Coletar registros do FireEye eMPS

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do FireEye eMPS no Google Security Operations usando o agente Bindplane.

O FireEye Email Malware Protection System (eMPS), também conhecido como FireEye EX Series (antigo FireEye Email Security, agora parte do Trellix Email Security), é um appliance de segurança de e-mail que protege as organizações contra ameaças avançadas por e-mail, incluindo spear phishing, malware e ataques direcionados, analisando o conteúdo e os anexos de e-mail em tempo real.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Windows Server 2016 ou mais recente ou host Linux com systemd
Conectividade de rede entre o agente do Bindplane e o appliance FireEye eMPS
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
Acesso privilegiado à CLI do appliance eMPS da FireEye (papel de administrador ou operador)
Appliance FireEye eMPS com capacidade de notificação do syslog

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agente de coleta.
Clique em Fazer o download para baixar o arquivo de autenticação de ingestão.
Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.

Observação: esse arquivo JSON contém credenciais para autenticar o agente do Bindplane no Google SecOps.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Observação: o ID do cliente é necessário para configurar o exportador do agente Bindplane.

Instalar o agente do BindPlane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```

O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```

O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/fireeye_emps:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FIREEYE_EMPS
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/fireeye_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/fireeye_emps

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

Configuração do receptor:

O receptor é configurado para syslog UDP na porta 514 (porta syslog padrão).
Para usar uma porta não privilegiada no Linux, mude 514 para 1514 ou uma versão mais recente.
Para usar TCP em vez de UDP, substitua udplog por tcplog.

Configuração do exportador:

creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
- Linux: /etc/bindplane-agent/ingestion-auth.json
- Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
customer_id: substitua YOUR_CUSTOMER_ID pelo ID do cliente da etapa anterior.
endpoint: URL do endpoint regional:
- EUA: malachiteingestion-pa.googleapis.com
- Europa: europe-malachiteingestion-pa.googleapis.com
- Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
- Consulte a lista completa em Endpoints regionais.
log_type: precisa ser exatamente FIREEYE_EMPS para corresponder ao analisador do Chronicle.
ingestion_labels: rótulos opcionais no formato YAML (personalize conforme necessário).

Salvar o arquivo de configuração

Depois de editar, salve o arquivo:

Linux: pressione Ctrl+O, Enter e Ctrl+X.
Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

Linux

sudo systemctl restart observiq-otel-collector

Verifique se o serviço está em execução:

sudo systemctl status observiq-otel-collector

Verifique se há erros nos registros:

sudo journalctl -u observiq-otel-collector -f

Windows

Escolha uma das seguintes opções:
- Usando o prompt de comando ou o PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Usando o console do Services:
  1. Pressione Win+R, digite services.msc e pressione Enter.
  2. Localize o Coletor do OpenTelemetry da observIQ.
  3. Clique com o botão direito do mouse e selecione Reiniciar.
  4. Verifique se o serviço está em execução:
```
sc query observiq-otel-collector
```
  5. Verifique se há erros nos registros:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurar o encaminhamento de syslog do FireEye eMPS

Configure o appliance FireEye eMPS para encaminhar notificações de syslog ao agente Bindplane usando a CLI.

Acessar a CLI do FireEye eMPS

Conecte-se ao appliance eMPS do FireEye via SSH ou console.
Faça login com uma conta que tenha privilégios de administrador ou operador.
Entre no modo de ativação:
```
hostname> enable
```
Insira o modo de configuração:
```
hostname# configure terminal
```

Configurar o servidor Syslog

Adicione o agente do Bindplane como um coletor de trap syslog:
```
hostname(config)# fenotify rsyslog trap-sink chronicle address <BINDPLANE_IP_ADDRESS>
```
Substitua <BINDPLANE_IP_ADDRESS> pelo endereço IP do host que executa o agente do Bindplane (por exemplo, 192.168.1.100).

Defina o formato syslog como CEF (Common Event Format):

hostname(config)# fenotify rsyslog trap-sink chronicle prefer message format cef

Defina a facilidade do syslog como local4 (recomendado):

hostname(config)# fenotify syslog default facility local4

Defina o modo de entrega para enviar notificações por evento:

hostname(config)# fenotify rsyslog trap-sink chronicle message delivery per-event

Defina a gravidade do alerta como nível de alerta (recomendado):

hostname(config)# fenotify rsyslog trap-sink chronicle prefer message send-as alert

Defina o protocolo como UDP (ou TCP, se configurado no Bindplane):
```
hostname(config)# fenotify rsyslog trap-sink chronicle protocol udp
```
Observação: se você configurou o agente do Bindplane para usar TCP, mude udp para tcp.
Defina a porta como 514 (ou a porta configurada no Bindplane):
```
hostname(config)# fenotify rsyslog trap-sink chronicle port 514
```
Observação: se você configurou o agente do Bindplane para usar uma porta diferente (por exemplo, 1514), mude 514 para corresponder.

Ativar notificações do syslog

Ative as notificações do rsyslog globalmente:
```
hostname(config)# fenotify rsyslog enable
```
Ative as notificações globais:
```
hostname(config)# fenotify enable
```
Ative tipos de alerta específicos para o rsyslog. Por exemplo, para ativar todos os alertas relacionados a e-mails:
```
hostname(config)# fenotify rsyslog alert malware-object enable
hostname(config)# fenotify rsyslog alert malware-callback enable
hostname(config)# fenotify rsyslog alert infection-match enable
hostname(config)# fenotify rsyslog alert domain-match enable
```
Observação: ative os tipos de alerta relevantes para seus requisitos de monitoramento. Os tipos de alertas disponíveis podem incluir: malware-object, malware-callback, infection-match, domain-match, web-infection, riskware-object, riskware-callback e outros, dependendo da versão do FireEye eMPS.
Para verificar a configuração:
```
hostname(config)# show fenotify alerts
```
Esse comando mostra os métodos de notificação e os tipos de alerta ativados.
Salve a configuração:
```
hostname(config)# write memory
```
Sair do modo de configuração:
```
hostname(config)# exit
hostname# exit
```

Testar a conectividade do syslog

Envie uma mensagem de syslog de teste para verificar a conectividade:
```
hostname# fenotify rsyslog send-test
```

Verifique os registros do agente do Bindplane para confirmar o recebimento da mensagem de teste:

Linux:

sudo journalctl -u observiq-otel-collector -n 50

Windows:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Verifique se os registros estão aparecendo no console do Google SecOps. Aguarde de 5 a 10 minutos para a ingestão inicial.

Outras observações de configuração

O FireEye eMPS envia mensagens syslog em CEF (Common Event Format) quando configurado conforme mostrado acima.
As mensagens do syslog incluem detalhes de ameaças por e-mail, como remetente, destinatário, assunto, nomes de malware, URLs, hashes de arquivos e gravidade da ameaça.
Verifique se as regras de firewall permitem o tráfego UDP (ou TCP) do appliance eMPS do FireEye para o agente do Bindplane na porta configurada.
Para uma referência detalhada de comandos da CLI, consulte o portal de documentação do FireEye em https://docs.fireeye.com/ (login obrigatório).

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
_hash	about.file.sha256	Valor extraído de _hash
_message	security_result_token.description	Valor extraído de _message se has_invalid_msg for falso
IPv6_Address	event.idm.read_only_udm.target.ip	Valor extraído de IPv6_Address se não for "-"
Action_Taken	security_result.action_details	Valor extraído de "Action_Taken"
CustomerName	event.idm.read_only_udm.target.user.user_display_name	Valor extraído de CustomerName após a remoção das aspas
Device_name	event.idm.read_only_udm.principal.hostname	Valor extraído de "Device_name", se presente
Domene	sntdom	Valor extraído de Domene se o domínio não estiver presente
Domínio	sntdom	Valor extraído do domínio
Emne	about.process.command_line	Valor extraído de Emne se o assunto não estiver presente
Enhetsnavn	event.idm.read_only_udm.principal.hostname	Valor extraído de Enhetsnavn se Device_name não estiver presente
File_name	event.idm.read_only_udm.target.process.file.full_path	Valor extraído de "File_name"
Gerado	event.idm.read_only_udm.metadata.event_timestamp	Convertido de "Gerado" para o formato de carimbo de data/hora
Group_name	event.idm.read_only_udm.principal.group.group_display_name	Valor extraído de Group_name
Gruppenavn	event.idm.read_only_udm.principal.group.group_display_name	Valor extraído de Gruppenavn se Group_name não estiver presente
Infected_Resource	event.idm.read_only_udm.target.process.file.full_path	Valor extraído de "Infected_Resource" se outros não estiverem presentes
Infection_Channel	security_result.detection_fields	Chave definida como "Canal de infecção", valor de Infection_Channel
IPv6_Address	target_machine_id_present	Definido como "true" se IPv6_Address não for "-"
Objeto	event.idm.read_only_udm.target.process.file.full_path	Valor extraído do objeto se File_name não estiver presente
Objeto	event.idm.read_only_udm.target.process.file.full_path	Valor extraído de "Objekt" se outros não estiverem presentes
Operasjon	operasjon_label	Valor extraído de Operasjon
Operação	operation_label	Valor extraído da operação
Caminho	about.process.command_line	Valor extraído de "Caminho" se outros não estiverem presentes
Permissão	permission_label	Valor extraído da permissão
Recebidos	event.idm.read_only_udm.metadata.collected_timestamp	Convertido de "Recebido" para o formato de carimbo de data/hora
Resource_Type	event.idm.read_only_udm.target.resource.attribute.labels	Chave definida como "Resource_Type", valor de Resource_Type
Resultado	security_result.summary	Valor extraído do resultado
Scan_Type	security_result.description	Valor extraído de Scan_Type se o tipo não estiver presente
Spyware	security_result.threat_name	Valor extraído de spyware
Spyware_Grayware_Type	security_result.detection_fields	Chave definida como "Spyware/Grayware_Type", valor de Spyware_Grayware_Type
Assunto	about.process.command_line	Valor retirado do assunto
Threat_Probability	security_result.detection_fields	A chave é definida como "Threat_Probability", valor de "Threat_Probability"
Tillatelse	tillatelse_label	Valor extraído de Tillatelse.
Tipo	security_result.description	Valor extraído de "Tipo"
Unknown_Threat	security_result.threat_name	Valor extraído de Unknown_Threat se outros não estiverem presentes
Usuário	event.idm.read_only_udm.target.user.userid	Valor extraído do usuário
Virus_Malware_Name	security_result.threat_name	Valor retirado de Virus_Malware_Name se Spyware não estiver presente
_metadata.customer	security_result_token.detection_fields	Chave definida como "Customer", valor de _metadata.customer
_metadata.proxy.address	event.idm.read_only_udm.principal.hostname	Valor extraído de _metadata.proxy.address
_metadata.proxy.address	event.idm.read_only_udm.principal.asset.hostname	Valor extraído de _metadata.proxy.address
_metadata.source.address	principal.hostname	Valor extraído de _metadata.source.address
_metadata.source.address	principal.asset.hostname	Valor extraído de _metadata.source.address
_metadata.source.port	principal.port	Convertido de _metadata.source.port para número inteiro
_metadata.source.type	security_result_token.detection_fields	Chave definida como "Type", valor de _metadata.source.type
_metadata.timestamp.producer_process	event.idm.read_only_udm.metadata.event_timestamp	Convertido de _metadata.timestamp.producer_process para o formato de carimbo de data/hora
_metadata.timestamp.producer_process	metadata.event_timestamp	Convertido de _metadata.timestamp.producer_process para o formato de carimbo de data/hora
sobre	event.idm.read_only_udm.about	Mesclado de "Sobre"
about_token	event.idm.read_only_udm.about	Mesclado de about_token
Atue	security_result.action	Derivado de act: accept/notified → ALLOW; deny/blocked → BLOCK; Failure → FAIL
Atue	security_result.action_details	Valor extraído do ato
additional_cs1	event.idm.read_only_udm.additional.fields	Chave definida como cs1Label, valor de cs1
additional_cs2	event.idm.read_only_udm.additional.fields	Chave definida como cs2Label, valor de cs2
additional_cs3	event.idm.read_only_udm.additional.fields	Chave definida como cs3Label, valor de cs3 se não estiver vazio
additional_cs4	event.idm.read_only_udm.additional.fields	Chave definida como cs4Label, valor de cs4
additional_cs5	event.idm.read_only_udm.additional.fields	Chave definida como cs5Label, valor de cs5 se não for NA
additional_cs6	event.idm.read_only_udm.additional.fields	Chave definida como cs6Label, valor de cs6 se não estiver vazio
additional_cs7	event.idm.read_only_udm.additional.fields	Chave definida como cs7Label, valor de cs7 se não estiver vazio
additional_cn1	event.idm.read_only_udm.additional.fields	Chave definida como cn1Label, valor de cn1 se não estiver vazio
additional_cn2	event.idm.read_only_udm.additional.fields	Chave definida como cn2Label, valor de cn2 se não estiver vazio
additional_cn3	event.idm.read_only_udm.additional.fields	Chave definida como cn3Label, valor de cn3 se não estiver vazio
additional_cfp1	event.idm.read_only_udm.additional.fields	Chave definida como cfp1Label, valor de cfp1 se não estiver vazio
additional_cfp2	event.idm.read_only_udm.additional.fields	Chave definida como cfp2Label, valor de cfp2 se não estiver vazio
additional_cfp3	event.idm.read_only_udm.additional.fields	Chave definida como cfp3Label, valor de cfp3 se não estiver vazio
additional_cfp4	event.idm.read_only_udm.additional.fields	Chave definida como cfp4Label, valor de cfp4 se não estiver vazio
additional_devicePayloadId	event.idm.read_only_udm.additional.fields	Chave definida como "devicePayloadId", valor de devicePayloadId
additional_eventId	event.idm.read_only_udm.additional.fields	Chave definida como "eventId", valor de eventId
additional_fname	event.idm.read_only_udm.additional.fields	Chave definida como "fname", valor de fname se não for N/A
additional_flexString1	event.idm.read_only_udm.additional.fields	Chave definida como flexString1Label, valor de flexString1
additional_flexString2	event.idm.read_only_udm.additional.fields	Chave definida como flexString2Label, valor de flexString2 se não estiver vazio
app	app_protocol_src	Valor extraído do app
appcategory	security_result.summary	Valor extraído de appcategory
base64_sha256	event.idm.read_only_udm.network.tls.client.certificate.sha256	Convertido de Sha256 para hexadecimal base64
base64_sha256	event.idm.read_only_udm.target.resource.name	Valor extraído de base64_sha256
gato	security_result.category_details	Valor extraído da categoria
cs5	cs5_label	Valor retirado de cs5 se o rótulo não estiver definido
cs5_label	event.idm.read_only_udm.additional.fields	Chave definida como "cs5 Label", valor de cs5 se inválido
destinationServiceName	event.idm.read_only_udm.target.application	Valor extraído de destinationServiceName
destinationTranslatedAddress	event.idm.read_only_udm.target.nat_ip	Valor extraído de destinationTranslatedAddress
destinationTranslatedPort	event.idm.read_only_udm.target.nat_port	Convertido de destinationTranslatedPort para número inteiro
deviceDirection	event.idm.read_only_udm.network.direction	Definido como INBOUND se 0, OUTBOUND se 1
deviceExternalId	about.asset.asset_id	Valor extraído de deviceExternalId como "device_vendor.device_product:deviceExternalId"
deviceNtDomain	about.administrative_domain	Valor extraído de deviceNtDomain
devicePayloadId	additional_devicePayloadId	Valor extraído de devicePayloadId
deviceProcessName	about.process.command_line	Valor extraído de deviceProcessName
deviceTranslatedAddress	about.nat_ip	Valor extraído de deviceTranslatedAddress
device_vendor	event.idm.read_only_udm.metadata.vendor_name	Valor extraído de device_vendor
device_version	event.idm.read_only_udm.metadata.product_version	Valor extraído de device_version
dhost	temp_dhost	Valor extraído de dhost.
dmac	event.idm.read_only_udm.target.mac	Valor extraído do DMAC após a formatação.
dmac	mac_address	Valor extraído do DMAC após a formatação.
dntdom	event.idm.read_only_udm.target.administrative_domain	Valor extraído de dntdom.
dpid	event.idm.read_only_udm.target.process.pid	Valor extraído do DPID.
dpriv	target_role	Valor extraído de dpriv
dproc	event.idm.read_only_udm.target.process.command_line	Valor extraído de dproc
dpt	event.idm.read_only_udm.target.port	Convertido de dpt para número inteiro
dst	event.idm.read_only_udm.target.asset.ip	Valor extraído de dst
dst	event.idm.read_only_udm.target.ip	Valor extraído de dst
dst_ip	target_ip	Valor extraído de dst_ip
duid	temp_duid	Valor extraído do duid.
duser	event.idm.read_only_udm.metadata.event_type	Definido como USER_UNCATEGORIZED se duser não estiver vazio
duser	temp_duser	Valor extraído de duser
dvchost	about.hostname	Valor extraído de dvchost
dvcmac	about.mac	Valor extraído de dvcmac após a formatação, se o MAC for válido.
dvcmac	dvc_mac	Valor extraído de dvcmac após a formatação.
dvcpid	about.process.pid	Valor extraído de dvcpid.
dvc	about.ip	Dividir da matriz de DVC
eventId	additional_eventId	Valor extraído de eventId
event_name	event.idm.read_only_udm.metadata.product_event_type	Combinado com device_event_class_id como "[device_event_class_id] - event_name" ou apenas event_name
event_name	event.idm.read_only_udm.metadata.event_type	Defina como SCAN_UNCATEGORIZED se LogSpyware ou LogPredictiveMachineLearning
eventid	eventId	Valor extraído de eventid
externalId	event.idm.read_only_udm.metadata.product_log_id	Valor extraído de externalId
fileHash	about.file.sha256	Valor extraído de "fileHash" se for um hash válido
fileHash	about.file.full_path	Valor extraído de "fileHash" se não for um hash válido.
filePath	about.file.full_path	Valor extraído de filePath
filePermission	permissões	Valor extraído de "filePermission"
fileType	about.file.mime_type	Valor extraído de "fileType"
flexString2	additional_flexString2	Valor extraído de flexString2
flexString2Label	additional_flexString2	Valor extraído de flexString2Label
fname	additional_fname	Valor extraído de "fname"
fsize	about.file.size	Convertido de fsize para uinteger
has_principal	metadata.event_type	Definido como STATUS_UPDATE se has_principal for verdadeiro e has_target for falso
has_principal	principal_present	Definido como "true"
has_target	metadata.event_type	Definido como GENERIC_EVENT se has_principal for falso
em	event.idm.read_only_udm.network.received_bytes	Convertido de "in" para "uinteger" se >0
infection_channel_label	security_result.detection_fields	Chave definida como "Canal de infecção", valor de Infection_Channel
ipv6	target_machine_id_present	Definido como "true" se IPv6_Address não for "-"
mac	event.idm.read_only_udm.principal.mac	Valor extraído do Mac
mac_address	event.idm.read_only_udm.target.mac	Valor extraído de mac_address
mac_address	about.mac	Valor extraído de mac_address
metadados	event.idm.read_only_udm.metadata	Renomeado de metadados
msg	event.idm.read_only_udm.metadata.description	Valor extraído da mensagem após a remoção das aspas
msg_data_2	security_result.description	Valor extraído de msg_data_2 se não estiver vazio
mwProfile	security_result.rule_name	Valor extraído de mwProfile
oldFilePath	event.idm.read_only_udm.src.file.full_path	Valor extraído de oldFilePath
oldFilePermission	old_permissions	Valor extraído de "oldFilePermission"
oldFileSize	event.idm.read_only_udm.src.file.size	Convertido de oldFileSize para uinteger
operasjon_label	security_result.detection_fields	Mesclado de operasjon_label se o valor não estiver vazio
operation_label	security_result.detection_fields	Unido de "operation_label" se o valor não estiver vazio
a perspectiva	event.idm.read_only_udm.network.sent_bytes	Convertido de "out" para "uinteger" se >0
permission_label	security_result.detection_fields	Mesclado de "permission_label" se o valor não estiver vazio.
porta	event.idm.read_only_udm.principal.port	Convertido de porta para número inteiro
participante	event.idm.read_only_udm.principal	Renomeado do principal
proto	protocol_number_src	Valor extraído do proto
solicitação	event.idm.read_only_udm.target.url	Valor extraído da solicitação
requestClientApplication	event.idm.read_only_udm.network.http.user_agent	Valor extraído de requestClientApplication
requestMethod	event.idm.read_only_udm.network.http.method	Valor extraído de requestMethod
resource_Type_label	event.idm.read_only_udm.target.resource.attribute.labels	Unido de resource_Type_label se não for inválido
rt	event.idm.read_only_udm.metadata.event_timestamp	Convertido do formato rt para carimbo de data/hora.
security_result	event.idm.read_only_udm.security_result	Mesclado de security_result
security_result_token	event.idm.read_only_udm.security_result	Combinado de security_result_token
gravidade,	security_result.severity	Derivada da gravidade: 0-1 → BAIXA; 2-3 → MÉDIA; 4-5 → ALTA; 6-9 → CRÍTICA
shost	event.idm.read_only_udm.principal.hostname	Valor extraído de shost se IP, caso contrário, nome do host
shost	event.idm.read_only_udm.principal.ip	Valor extraído de shost se IP
shost_present	shost_present	Definido como "true"
smac	event.idm.read_only_udm.principal.mac	Valor extraído do SMAC após a formatação.
smac	mac	Valor extraído do SMAC após a formatação.
sntdom	event.idm.read_only_udm.principal.administrative_domain	Valor extraído de sntdom
sourceDnsDomain	event.idm.read_only_udm.target.asset.hostname	Valor extraído do nome do host sourceDnsDomain
sourceDnsDomain	event.idm.read_only_udm.target.hostname	Valor extraído do nome do host sourceDnsDomain
sourceServiceName	event.idm.read_only_udm.principal.application	Valor extraído de sourceServiceName
sourceTranslatedAddress	event.idm.read_only_udm.principal.nat_ip	Valor extraído de sourceTranslatedAddress
sourceTranslatedPort	event.idm.read_only_udm.principal.nat_port	Convertido de sourceTranslatedPort para número inteiro
spid	event.idm.read_only_udm.principal.process.pid	Valor extraído do spid
spriv	principal_role	Valor extraído de spriv.
sproc	event.idm.read_only_udm.principal.process.command_line	Valor extraído da sproc
spt	event.idm.read_only_udm.principal.port	Convertido de spt para número inteiro, se válido.
src	event.idm.read_only_udm.principal.asset.ip	Valor extraído de "src"
src	event.idm.read_only_udm.principal.ip	Valor extraído de "src"
src	event.idm.read_only_udm.metadata.event_type	Definido como STATUS_UPDATE se src não estiver vazio
srcip	principal_ip	Valor extraído de srcip
spyware_Grayware_Type_label	security_result.detection_fields	Mesclado de spyware_Grayware_Type_label
suid	event.idm.read_only_udm.principal.user.userid	Valor extraído do suid
suser	event.idm.read_only_udm.principal.user.user_display_name	Valor extraído de suser se não começar com {
target	event.idm.read_only_udm.target	Renomeado do destino
target_hostname_present	target_hostname_present	Definido como "true"
target_machine_id_present	target_machine_id_present	Definido como "true"
target_present	target_present	Definido como "true"
temp_dhost	event.idm.read_only_udm.target.hostname	Valor extraído de temp_dhost
temp_dhost	target_hostname_present	Definido como "true"
temp_dhost	target_machine_id_present	Definido como "true"
temp_duid	event.idm.read_only_udm.target.user.userid	Valor extraído de temp_duid após grok
temp_duser	event.idm.read_only_udm.target.user.user_display_name	Valor extraído de temp_duser
temp_duser	has_target_user	Definido como "true"
threat_probability_label	security_result.detection_fields	Mesclado de threat_probability_label
tillatelse_label	security_result.detection_fields	Mesclado de tillatelse_label
type_label	security_result_token.detection_fields	Chave definida como "Type", valor de _metadata.source.type
customer_label	security_result_token.detection_fields	Chave definida como "Customer", valor de _metadata.customer
	event.idm.read_only_udm.metadata.vendor_name	Defina como "FIREEYE_EMPS"
	event.idm.read_only_udm.metadata.product_name	Defina como "FIREEYE_EMPS"

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.