーを構成する
Bindplane エージェントを syslog トラップ シンクとして追加します。
hostname(config)# fenotify rsyslog trap-sink chronicle address <BINDPLANE_IP_ADDRESS><BINDPLANE_IP_ADDRESS>は、Bindplane エージェントを実行しているホストの IP アドレス(192.168.1.100など)に置き換えます。syslog 形式を CEF(Common Event Format)に設定します。
hostname(config)# fenotify rsyslog trap-sink chronicle prefer message format cefsyslog 機能に local4 を設定します(推奨)。
hostname(config)# fenotify syslog default facility local4配信モードを設定して、イベントごとに通知を送信します。
hostname(config)# fenotify rsyslog trap-sink chronicle message delivery per-eventアラートの重大度をアラートレベルに設定します(推奨)。
hostname(config)# fenotify rsyslog trap-sink chronicle prefer message send-as alertプロトコルを UDP に設定します(Bindplane で構成されている場合は TCP)。
hostname(config)# fenotify rsyslog trap-sink chronicle protocol udpポートを 514(または Bindplane で構成されたポート)に設定します。
hostname(config)# fenotify rsyslog trap-sink chronicle port 514
syslog 通知を有効にする
rsyslog 通知をグローバルに有効にします。
hostname(config)# fenotify rsyslog enableグローバル通知を有効にする:
hostname(config)# fenotify enablersyslog の特定のアラートタイプを有効にします。たとえば、メール関連のすべてのアラートを有効にするには:
hostname(config)# fenotify rsyslog alert malware-object enable hostname(config)# fenotify rsyslog alert malware-callback enable hostname(config)# fenotify rsyslog alert infection-match enable hostname(config)# fenotify rsyslog alert domain-match enable構成を確認します。
hostname(config)# show fenotify alertsこのコマンドは、有効になっている通知方法とアラートタイプを表示します。
構成を保存します。
hostname(config)# write memory構成モードを終了します。
hostname(config)# exit hostname# exit
syslog の接続をテストする
テスト syslog メッセージを送信して、接続を確認します。
hostname# fenotify rsyslog send-testBindplane エージェントのログを調べて、テスト メッセージが受信されたことを確認します。
Linux:
sudo journalctl -u observiq-otel-collector -n 50Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
ログが Google SecOps コンソールに表示されていることを確認します(最初の取り込みには 5 ~ 10 分かかります)。
その他の構成に関する注意事項
- FireEye eMPS は、上記のように構成されている場合、CEF(Common Event Format)で syslog メッセージを送信します。
- syslog メッセージには、送信者、受信者、件名、マルウェア名、URL、ファイル ハッシュ、脅威の重大度などのメールの脅威の詳細が含まれます。
- ファイアウォール ルールで、FireEye eMPS アプライアンスから構成済みのポート上の Bindplane エージェントへの UDP(または TCP)トラフィックが許可されていることを確認します。
- CLI コマンドの詳細なリファレンスについては、FireEye のドキュメント ポータル(https://docs.fireeye.com/)をご覧ください(ログインが必要です)。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| _hash | about.file.sha256 | _hash から取得された値 |
| _message | security_result_token.description | has_invalid_msg が false の場合、_message から取得された値 |
| IPv6_Address | event.idm.read_only_udm.target.ip | 「-」でない場合は IPv6_Address から取得された値 |
| Action_Taken | security_result.action_details | Action_Taken から取得した値 |
| CustomerName | event.idm.read_only_udm.target.user.user_display_name | 引用符を削除した後の CustomerName から取得した値 |
| Device_name | event.idm.read_only_udm.principal.hostname | 存在する場合は Device_name から取得された値 |
| Domene | sntdom | ドメインが存在しない場合は Domene から値を取得 |
| ドメイン | sntdom | ドメインから取得した値 |
| Emne | about.process.command_line | Subject が存在しない場合は Emne から値を取得 |
| Enhetsnavn | event.idm.read_only_udm.principal.hostname | Device_name が存在しない場合は Enhetsnavn から値を取得 |
| File_name | event.idm.read_only_udm.target.process.file.full_path | File_name から取得した値 |
| 生成済み | event.idm.read_only_udm.metadata.event_timestamp | Generated からタイムスタンプ形式に変換 |
| Group_name | event.idm.read_only_udm.principal.group.group_display_name | Group_name から取得した値 |
| Gruppenavn | event.idm.read_only_udm.principal.group.group_display_name | Group_name が存在しない場合は Gruppenavn から取得された値 |
| Infected_Resource | event.idm.read_only_udm.target.process.file.full_path | 他の値が存在しない場合は Infected_Resource から取得された値 |
| Infection_Channel | security_result.detection_fields | キーは「Infection Channel」に設定され、値は Infection_Channel から取得されます |
| IPv6_Address | target_machine_id_present | IPv6_Address が「-」でない場合は true に設定されます。 |
| オブジェクト | event.idm.read_only_udm.target.process.file.full_path | File_name が存在しない場合は Object から値を取得 |
| Objekt | event.idm.read_only_udm.target.process.file.full_path | 他の値がない場合は Objekt から取得された値 |
| Operasjon | operasjon_label | Operasjon から取得した値 |
| オペレーション | operation_label | オペレーションから取得した値 |
| パス | about.process.command_line | 他の値がない場合はパスから取得された値 |
| 権限 | permission_label | 権限から取得された値 |
| 受信済み | event.idm.read_only_udm.metadata.collected_timestamp | Received からタイムスタンプ形式に変換 |
| Resource_Type | event.idm.read_only_udm.target.resource.attribute.labels | キーが「Resource_Type」に設定され、値が Resource_Type から取得される |
| 結果 | security_result.summary | 結果から取得された値 |
| Scan_Type | security_result.description | Type が存在しない場合は Scan_Type から取得された値 |
| スパイウェア | security_result.threat_name | スパイウェアから取得された値 |
| Spyware_Grayware_Type | security_result.detection_fields | キーが「Spyware/Grayware_Type」に設定され、値が Spyware_Grayware_Type から取得されます |
| 件名 | about.process.command_line | Subject から取得した値 |
| Threat_Probability | security_result.detection_fields | キーが「Threat_Probability」に設定され、値が Threat_Probability から取得されます |
| Tillatelse | tillatelse_label | Tillatelse から取得した値 |
| タイプ | security_result.description | Type から取得された値 |
| Unknown_Threat | security_result.threat_name | 他の脅威が存在しない場合は Unknown_Threat から取得された値 |
| ユーザー | event.idm.read_only_udm.target.user.userid | ユーザーから取得した値 |
| Virus_Malware_Name | security_result.threat_name | スパイウェアが存在しない場合は Virus_Malware_Name から取得された値 |
| _metadata.customer | security_result_token.detection_fields | キーが「Customer」に設定され、値が _metadata.customer から取得されます。 |
| _metadata.proxy.address | event.idm.read_only_udm.principal.hostname | _metadata.proxy.address から取得された値 |
| _metadata.proxy.address | event.idm.read_only_udm.principal.asset.hostname | _metadata.proxy.address から取得された値 |
| _metadata.source.address | principal.hostname | _metadata.source.address から取得した値 |
| _metadata.source.address | principal.asset.hostname | _metadata.source.address から取得した値 |
| _metadata.source.port | principal.port | _metadata.source.port から整数に変換 |
| _metadata.source.type | security_result_token.detection_fields | キーが「Type」に設定され、値は _metadata.source.type から取得されます |
| _metadata.timestamp.producer_process | event.idm.read_only_udm.metadata.event_timestamp | _metadata.timestamp.producer_process からタイムスタンプ形式に変換されました |
| _metadata.timestamp.producer_process | metadata.event_timestamp | _metadata.timestamp.producer_process からタイムスタンプ形式に変換されました |
| 関連 | event.idm.read_only_udm.about | 統合元について |
| about_token | event.idm.read_only_udm.about | about_token から統合 |
| act | security_result.action | act: accept/notified → ALLOW、deny/blocked → BLOCK、Failure → FAIL から派生 |
| act | security_result.action_details | act から取得した値 |
| additional_cs1 | event.idm.read_only_udm.additional.fields | キーが cs1Label に設定され、値が cs1 から取得される |
| additional_cs2 | event.idm.read_only_udm.additional.fields | キーが cs2Label に設定され、値が cs2 から取得される |
| additional_cs3 | event.idm.read_only_udm.additional.fields | キーが cs3Label に設定され、値が空でない場合は cs3 から取得されます |
| additional_cs4 | event.idm.read_only_udm.additional.fields | キーが cs4Label に設定され、値が cs4 から取得される |
| additional_cs5 | event.idm.read_only_udm.additional.fields | キーが cs5Label に設定され、値が NA でない場合は cs5 から取得されます |
| additional_cs6 | event.idm.read_only_udm.additional.fields | キーが cs6Label に設定され、値が空でない場合は cs6 から取得されます |
| additional_cs7 | event.idm.read_only_udm.additional.fields | キーが cs7Label に設定され、値が空でない場合は cs7 から取得されます |
| additional_cn1 | event.idm.read_only_udm.additional.fields | キーが cn1Label に設定され、値が空でない場合は cn1 から取得されます |
| additional_cn2 | event.idm.read_only_udm.additional.fields | キーが cn2Label に設定され、値が空でない場合は cn2 から取得されます |
| additional_cn3 | event.idm.read_only_udm.additional.fields | キーが cn3Label に設定され、値が空でない場合は cn3 から取得されます |
| additional_cfp1 | event.idm.read_only_udm.additional.fields | キーが cfp1Label に設定され、値は空でない場合は cfp1 から取得されます |
| additional_cfp2 | event.idm.read_only_udm.additional.fields | キーが cfp2Label に設定され、値は空でない場合は cfp2 から取得されます |
| additional_cfp3 | event.idm.read_only_udm.additional.fields | キーが cfp3Label に設定され、値が空でない場合は cfp3 から取得されます |
| additional_cfp4 | event.idm.read_only_udm.additional.fields | キーが cfp4Label に設定され、値が空でない場合は cfp4 から取得されます |
| additional_devicePayloadId | event.idm.read_only_udm.additional.fields | キーが「devicePayloadId」に設定され、値が devicePayloadId から取得されます。 |
| additional_eventId | event.idm.read_only_udm.additional.fields | キーは「eventId」、値は eventId から取得 |
| additional_fname | event.idm.read_only_udm.additional.fields | キーが「fname」に設定され、値が N/A でない場合は fname から取得されます。 |
| additional_flexString1 | event.idm.read_only_udm.additional.fields | キーが flexString1Label に設定され、値が flexString1 から取得されます |
| additional_flexString2 | event.idm.read_only_udm.additional.fields | キーが flexString2Label に設定され、値が空でない場合は flexString2 から取得されます |
| アプリ | app_protocol_src | アプリから取得した値 |
| appcategory | security_result.summary | appcategory から取得された値 |
| base64_sha256 | event.idm.read_only_udm.network.tls.client.certificate.sha256 | Sha256 から base64 16 進数に変換済み |
| base64_sha256 | event.idm.read_only_udm.target.resource.name | base64_sha256 から取得された値 |
| 猫 | security_result.category_details | cat から取得された値 |
| cs5 | cs5_label | ラベルが設定されていない場合は cs5 から値を取得 |
| cs5_label | event.idm.read_only_udm.additional.fields | キーが「cs5 Label」に設定され、値が無効な場合は cs5 から取得されます |
| destinationServiceName | event.idm.read_only_udm.target.application | destinationServiceName から取得された値 |
| destinationTranslatedAddress | event.idm.read_only_udm.target.nat_ip | destinationTranslatedAddress から取得された値 |
| destinationTranslatedPort | event.idm.read_only_udm.target.nat_port | destinationTranslatedPort から整数に変換 |
| deviceDirection | event.idm.read_only_udm.network.direction | 0 の場合は INBOUND、1 の場合は OUTBOUND に設定 |
| deviceExternalId | about.asset.asset_id | deviceExternalId から「device_vendor.device_product:deviceExternalId」として取得された値 |
| deviceNtDomain | about.administrative_domain | deviceNtDomain から取得された値 |
| devicePayloadId | additional_devicePayloadId | devicePayloadId から取得された値 |
| deviceProcessName | about.process.command_line | deviceProcessName から取得した値 |
| deviceTranslatedAddress | about.nat_ip | deviceTranslatedAddress から取得された値 |
| device_vendor | event.idm.read_only_udm.metadata.vendor_name | device_vendor から取得した値 |
| device_version | event.idm.read_only_udm.metadata.product_version | device_version から取得した値 |
| dhost | temp_dhost | dhost から取得された値 |
| dmac | event.idm.read_only_udm.target.mac | フォーマット後に dmac から取得された値 |
| dmac | mac_address | フォーマット後に dmac から取得された値 |
| dntdom | event.idm.read_only_udm.target.administrative_domain | dntdom から取得された値 |
| dpid | event.idm.read_only_udm.target.process.pid | dpid から取得された値 |
| dpriv | target_role | dpriv から取得された値 |
| dproc | event.idm.read_only_udm.target.process.command_line | dproc から取得された値 |
| dpt | event.idm.read_only_udm.target.port | dpt から整数に変換 |
| dst | event.idm.read_only_udm.target.asset.ip | dst から取得された値 |
| dst | event.idm.read_only_udm.target.ip | dst から取得された値 |
| dst_ip | target_ip | dst_ip から取得された値 |
| duid | temp_duid | duid から取得された値 |
| duser | event.idm.read_only_udm.metadata.event_type | duser が空でない場合は USER_UNCATEGORIZED に設定 |
| duser | temp_duser | duser から取得した値 |
| dvchost | about.hostname | dvchost から取得された値 |
| dvcmac | about.mac | 有効な MAC の場合、フォーマット後に dvcmac から取得した値 |
| dvcmac | dvc_mac | フォーマット後に dvcmac から取得した値 |
| dvcpid | about.process.pid | dvcpid から取得された値 |
| dvc | about.ip | dvc 配列から分割 |
| eventId | additional_eventId | eventId から取得された値 |
| event_name | event.idm.read_only_udm.metadata.product_event_type | device_event_class_id と組み合わせて「[device_event_class_id] - event_name」または event_name として使用されます。 |
| event_name | event.idm.read_only_udm.metadata.event_type | LogSpyware または LogPredictiveMachineLearning の場合は SCAN_UNCATEGORIZED に設定 |
| eventid | eventId | eventid から取得された値 |
| externalId | event.idm.read_only_udm.metadata.product_log_id | externalId から取得された値 |
| fileHash | about.file.sha256 | 有効なハッシュの場合は fileHash から取得された値 |
| fileHash | about.file.full_path | 有効なハッシュでない場合は fileHash から取得された値 |
| filePath | about.file.full_path | filePath から取得された値 |
| filePermission | 権限 | filePermission から取得された値 |
| fileType | about.file.mime_type | fileType から取得した値 |
| flexString2 | additional_flexString2 | flexString2 から取得された値 |
| flexString2Label | additional_flexString2 | flexString2Label から取得した値 |
| fname | additional_fname | fname から取得された値 |
| fsize | about.file.size | fsize から uinteger に変換 |
| has_principal | metadata.event_type | has_principal が true で has_target が false の場合は STATUS_UPDATE に設定 |
| has_principal | principal_present | true に設定 |
| has_target | metadata.event_type | has_principal が false の場合は GENERIC_EVENT に設定 |
| インチ | event.idm.read_only_udm.network.received_bytes | >0 の場合、in から uinteger に変換 |
| infection_channel_label | security_result.detection_fields | キーが「Infection Channel」に設定され、値が Infection_Channel から取得される |
| ipv6 | target_machine_id_present | IPv6_Address が「-」でない場合は true に設定されます。 |
| mac | event.idm.read_only_udm.principal.mac | mac から取得した値 |
| mac_address | event.idm.read_only_udm.target.mac | mac_address から取得された値 |
| mac_address | about.mac | mac_address から取得された値 |
| メタデータ | event.idm.read_only_udm.metadata | メタデータから名前変更 |
| msg | event.idm.read_only_udm.metadata.description | 引用符を削除した後の msg から取得された値 |
| msg_data_2 | security_result.description | 空でない場合は msg_data_2 から取得された値 |
| mwProfile | security_result.rule_name | mwProfile から取得された値 |
| oldFilePath | event.idm.read_only_udm.src.file.full_path | oldFilePath から取得された値 |
| oldFilePermission | old_permissions | oldFilePermission から取得された値 |
| oldFileSize | event.idm.read_only_udm.src.file.size | oldFileSize から uinteger に変換 |
| operasjon_label | security_result.detection_fields | 値が空でない場合は operasjon_label から統合 |
| operation_label | security_result.detection_fields | 値が空でない場合は operation_label から統合 |
| どうなるでしょうか | event.idm.read_only_udm.network.sent_bytes | out から uinteger に変換(0 より大きい場合) |
| permission_label | security_result.detection_fields | 値が空でない場合は permission_label から統合 |
| ポート | event.idm.read_only_udm.principal.port | ポートから整数に変換 |
| プリンシパル | event.idm.read_only_udm.principal | プリンシパルから名前変更 |
| proto | protocol_number_src | proto から取得された値 |
| リクエスト | event.idm.read_only_udm.target.url | リクエストから取得した値 |
| requestClientApplication | event.idm.read_only_udm.network.http.user_agent | requestClientApplication から取得した値 |
| requestMethod | event.idm.read_only_udm.network.http.method | requestMethod から取得された値 |
| resource_Type_label | event.idm.read_only_udm.target.resource.attribute.labels | 無効でない場合は resource_Type_label から統合されます |
| rt | event.idm.read_only_udm.metadata.event_timestamp | rt からタイムスタンプ形式に変換されました |
| security_result | event.idm.read_only_udm.security_result | security_result から統合 |
| security_result_token | event.idm.read_only_udm.security_result | security_result_token から統合されました |
| 重要度 | security_result.severity | 重大度から派生します。0 ~ 1 → LOW、2 ~ 3 → MEDIUM、4 ~ 5 → HIGH、6 ~ 9 → CRITICAL |
| shost | event.idm.read_only_udm.principal.hostname | IP の場合は shost から取得した値、それ以外の場合はホスト名 |
| shost | event.idm.read_only_udm.principal.ip | IP の場合、shost から取得された値 |
| shost_present | shost_present | true に設定 |
| smac | event.idm.read_only_udm.principal.mac | フォーマット後に smac から取得した値 |
| smac | mac | フォーマット後に smac から取得した値 |
| sntdom | event.idm.read_only_udm.principal.administrative_domain | sntdom から取得された値 |
| sourceDnsDomain | event.idm.read_only_udm.target.asset.hostname | sourceDnsDomain ホスト名から取得された値 |
| sourceDnsDomain | event.idm.read_only_udm.target.hostname | sourceDnsDomain ホスト名から取得された値 |
| sourceServiceName | event.idm.read_only_udm.principal.application | sourceServiceName から取得された値 |
| sourceTranslatedAddress | event.idm.read_only_udm.principal.nat_ip | sourceTranslatedAddress から取得された値 |
| sourceTranslatedPort | event.idm.read_only_udm.principal.nat_port | sourceTranslatedPort から整数に変換 |
| spid | event.idm.read_only_udm.principal.process.pid | spid から取得された値 |
| spriv | principal_role | spriv から取得された値 |
| sproc | event.idm.read_only_udm.principal.process.command_line | sproc から取得された値 |
| spt | event.idm.read_only_udm.principal.port | 有効な場合、spt から整数に変換 |
| src | event.idm.read_only_udm.principal.asset.ip | src から取得された値 |
| src | event.idm.read_only_udm.principal.ip | src から取得された値 |
| src | event.idm.read_only_udm.metadata.event_type | src が空でない場合は STATUS_UPDATE に設定 |
| srcip | principal_ip | srcip から取得された値 |
| spyware_Grayware_Type_label | security_result.detection_fields | spyware_Grayware_Type_label から統合 |
| suid | event.idm.read_only_udm.principal.user.userid | suid から取得された値 |
| suser | event.idm.read_only_udm.principal.user.user_display_name | { で始まらない場合は suser から取得された値 |
| ターゲット | event.idm.read_only_udm.target | ターゲットから名前変更 |
| target_hostname_present | target_hostname_present | true に設定 |
| target_machine_id_present | target_machine_id_present | true に設定 |
| target_present | target_present | true に設定 |
| temp_dhost | event.idm.read_only_udm.target.hostname | temp_dhost から取得された値 |
| temp_dhost | target_hostname_present | true に設定 |
| temp_dhost | target_machine_id_present | true に設定 |
| temp_duid | event.idm.read_only_udm.target.user.userid | Grok 後の temp_duid から取得した値 |
| temp_duser | event.idm.read_only_udm.target.user.user_display_name | temp_duser から取得された値 |
| temp_duser | has_target_user | true に設定 |
| threat_probability_label | security_result.detection_fields | threat_probability_label から統合 |
| tillatelse_label | security_result.detection_fields | tillatelse_label から統合 |
| type_label | security_result_token.detection_fields | キーが「Type」に設定され、値は _metadata.source.type から取得されます |
| customer_label | security_result_token.detection_fields | キーが「Customer」に設定され、値が _metadata.customer から取得されます。 |
| event.idm.read_only_udm.metadata.vendor_name | 「FIREEYE_EMPS」に設定 | |
| event.idm.read_only_udm.metadata.product_name | 「FIREEYE_EMPS」に設定 |
ご不明な点がございましたら、コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。