收集 FireEye eMPS 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 代理将 FireEye eMPS 日志提取到 Google Security Operations。
FireEye 电子邮件恶意软件防护系统 (eMPS)(也称为 FireEye EX 系列,以前称为 FireEye 电子邮件安全,现在是 Trellix 电子邮件安全的一部分)是一种电子邮件安全设备,可通过实时分析电子邮件内容和附件来保护组织免受高级电子邮件威胁(包括鱼叉式网络钓鱼、恶意软件和有针对性的攻击)的侵害。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - Bindplane 代理与 FireEye eMPS 设备之间的网络连接
- 如果在代理后面运行,请确保防火墙端口根据 Bindplane 代理要求处于开放状态
- 对 FireEye eMPS 设备 CLI 的特权访问权限(管理员或操作员角色)
- 具有 syslog 通知功能的 FireEye eMPS 设备
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 点击下载以下载内容提交身份验证文件。
将文件安全地保存在将要安装 Bindplane 代理的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 个人资料。
复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令来验证安装:
sc query observiq-otel-collector
该服务应显示为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令来验证安装:
sudo systemctl status observiq-otel-collector
该服务应显示为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps
找到配置文件
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/fireeye_emps: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: FIREEYE_EMPS raw_log_field: body ingestion_labels: env: production service: pipelines: logs/fireeye_to_chronicle: receivers: - udplog exporters: - chronicle/fireeye_emps
配置参数
替换以下占位符:
接收器配置:
- 接收器配置为在端口 514(标准 syslog 端口)上接收 UDP syslog。
- 如需在 Linux 上使用非特权端口,请将
514更改为1514或更高值。 - 如需使用 TCP 而非 UDP,请将
udplog替换为tcplog。
导出器配置:
creds_file_path:提取身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:将YOUR_CUSTOMER_ID替换为上一步中的客户 ID。endpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点。
- 美国:
log_type:必须正好为FIREEYE_EMPS,才能与 Chronicle 解析器匹配。ingestion_labels:YAML 格式的可选标签(可根据需要自定义)。
保存配置文件
修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
重启 Bindplane 代理以应用更改
Linux
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
sudo systemctl status observiq-otel-collector检查日志是否存在错误:
sudo journalctl -u observiq-otel-collector -f
Windows
请从下列选项中选择一项:
以管理员身份使用命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector使用“服务”控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
右键点击并选择重新启动。
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- 按
配置 FireEye eMPS syslog 转发
使用 CLI 将 FireEye eMPS 设备配置为将 syslog 通知转发到 Bindplane 代理。
访问 FireEye eMPS CLI
- 通过 SSH 或控制台连接到 FireEye eMPS 设备。
- 使用具有管理员或操作员权限的账号登录。
进入启用模式:
hostname> enable进入配置模式:
hostname# configure terminal
配置 syslog 服务器
将 Bindplane 代理添加为 syslog 陷阱接收器:
hostname(config)# fenotify rsyslog trap-sink chronicle address <BINDPLANE_IP_ADDRESS>将
<BINDPLANE_IP_ADDRESS>替换为运行 Bindplane 代理的主机的 IP 地址(例如192.168.1.100)。将 syslog 格式设置为 CEF(通用事件格式):
hostname(config)# fenotify rsyslog trap-sink chronicle prefer message format cef将 syslog facility 设置为 local4(推荐):
hostname(config)# fenotify syslog default facility local4将分发模式设置为按事件发送通知:
hostname(config)# fenotify rsyslog trap-sink chronicle message delivery per-event将提醒严重程度设置为提醒级别(建议):
hostname(config)# fenotify rsyslog trap-sink chronicle prefer message send-as alert将协议设置为 UDP(如果在 Bindplane 中配置,则设置为 TCP):
hostname(config)# fenotify rsyslog trap-sink chronicle protocol udp将端口设置为 514(或在 Bindplane 中配置的端口):
hostname(config)# fenotify rsyslog trap-sink chronicle port 514
启用 syslog 通知
全局启用 rsyslog 通知:
hostname(config)# fenotify rsyslog enable启用全局通知:
hostname(config)# fenotify enable为 rsyslog 启用特定类型的提醒。例如,如需启用所有与电子邮件相关的提醒,请执行以下操作:
hostname(config)# fenotify rsyslog alert malware-object enable hostname(config)# fenotify rsyslog alert malware-callback enable hostname(config)# fenotify rsyslog alert infection-match enable hostname(config)# fenotify rsyslog alert domain-match enable验证配置:
hostname(config)# show fenotify alerts此命令会显示已启用的通知方法和提醒类型。
保存配置:
hostname(config)# write memory退出配置模式:
hostname(config)# exit hostname# exit
测试 syslog 连接
发送测试 syslog 消息以验证连接:
hostname# fenotify rsyslog send-test检查 Bindplane 代理日志,确认是否收到了测试消息:
Linux:
sudo journalctl -u observiq-otel-collector -n 50Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
验证日志是否显示在 Google SecOps 控制台中(初始提取需要 5 到 10 分钟)。
其他配置说明
- 当 FireEye eMPS 配置为如上所示时,会以 CEF(通用事件格式)发送 syslog 消息。
- syslog 消息包含电子邮件威胁详细信息,例如发件人、收件人、主题、恶意软件名称、网址、文件哈希和威胁严重程度。
- 确保防火墙规则允许从 FireEye eMPS 设备到 Bindplane 代理的 UDP(或 TCP)流量通过配置的端口。
- 如需详细的 CLI 命令参考,请访问 FireEye 文档门户网站 https://docs.fireeye.com/(需要登录)。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| _hash | about.file.sha256 | 从 _hash 中获取的值 |
| _message | security_result_token.description | 如果 has_invalid_msg 为 false,则从 _message 中获取的值 |
| IPv6_Address | event.idm.read_only_udm.target.ip | 如果不是“-”,则取自 IPv6_Address 的值 |
| Action_Taken | security_result.action_details | 从 Action_Taken 中获取的值 |
| CustomerName | event.idm.read_only_udm.target.user.user_display_name | 从 CustomerName 中移除引号后获得的值 |
| Device_name | event.idm.read_only_udm.principal.hostname | 如果存在,则取自 Device_name 的值 |
| Domene | sntdom | 如果不存在 Domain,则从 Domene 获取值 |
| 网域 | sntdom | 从网域中获取的值 |
| Emne | about.process.command_line | 如果不存在“主题”,则从“主题”中获取值 |
| Enhetsnavn | event.idm.read_only_udm.principal.hostname | 如果不存在 Device_name,则从 Enhetsnavn 中获取值 |
| File_name | event.idm.read_only_udm.target.process.file.full_path | 从 File_name 中获取的值 |
| 已生成 | event.idm.read_only_udm.metadata.event_timestamp | 从“生成”转换为时间戳格式 |
| Group_name | event.idm.read_only_udm.principal.group.group_display_name | 从 Group_name 中获取的值 |
| Gruppenavn | event.idm.read_only_udm.principal.group.group_display_name | 如果不存在 Group_name,则从 Gruppenavn 中获取值 |
| Infected_Resource | event.idm.read_only_udm.target.process.file.full_path | 如果不存在其他值,则从 Infected_Resource 中获取值 |
| Infection_Channel | security_result.detection_fields | 键设置为“Infection Channel”,值来自 Infection_Channel |
| IPv6_Address | target_machine_id_present | 如果 IPv6_Address 不为“-”,则设置为 true |
| 对象 | event.idm.read_only_udm.target.process.file.full_path | 如果不存在 File_name,则从对象中获取值 |
| Objekt | event.idm.read_only_udm.target.process.file.full_path | 如果其他值不存在,则从 Objekt 中获取值 |
| Operasjon | operasjon_label | 从 Operasjon 中获取的值 |
| 操作 | operation_label | 从操作中获取的值 |
| 路径 | about.process.command_line | 如果未提供其他值,则从路径中获取值 |
| 权限 | permission_label | 从权限中获取的值 |
| 已接收 | event.idm.read_only_udm.metadata.collected_timestamp | 从“已接收”转换为时间戳格式 |
| Resource_Type | event.idm.read_only_udm.target.resource.attribute.labels | 键设置为“Resource_Type”,值来自 Resource_Type |
| 结果 | security_result.summary | 从结果中获取的值 |
| Scan_Type | security_result.description | 如果不存在 Type,则从 Scan_Type 中获取值 |
| 间谍软件 | security_result.threat_name | 从间谍软件中获取的值 |
| Spyware_Grayware_Type | security_result.detection_fields | 键设置为“Spyware/Grayware_Type”,值来自 Spyware_Grayware_Type |
| 主题 | about.process.command_line | 从主题中获取的值 |
| Threat_Probability | security_result.detection_fields | 键设置为“Threat_Probability”,值来自 Threat_Probability |
| Tillatelse | tillatelse_label | 从 Tillatelse 中获取的值 |
| 类型 | security_result.description | 从“类型”中获取的值 |
| Unknown_Threat | security_result.threat_name | 如果其他威胁不存在,则取自 Unknown_Threat 的值 |
| 用户 | event.idm.read_only_udm.target.user.userid | 从用户处获取的值 |
| Virus_Malware_Name | security_result.threat_name | 如果不存在间谍软件,则取自 Virus_Malware_Name 的值 |
| _metadata.customer | security_result_token.detection_fields | 键设置为“Customer”,值来自 _metadata.customer |
| _metadata.proxy.address | event.idm.read_only_udm.principal.hostname | 从 _metadata.proxy.address 中获取的值 |
| _metadata.proxy.address | event.idm.read_only_udm.principal.asset.hostname | 从 _metadata.proxy.address 中获取的值 |
| _metadata.source.address | principal.hostname | 从 _metadata.source.address 中获取的值 |
| _metadata.source.address | principal.asset.hostname | 从 _metadata.source.address 中获取的值 |
| _metadata.source.port | principal.port | 从 _metadata.source.port 转换为整数 |
| _metadata.source.type | security_result_token.detection_fields | 键设置为“Type”,值来自 _metadata.source.type |
| _metadata.timestamp.producer_process | event.idm.read_only_udm.metadata.event_timestamp | 从 _metadata.timestamp.producer_process 转换为时间戳格式 |
| _metadata.timestamp.producer_process | metadata.event_timestamp | 从 _metadata.timestamp.producer_process 转换为时间戳格式 |
| 相关信息 | event.idm.read_only_udm.about | 合并自“关于”页面 |
| about_token | event.idm.read_only_udm.about | 从 about_token 合并 |
| act | security_result.action | 派生自 act:接受/已通知 → ALLOW;拒绝/已屏蔽 → BLOCK;失败 → FAIL |
| act | security_result.action_details | 从 act 中获取的值 |
| additional_cs1 | event.idm.read_only_udm.additional.fields | 键设置为 cs1Label,值来自 cs1 |
| additional_cs2 | event.idm.read_only_udm.additional.fields | 键设置为 cs2Label,值来自 cs2 |
| additional_cs3 | event.idm.read_only_udm.additional.fields | 键设置为 cs3Label,值来自 cs3(如果不为空) |
| additional_cs4 | event.idm.read_only_udm.additional.fields | 键设置为 cs4Label,值来自 cs4 |
| additional_cs5 | event.idm.read_only_udm.additional.fields | 键设置为 cs5Label,值来自 cs5(如果不是 NA) |
| additional_cs6 | event.idm.read_only_udm.additional.fields | 键设置为 cs6Label,值来自 cs6(如果不为空) |
| additional_cs7 | event.idm.read_only_udm.additional.fields | 键设置为 cs7Label,值来自 cs7(如果非空) |
| additional_cn1 | event.idm.read_only_udm.additional.fields | 键设置为 cn1Label,值来自 cn1(如果不为空) |
| additional_cn2 | event.idm.read_only_udm.additional.fields | 键设置为 cn2Label,值来自 cn2(如果不为空) |
| additional_cn3 | event.idm.read_only_udm.additional.fields | 键设置为 cn3Label,值来自 cn3(如果 cn3 不为空) |
| additional_cfp1 | event.idm.read_only_udm.additional.fields | 键设置为 cfp1Label,值来自 cfp1(如果不是空值) |
| additional_cfp2 | event.idm.read_only_udm.additional.fields | 键设置为 cfp2Label,值来自 cfp2(如果不为空) |
| additional_cfp3 | event.idm.read_only_udm.additional.fields | 键设置为 cfp3Label,值来自 cfp3(如果不为空) |
| additional_cfp4 | event.idm.read_only_udm.additional.fields | 键设置为 cfp4Label,值来自 cfp4(如果不为空) |
| additional_devicePayloadId | event.idm.read_only_udm.additional.fields | 键设置为“devicePayloadId”,值来自 devicePayloadId |
| additional_eventId | event.idm.read_only_udm.additional.fields | 键设置为“eventId”,值来自 eventId |
| additional_fname | event.idm.read_only_udm.additional.fields | 键设置为“fname”,值来自 fname(如果不是 N/A) |
| additional_flexString1 | event.idm.read_only_udm.additional.fields | 键设置为 flexString1Label,值来自 flexString1 |
| additional_flexString2 | event.idm.read_only_udm.additional.fields | 键设置为 flexString2Label,值来自 flexString2(如果 flexString2 不为空) |
| 应用 | app_protocol_src | 从应用中获取的值 |
| appcategory | security_result.summary | 从 appcategory 中获取的值 |
| base64_sha256 | event.idm.read_only_udm.network.tls.client.certificate.sha256 | 从 Sha256 转换为 base64 十六进制 |
| base64_sha256 | event.idm.read_only_udm.target.resource.name | 从 base64_sha256 获取的值 |
| 猫 | security_result.category_details | 从 cat 中获取的值 |
| cs5 | cs5_label | 如果未设置标签,则取自 cs5 的值 |
| cs5_label | event.idm.read_only_udm.additional.fields | 键设置为“cs5 Label”,如果无效,则使用来自 cs5 的值 |
| destinationServiceName | event.idm.read_only_udm.target.application | 从 destinationServiceName 中获取的值 |
| destinationTranslatedAddress | event.idm.read_only_udm.target.nat_ip | 从 destinationTranslatedAddress 中获取的值 |
| destinationTranslatedPort | event.idm.read_only_udm.target.nat_port | 从 destinationTranslatedPort 转换为整数 |
| deviceDirection | event.idm.read_only_udm.network.direction | 如果为 0,则设置为 INBOUND;如果为 1,则设置为 OUTBOUND |
| deviceExternalId | about.asset.asset_id | 从 deviceExternalId 中提取的值,格式为“device_vendor.device_product:deviceExternalId” |
| deviceNtDomain | about.administrative_domain | 从 deviceNtDomain 中获取的值 |
| devicePayloadId | additional_devicePayloadId | 从 devicePayloadId 中获取的值 |
| deviceProcessName | about.process.command_line | 从 deviceProcessName 中获取的值 |
| deviceTranslatedAddress | about.nat_ip | 从 deviceTranslatedAddress 中获取的值 |
| device_vendor | event.idm.read_only_udm.metadata.vendor_name | 从 device_vendor 中获取的值 |
| device_version | event.idm.read_only_udm.metadata.product_version | 从 device_version 中获取的值 |
| dhost | temp_dhost | 从 dhost 获取的值 |
| dmac | event.idm.read_only_udm.target.mac | 格式化后从 dmac 获取的值 |
| dmac | mac_address | 格式化后从 dmac 获取的值 |
| dntdom | event.idm.read_only_udm.target.administrative_domain | 从 dntdom 获取的值 |
| dpid | event.idm.read_only_udm.target.process.pid | 从 dpid 中获取的值 |
| dpriv | target_role | 从 dpriv 中获取的值 |
| dproc | event.idm.read_only_udm.target.process.command_line | 从 dproc 获取的值 |
| dpt | event.idm.read_only_udm.target.port | 从 dpt 转换为整数 |
| dst | event.idm.read_only_udm.target.asset.ip | 从 dst 获取的值 |
| dst | event.idm.read_only_udm.target.ip | 从 dst 获取的值 |
| dst_ip | target_ip | 从 dst_ip 获取的值 |
| duid | temp_duid | 从 duid 中获取的值 |
| duser | event.idm.read_only_udm.metadata.event_type | 如果 duser 不为空,则设置为 USER_UNCATEGORIZED |
| duser | temp_duser | 从 duser 获取的值 |
| dvchost | about.hostname | 从 dvchost 获取的值 |
| dvcmac | about.mac | 如果 MAC 有效,则从格式化后的 dvcmac 中获取的值 |
| dvcmac | dvc_mac | 格式化后从 dvcmac 获取的值 |
| dvcpid | about.process.pid | 从 dvcpid 中获取的值 |
| dvc | about.ip | 从 dvc 数组拆分 |
| eventId | additional_eventId | 从 eventId 中提取的值 |
| event_name | event.idm.read_only_udm.metadata.product_event_type | 与 device_event_class_id 结合使用,格式为“[device_event_class_id] - event_name”或仅为 event_name |
| event_name | event.idm.read_only_udm.metadata.event_type | 如果 LogSpyware 或 LogPredictiveMachineLearning |
| eventid | eventId | 从 eventid 中提取的值 |
| externalId | event.idm.read_only_udm.metadata.product_log_id | 从 externalId 中获取的值 |
| fileHash | about.file.sha256 | 如果哈希有效,则取自 fileHash 的值 |
| fileHash | about.file.full_path | 如果哈希无效,则取自 fileHash 的值 |
| filePath | about.file.full_path | 从 filePath 中获取的值 |
| filePermission | 权限 | 从 filePermission 中获取的值 |
| fileType | about.file.mime_type | 从 fileType 中获取的值 |
| flexString2 | additional_flexString2 | 从 flexString2 中获取的值 |
| flexString2Label | additional_flexString2 | 从 flexString2Label 中获取的值 |
| fname | additional_fname | 从 fname 中获取的值 |
| fsize | about.file.size | 已从 fsize 转换为 uinteger |
| has_principal | metadata.event_type | 如果 has_principal 为 true 且 has_target 为 false,则设置为 STATUS_UPDATE |
| has_principal | principal_present | 设置为 true |
| has_target | metadata.event_type | 如果 has_principal 为 false,则设置为 GENERIC_EVENT |
| 英寸 | event.idm.read_only_udm.network.received_bytes | 如果大于 0,则从 int 转换为 uinteger |
| infection_channel_label | security_result.detection_fields | 键设置为“Infection Channel”,值来自 Infection_Channel |
| ipv6 | target_machine_id_present | 如果 IPv6_Address 不为“-”,则设置为 true |
| mac | event.idm.read_only_udm.principal.mac | 从 Mac 获取的值 |
| mac_address | event.idm.read_only_udm.target.mac | 从 mac_address 获取的值 |
| mac_address | about.mac | 从 mac_address 获取的值 |
| 元数据 | event.idm.read_only_udm.metadata | 已从元数据重命名 |
| 消息 | event.idm.read_only_udm.metadata.description | 从消息中提取的值(已移除引号) |
| msg_data_2 | security_result.description | 如果 msg_data_2 不为空,则取自 msg_data_2 的值 |
| mwProfile | security_result.rule_name | 从 mwProfile 中获取的值 |
| oldFilePath | event.idm.read_only_udm.src.file.full_path | 从 oldFilePath 获取的值 |
| oldFilePermission | old_permissions | 从 oldFilePermission 中获取的值 |
| oldFileSize | event.idm.read_only_udm.src.file.size | 已将 oldFileSize 转换为 uinteger |
| operasjon_label | security_result.detection_fields | 如果值不为空,则从 operasjon_label 合并 |
| operation_label | security_result.detection_fields | 如果值不为空,则从 operation_label 合并 |
| 出局 | event.idm.read_only_udm.network.sent_bytes | 如果大于 0,则从 out 转换为 uinteger |
| permission_label | security_result.detection_fields | 如果值不为空,则从 permission_label 合并 |
| 端口 | event.idm.read_only_udm.principal.port | 已从端口转换为整数 |
| 主账号 | event.idm.read_only_udm.principal | 已重命名主账号 |
| proto | protocol_number_src | 从 proto 中获取的值 |
| request | event.idm.read_only_udm.target.url | 从请求中获取的值 |
| requestClientApplication | event.idm.read_only_udm.network.http.user_agent | 从 requestClientApplication 中获取的值 |
| requestMethod | event.idm.read_only_udm.network.http.method | 从 requestMethod 中获取的值 |
| resource_Type_label | event.idm.read_only_udm.target.resource.attribute.labels | 如果有效,则从 resource_Type_label 合并 |
| rt | event.idm.read_only_udm.metadata.event_timestamp | 从 rt 转换为时间戳格式 |
| security_result | event.idm.read_only_udm.security_result | 从 security_result 合并 |
| security_result_token | event.idm.read_only_udm.security_result | 从 security_result_token 合并 |
| 和程度上减少 | security_result.severity | 派生自严重程度:0-1 → 低;2-3 → 中;4-5 → 高;6-9 → 极高 |
| shost | event.idm.read_only_udm.principal.hostname | 如果为 IP,则取自 shost 的值;否则为主机名 |
| shost | event.idm.read_only_udm.principal.ip | 如果 IP 为空,则从 shost 中获取值 |
| shost_present | shost_present | 设置为 true |
| smac | event.idm.read_only_udm.principal.mac | 格式化后从 SMAC 获取的值 |
| smac | mac | 格式化后从 SMAC 获取的值 |
| sntdom | event.idm.read_only_udm.principal.administrative_domain | 从 sntdom 中获取的值 |
| sourceDnsDomain | event.idm.read_only_udm.target.asset.hostname | 从 sourceDnsDomain 主机名中获取的值 |
| sourceDnsDomain | event.idm.read_only_udm.target.hostname | 从 sourceDnsDomain 主机名中获取的值 |
| sourceServiceName | event.idm.read_only_udm.principal.application | 从 sourceServiceName 中获取的值 |
| sourceTranslatedAddress | event.idm.read_only_udm.principal.nat_ip | 从 sourceTranslatedAddress 中获取的值 |
| sourceTranslatedPort | event.idm.read_only_udm.principal.nat_port | 从 sourceTranslatedPort 转换为整数 |
| spid | event.idm.read_only_udm.principal.process.pid | 从 spid 中获取的值 |
| spriv | principal_role | 从 spriv 获取的值 |
| sproc | event.idm.read_only_udm.principal.process.command_line | 从 sproc 获取的值 |
| spt | event.idm.read_only_udm.principal.port | 如果有效,则从 spt 转换为整数 |
| src | event.idm.read_only_udm.principal.asset.ip | 从 src 获取的值 |
| src | event.idm.read_only_udm.principal.ip | 从 src 获取的值 |
| src | event.idm.read_only_udm.metadata.event_type | 如果 src 不为空,则设置为 STATUS_UPDATE |
| srcip | principal_ip | 从 srcip 获取的值 |
| spyware_Grayware_Type_label | security_result.detection_fields | 已从 spyware_Grayware_Type_label 合并 |
| suid | event.idm.read_only_udm.principal.user.userid | 从 suid 中获取的值 |
| suser | event.idm.read_only_udm.principal.user.user_display_name | 如果值不以 { 开头,则从 suser 中获取 |
| 目标 | event.idm.read_only_udm.target | 已从目标重命名 |
| target_hostname_present | target_hostname_present | 设置为 true |
| target_machine_id_present | target_machine_id_present | 设置为 true |
| target_present | target_present | 设置为 true |
| temp_dhost | event.idm.read_only_udm.target.hostname | 从 temp_dhost 中获取的值 |
| temp_dhost | target_hostname_present | 设置为 true |
| temp_dhost | target_machine_id_present | 设置为 true |
| temp_duid | event.idm.read_only_udm.target.user.userid | 从 grok 后的 temp_duid 中获取的值 |
| temp_duser | event.idm.read_only_udm.target.user.user_display_name | 从 temp_duser 中获取的值 |
| temp_duser | has_target_user | 设置为 true |
| threat_probability_label | security_result.detection_fields | 从 threat_probability_label 合并 |
| tillatelse_label | security_result.detection_fields | 从 tillatelse_label 合并 |
| type_label | security_result_token.detection_fields | 键设置为“Type”,值来自 _metadata.source.type |
| customer_label | security_result_token.detection_fields | 键设置为“Customer”,值来自 _metadata.customer |
| event.idm.read_only_udm.metadata.vendor_name | 设置为“FIREEYE_EMPS” | |
| event.idm.read_only_udm.metadata.product_name | 设置为“FIREEYE_EMPS” |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。