איסוף יומנים של Forcepoint Web Security

גרסת מנתח הנתונים: 12.0

נתמך ב:

במאמר הזה מוסבר איך להטמיע יומנים של Forcepoint Web Security ב-Google Security Operations באמצעות סוכן Bindplane.

‫Forcepoint Web Security הוא שרת proxy לאינטרנט ושער אבטחה שמפיק הודעות syslog בפורמט CEF (פורמט אירועים נפוץ) לגישה לאינטרנט, לאירועי אבטחה, לאימות ולאכיפת מדיניות. הכלי לניתוח מחלץ שדות מיומנים בפורמט CEF ו-syslog וממפה אותם למודל הנתונים המאוחד (UDM).

לפני שמתחילים

חשוב לוודא שמתקיימות הדרישות המוקדמות הבאות:

  • מופע של Google SecOps
  • ‫Windows Server 2016 ואילך, או מארח Linux עם systemd
  • קישוריות רשת בין סוכן Bindplane לבין Forcepoint Web Security
  • אם מריצים את הסוכן מאחורי שרת proxy, מוודאים שיציאות חומת האש פתוחות בהתאם לדרישות של סוכן Bindplane
  • הרשאת אדמין ל-Forcepoint Security Manager או לממשק הניהול של מכשיר

קבלת קובץ אימות להטמעת נתונים ב-Google SecOps

  1. נכנסים למסוף Google SecOps.
  2. עוברים אל SIEM Settings > Collection Agents (הגדרות SIEM > סוכני איסוף).
  3. מורידים את קובץ האימות להטמעת נתונים.
  4. שומרים את הקובץ בצורה מאובטחת במערכת שבה יותקן סוכן Bindplane.

איך מקבלים את מספר הלקוח ב-Google SecOps

  1. נכנסים למסוף Google SecOps.
  2. עוברים אל SIEM Settings > Profile (הגדרות SIEM > פרופיל).
  3. מעתיקים את מזהה הלקוח מהקטע פרטי הארגון ושומרים אותו.

התקנת סוכן Bindplane

מתקינים את סוכן Bindplane במערכת ההפעלה Windows או Linux לפי ההוראות הבאות.

התקנת Windows

  1. פותחים את שורת הפקודה או את PowerShell כאדמין.
  2. מריצים את הפקודה הבאה:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    
  3. מחכים שההתקנה תסתיים.

  4. כדי לוודא שההתקנה בוצעה, מריצים את הפקודה:

    sc query observiq-otel-collector
    

    השירות אמור להופיע עם הערך RUNNING.

התקנה של Linux

  1. פותחים טרמינל עם הרשאות root או sudo.
  2. מריצים את הפקודה הבאה:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    
  3. מחכים שההתקנה תסתיים.

  4. כדי לוודא שההתקנה בוצעה, מריצים את הפקודה:

    sudo systemctl status observiq-otel-collector
    

    השירות צריך להופיע כפעיל (פועל).

מקורות מידע נוספים להתקנה

אפשרויות התקנה נוספות ופתרון בעיות מפורטים במדריך להתקנת סוכן Bindplane.

הגדרה של סוכן Bindplane להטמעה של syslog ושליחה אל Google SecOps

אפשר להגדיר את סוכן Bindplane לקבלת הודעות syslog דרך TCP (מומלץ) או UDP.

איתור קובץ התצורה

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml
    
  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
    

עריכת קובץ התצורה

מחליפים את כל התוכן של config.yaml בהגדרות של הפרוטוקול שבחרתם:

  • אפשרות א': הגדרת TCP (מומלץ)

    receivers:
        tcplog:
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/forcepoint_webproxy:
            compression: gzip
            creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
            customer_id: '<customer_id>'
            endpoint: malachiteingestion-pa.googleapis.com
            log_type: FORCEPOINT_WEBPROXY
            raw_log_field: body
    
    service:
        pipelines:
            logs/forcepoint_tcp_to_chronicle:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/forcepoint_webproxy
    
  • אפשרות ב': הגדרת UDP

    receivers:
        udplog:
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/forcepoint_webproxy:
            compression: gzip
            creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
            customer_id: '<customer_id>'
            endpoint: malachiteingestion-pa.googleapis.com
            log_type: FORCEPOINT_WEBPROXY
            raw_log_field: body
    
    service:
        pipelines:
            logs/forcepoint_udp_to_chronicle:
                receivers:
                    - udplog
                exporters:
                    - chronicle/forcepoint_webproxy
    

פרמטרים להגדרה

מחליפים את ה-placeholders הבאים:

  • הגדרת מקלט:

    • listen_address: כתובת ה-IP והיציאה להאזנה:
      • 0.0.0.0 כדי להאזין בכל הממשקים (מומלץ)
      • יציאה 514 היא יציאת syslog רגילה (נדרשת הרשאת root ב-Linux; אפשר להשתמש ביציאה 1514 ללא הרשאת root)
  • הגדרות של הכלי לייצוא:

    • creds_file_path: הנתיב המלא לקובץ האימות להטמעת נתונים:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: מספר הלקוח שהועתק ממסוף Google SecOps
    • endpoint: Regional endpoint URL:
      • ארה"ב: malachiteingestion-pa.googleapis.com
      • אירופה: europe-malachiteingestion-pa.googleapis.com
      • אסיה: asia-southeast1-malachiteingestion-pa.googleapis.com
      • רשימה מלאה מופיעה במאמר בנושא נקודות קצה אזוריות.

שמירת קובץ ההגדרות

  • אחרי שמסיימים לערוך, שומרים את הקובץ:
    • Linux: מקישים על Ctrl+O, אחר כך על Enter ואז על Ctrl+X
    • Windows: לוחצים על קובץ > שמירה.

מפעילים מחדש את סוכן Bindplane כדי להחיל את השינויים.

  • כדי להפעיל מחדש את סוכן Bindplane ב-Linux, מריצים את הפקודה הבאה:

    sudo systemctl restart observiq-otel-collector
    
    1. מוודאים שהשירות פועל:

      sudo systemctl status observiq-otel-collector
      
    2. בודקים אם יש שגיאות ביומנים:

      sudo journalctl -u observiq-otel-collector -f
      
  • כדי להפעיל מחדש את סוכן Bindplane ב-Windows, בוחרים באחת מהאפשרויות הבאות:

    • שורת פקודה או PowerShell כאדמין:

      net stop observiq-otel-collector && net start observiq-otel-collector
      
    • מסוף השירותים:

      1. מקישים על Win+R, מקלידים services.msc ומקישים על Enter.
      2. מחפשים את observIQ OpenTelemetry Collector.
      3. לוחצים לחיצה ימנית ובוחרים באפשרות הפעלה מחדש.
      4. מוודאים שהשירות פועל:

        sc query observiq-otel-collector
        
      5. בודקים אם יש שגיאות ביומנים:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
        

הגדרת העברת syslog ב-Forcepoint Web Security

מגדירים את Forcepoint Web Security להעברת יומנים לסוכן Bindplane בפורמט CEF (פורמט אירועים נפוץ).

שימוש ב-Forcepoint Security Manager

  1. נכנסים אל Forcepoint Security Manager באמצעות פרטי כניסה של אדמין.
  2. עוברים אל הגדרות > רישום ביומן.
  3. בחלונית הניווט שמימין, בוחרים באפשרות שרתי יומנים.
  4. כדי ליצור הגדרה חדשה של שרת יומן, לוחצים על הוספה.
  5. מזינים את פרטי ההגדרה הבאים:
    • סוג השרת: בוחרים באפשרות שרת Syslog או שרת CEF.
    • שם: מזינים שם תיאורי (לדוגמה, Google Security Operations Bindplane CEF).
    • מארח: מזינים את כתובת ה-IP או את שם המארח של סוכן Bindplane.
    • יציאה: מזינים את מספר היציאה של סוכן Bindplane (לדוגמה, 514).
    • פרוטוקול: בוחרים את הפרוטוקול שמתאים להגדרה של Bindplane:
      • בוחרים באפשרות TCP אם הגדרתם את מקלט tcplog ב-Bindplane (מומלץ).
      • בוחרים באפשרות UDP אם הגדרתם את מקלט udplog ב-Bindplane.
    • פורמט: בוחרים באפשרות CEF (פורמט אירועים נפוץ).
    • מתקן: בוחרים באפשרות Local0 (או מתקן זמין אחר).
    • חומרה: בוחרים באפשרות מידע (כדי לתעד את כל רמות היומן).
  6. בקטע קטגוריות של יומנים או סוגי אירועים, בוחרים את האירועים להעברה:
    • יומני גישה לאינטרנט (יומני טרנזקציות)
    • אירועי אבטחה (זיהוי איומים)
    • אירועי אימות (התחברות או יציאה של משתמשים)
    • אירועי מערכת (שינויים במערכת ובהגדרות)
    • אפשר גם לבחור באפשרות כל האירועים כדי להעביר את כל סוגי היומנים שזמינים.
  7. אופציונלי: קובעים הגדרות נוספות:
    • גודל האצווה: מגדירים את הערך 1 להעברה בזמן אמת או ערך גבוה יותר לעיבוד באצווה.
    • פורמט ההודעה: מוודאים שפורמט CEF נבחר.
    • כולל פרטי משתמש: מפעילים את האפשרות כדי לכלול את זהות המשתמש ביומנים.
  8. לוחצים על בדיקת החיבור כדי לוודא שיש קישוריות לסוכן Bindplane.
  9. לוחצים על שמירה כדי להחיל את ההגדרה.
  10. לוחצים על Deploy (פריסה) כדי לדחוף את ההגדרה לכל שער Forcepoint Web Security.

שימוש ב-Forcepoint Web Security Appliance (הגדרה ישירה)

אם אתם מבצעים את ההגדרה ישירות במכשיר:

  1. נכנסים לממשק הניהול של Forcepoint Web Security Appliance.
  2. עוברים אל מערכת > שרת יומנים.
  3. לוחצים על הוספה או על עריכה כדי ליצור או לשנות שרת יומן.
  4. מזינים את פרטי ההגדרה הבאים:
    • כתובת השרת: מזינים את כתובת ה-IP של סוכן Bindplane.
    • יציאה: מזינים 514 (או יציאה מותאמת אישית).
    • Protocol: בוחרים באפשרות TCP או UDP בהתאם להגדרות של Bindplane.
    • פורמט: בוחרים באפשרות CEF או Common Event Format.
    • מתקן: בוחרים באפשרות Local0.
  5. בקטע סוגי יומנים, בוחרים את היומנים שרוצים להעביר:
    • יומני גישה
    • יומני אבטחה
    • יומני אדמין
  6. לוחצים על אישור או על שמירה.
  7. אם משתמשים בכמה מכשירים, צריך לחזור על ההגדרה הזו בכל מכשיר.

טבלת מיפוי UDM

שדה היומן מיפוי UDM לוגיקה
action security_result.summary אם action_msg לא ריק, הוא ממופה ל-security_result.summary. אחרת, אם action לא ריק, הוא ממופה ל-security_result.summary. אחרת, אם act לא ריק, הוא ממופה ל-security_result.summary.
action_msg security_result.summary אם action_msg לא ריק, הוא ממופה ל-security_result.summary. אחרת, אם action לא ריק, הוא ממופה ל-security_result.summary. אחרת, אם act לא ריק, הוא ממופה ל-security_result.summary.
app target.application אם destinationServiceName לא ריק, הוא ממופה ל-app_name. אחרת, אם app לא ריק ולא מכיל http או HTTP, הוא ממופה ל-app_name. לבסוף, app_name ממופה לכתובת target.application.
bytes_in network.received_bytes אם in לא ריק, הוא ממופה ל-bytes_in. לבסוף, bytes_in ממופה לכתובת network.received_bytes.
bytes_out network.sent_bytes אם out לא ריק, הוא ממופה ל-bytes_out. לבסוף, bytes_out ממופה לכתובת network.sent_bytes.
cat security_result.category_details אם cat לא ריק, הוא ממופה ל-category. לבסוף, category ממופה לכתובת security_result.category_details.
category_no security_result.detection_fields.value אם category_no לא ריק, הוא ממופה ל-security_result.detection_fields.value עם המפתח Category Number.
cn1 security_result.detection_fields.value אם cn1 לא ריק, הוא ממופה ל-security_result.detection_fields.value עם המפתח Disposition Number.
ContentType target.file.mime_type אם contentType לא ריק, הוא ממופה ל-ContentType. לבסוף, ContentType ממופה לכתובת target.file.mime_type.
cs1 target_role.description cs1 ממופה ל-target_role.description.
cs2 security_result.category_details אם cs2 לא ריק ולא 0, הוא ממופה ל-security_result.category_details עם הקידומת Dynamic Category:.
cs3 target.file.mime_type cs3 ממופה ל-target.file.mime_type.
description metadata.description אם description לא ריק, הוא ממופה ל-metadata.description.
destinationServiceName target.application אם destinationServiceName לא ריק, הוא ממופה ל-app_name. לבסוף, app_name ממופה לכתובת target.application.
deviceFacility metadata.product_event_type אם הערכים של product_event ושל deviceFacility לא ריקים, הם משורשרים עם - וממופים ל-metadata.product_event_type. אחרת, product_event ממופה ל-metadata.product_event_type.
disposition security_result.detection_fields.value אם disposition לא ריק, הוא ממופה ל-security_result.detection_fields.value עם המפתח Disposition Number.
dst target.ip אם dst לא ריק ו-dvchost ריק, הוא ממופה ל-dst_ip. לבסוף, dst_ip ממופה לכתובת target.ip.
dst_host target.hostname אם dst לא ריק ו-dvchost ריק, הוא ממופה ל-dst_host. לבסוף, dst_host ממופה לכתובת target.hostname.
dst_ip target.ip אם dst לא ריק ו-dvchost ריק, הוא ממופה ל-dst_ip. לבסוף, dst_ip ממופה לכתובת target.ip.
dst_port target.port אם dst לא ריק ו-dvchost ריק, הוא ממופה ל-dst_port. לבסוף, dst_port ממופה לכתובת target.port.
duration network.session_duration.seconds אם duration לא ריק ולא 0, הוא ממופה ל-network.session_duration.seconds.
dvchost intermediary.ip אם dvchost לא ריק, הוא ממופה ל-int_ip. לבסוף, int_ip ממופה ל-intermediary.ip אם זו כתובת IP תקינה, אחרת היא ממופה ל-intermediary.hostname.
file_path target.file.full_path אם file_path לא ריק, הוא ממופה ל-target.file.full_path.
host principal.ip אם host לא ריק, הוא ממופה ל-src. לבסוף, src ממופה לכתובת principal.ip.
http_method network.http.method אם requestMethod לא ריק, הוא ממופה ל-http_method. אחרת, אם method לא ריק, הוא ממופה ל-http_method. לבסוף, http_method ממופה לכתובת network.http.method.
http_proxy_status_code network.http.response_code אם http_response ריק או 0 או -, ו-http_proxy_status_code לא ריק, הוא ממופה ל-network.http.response_code.
http_response network.http.response_code אם http_response לא ריק, לא 0 ולא -, הוא ממופה ל-network.http.response_code.
http_user_agent network.http.user_agent אם http_user_agent לא ריק ולא -, הוא ממופה ל-network.http.user_agent.
in network.received_bytes אם in לא ריק, הוא ממופה ל-bytes_in. לבסוף, bytes_in ממופה לכתובת network.received_bytes.
int_host intermediary.hostname אם התא int_ip לא ריק והתא int_host לא ריק ושונה מ-int_ip, הוא ממופה ל-intermediary.hostname.
int_ip intermediary.ip אם dvchost לא ריק, הוא ממופה ל-int_ip. לבסוף, int_ip ממופה ל-intermediary.ip אם זו כתובת IP תקינה, אחרת היא ממופה ל-intermediary.hostname.
level target_role.name אם level לא ריק ו-role ריק, הוא ממופה ל-role. לבסוף, role ממופה לכתובת target_role.name.
log_level security_result.severity אם severity הוא 1 או log_level מכיל info או message מכיל notice, הערך של security_result.severity מוגדר ל-INFORMATIONAL. אם severity הוא 7, הערך של security_result.severity מוגדר כ-HIGH.
loginID principal.user.userid אם loginID לא ריק, הוא ממופה ל-user. לבסוף, אם user לא ריק ולא -, ולא מכיל LDAP, הוא ממופה ל-principal.user.userid.
method network.http.method אם requestMethod לא ריק, הוא ממופה ל-http_method. אחרת, אם method לא ריק, הוא ממופה ל-http_method. לבסוף, http_method ממופה לכתובת network.http.method.
NatRuleId security_result.detection_fields.value אם NatRuleId לא ריק, הוא ממופה ל-security_result.detection_fields.value עם המפתח NatRuleId.
out network.sent_bytes אם out לא ריק, הוא ממופה ל-bytes_out. לבסוף, bytes_out ממופה לכתובת network.sent_bytes.
pid target.process.pid אם pid לא ריק, הוא ממופה ל-target.process.pid.
policy target_role.description אם Policy לא ריק, הוא ממופה ל-policy. אם policy לא ריק ולא -, הוא ממופה ל-target_role.description.
Policy target_role.description אם Policy לא ריק, הוא ממופה ל-policy. אם policy לא ריק ולא -, הוא ממופה ל-target_role.description.
product_event metadata.product_event_type אם product לא ריק, הוא ממופה ל-product_event. אם הערכים של product_event ושל deviceFacility לא ריקים, הם משורשרים עם - וממופים ל-metadata.product_event_type. אחרת, product_event ממופה ל-metadata.product_event_type.
proxyStatus-code network.http.response_code אם המדיניות http_response ריקה או מוגדרת לערך 0 או -, והמדיניות http_proxy_status_code ריקה והמדיניות proxyStatus-code לא ריקה, המדיניות http_response ממופה למדיניות network.http.response_code.
refererUrl network.http.referral_url אם refererUrl לא ריק ולא -, הוא ממופה ל-network.http.referral_url.
requestClientApplication network.http.user_agent אם requestMethod לא ריק, הוא ממופה ל-http_user_agent. לבסוף, http_user_agent ממופה לכתובת network.http.user_agent.
requestMethod network.http.method אם requestMethod לא ריק, הוא ממופה ל-http_method. לבסוף, http_method ממופה לכתובת network.http.method.
role target_role.name אם level לא ריק ו-role ריק, הוא ממופה ל-role. לבסוף, role ממופה לכתובת target_role.name.
RuleID security_result.rule_id אם RuleID לא ריק, הוא ממופה ל-security_result.rule_id.
serverStatus-code network.http.response_code אם המדיניות http_response ריקה או מוגדרת לערך 0 או -, והמדיניות http_proxy_status_code ריקה והמדיניות proxyStatus-code לא ריקה, המדיניות http_response ממופה למדיניות network.http.response_code.
severity security_result.severity אם severity הוא 1 או log_level מכיל info או message מכיל notice, הערך של security_result.severity מוגדר ל-INFORMATIONAL. אם severity הוא 7, הערך של security_result.severity מוגדר כ-HIGH.
spt principal.port אם spt לא ריק, הוא ממופה ל-src_port. לבסוף, src_port ממופה לכתובת principal.port.
src principal.ip אם src_host לא ריק, הוא ממופה ל-source_ip_temp. אם source_ip_temp היא כתובת IP תקינה ו-src ריקה, היא ממופה ל-src. אם host לא ריק, הוא ממופה ל-src. לבסוף, src ממופה לכתובת principal.ip.
src_host principal.hostname אם src_host לא ריק, הוא ממופה ל-source_ip_temp. אם source_ip_temp היא לא כתובת IP תקינה, היא ממופה ל-principal.hostname. אם source_ip_temp היא כתובת IP תקינה ו-src ריקה, היא ממופה ל-src. לבסוף, src ממופה לכתובת principal.ip.
src_port principal.port אם src_port לא ריק, הוא ממופה ל-principal.port.
suser principal.user.userid אם loginID לא ריק, הוא ממופה ל-user. אם suser לא ריק, הוא ממופה ל-user. לבסוף, אם user לא ריק ולא -, ולא מכיל LDAP, הוא ממופה ל-principal.user.userid.
url target.url אם url לא ריק, הוא ממופה ל-target.url.
user principal.user.userid אם loginID לא ריק, הוא ממופה ל-user. אם suser לא ריק, הוא ממופה ל-user. אחרת, אם usrName לא ריק, הוא ממופה ל-user. לבסוף, אם user לא ריק ולא -, ולא מכיל LDAP, הוא ממופה ל-principal.user.userid.
usrName principal.user.userid אם loginID לא ריק, הוא ממופה ל-user. אם suser לא ריק, הוא ממופה ל-user. אחרת, אם usrName לא ריק, הוא ממופה ל-user. לבסוף, אם user לא ריק ולא -, ולא מכיל LDAP, הוא ממופה ל-principal.user.userid.
when metadata.event_timestamp אם הערך של when לא ריק, הוא מנותח וממופה ל-metadata.event_timestamp.
לא רלוונטי metadata.log_type הערך FORCEPOINT_WEBPROXY מוטמע ב-metadata.log_type.
לא רלוונטי metadata.product_name הערך Forcepoint Webproxy מוטמע ב-metadata.product_name.
לא רלוונטי metadata.vendor_name הערך Forcepoint מוטמע ב-metadata.vendor_name.
לא רלוונטי network.application_protocol אם dst_port הוא 80, הערך של network.application_protocol מוגדר כ-HTTP. אם dst_port הוא 443, הערך של network.application_protocol מוגדר כ-HTTPS.
לא רלוונטי principal.user.group_identifiers אם user לא ריק ולא - ומכיל LDAP, החלק של היחידה הארגונית במחרוזת המשתמש מחולץ וממופה ל-principal.user.group_identifiers.
לא רלוונטי principal.user.user_display_name אם user לא ריק ולא - ומכיל LDAP, המערכת מחלצת את החלק של שם המשתמש ממחרוזת המשתמש וממפה אותו ל-principal.user.user_display_name.
לא רלוונטי security_result.action אם הערכים של action_msg,‏ action או act לא ריקים, הערך של sec_action מוגדר ל-ALLOW או ל-BLOCK בהתאם לערכים שלהם. לבסוף, sec_action ממופה לכתובת security_result.action.
לא רלוונטי security_result.detection_fields.key הערך Disposition Number מוטמע בקידוד ב-security_result.detection_fields.key כשממפים disposition או cn1. הערך NatRuleId מוטמע בקידוד של security_result.detection_fields.key כשממפים את NatRuleId. הערך Category Number מוטמע בקידוד של security_result.detection_fields.key כשממפים את category_no.
reason event.idm.read_only_udm.security_result.detection_fields מופה מיומן השינויים
extension event.idm.read_only_udm.target.process.file.mime_type מופה מיומן השינויים
filetype event.idm.read_only_udm.target.file.mime_type מופה מיומן השינויים
method event.idm.read_only_udm.network.http.method מופה מיומן השינויים
received_bytes event.idm.read_only_udm.network.received_bytes מופה מיומן השינויים
sent_bytes event.idm.read_only_udm.network.sent_bytes מופה מיומן השינויים
response_code event.idm.read_only_udm.network.http.response_code מופה מיומן השינויים
region event.idm.read_only_udm.principal.location.country_or_region מופה מיומן השינויים
protocol event.idm.read_only_udm.network.application_protocol מופה מיומן השינויים
sec_description event.idm.read_only_udm.security_result.description מופה מיומן השינויים
version event.idm.read_only_udm.network.http.user_agent מופה מיומן השינויים
city event.idm.read_only_udm.principal.location.city מופה מיומן השינויים
turl event.idm.read_only_udm.target.url מופה מיומן השינויים
userid event.idm.read_only_udm.principal.user.userid מופה מיומן השינויים
email event.idm.read_only_udm.principal.user.email_addresses מופה מיומן השינויים
_action event.idm.read_only_udm.security_result.action מופה מיומן השינויים
descrip event.idm.read_only_udm.metadata.description מופה מיומן השינויים
status event.idm.read_only_udm.security_result.action_details מופה מיומן השינויים
appname event.idm.read_only_udm.principal.application מופה מיומן השינויים
tip event.idm.read_only_udm.target.ip מופה מיומן השינויים
tip event.idm.read_only_udm.target.asset.ip מופה מיומן השינויים
pip event.idm.read_only_udm.principal.ip מופה מיומן השינויים
pip event.idm.read_only_udm.principal.asset.ip מופה מיומן השינויים
p_ip event.idm.read_only_udm.principal.ip מופה מיומן השינויים
p_ip event.idm.read_only_udm.principal.asset.ip מופה מיומן השינויים
log_timestamp event.idm.read_only_udm.metadata.event_timestamp מופה מיומן השינויים
port event.idm.read_only_udm.target.port מופה מיומן השינויים
status event.idm.read_only_udm.security_result.action מופה מיומן השינויים
dhost event.idm.read_only_udm.target.hostname מופה מיומן השינויים
rt event.timestamp מופה מיומן השינויים
host-url principal.url מופה מיומן השינויים
cs-uri target.url מופה מיומן השינויים
cs-uri-query" , "time-taken" , "filter-category" , "cs-uri-path" , "cs-uri-extension" and "rs_content_type additional.fields מופה מיומן השינויים
cs-auth-group principal.user_group_identifiers מופה מיומן השינויים
cs-method network.http.method מופה מיומן השינויים
sc-status response_code מופה מיומן השינויים
s-action security_result.detection_fields מופה מיומן השינויים
srcport principal.port מופה מיומן השינויים
dstport target.port מופה מיומן השינויים
sc-bytes network.received_bytes מופה מיומן השינויים
cs-bytes network.sent_bytes מופה מיומן השינויים
cs_referer network.http.referral_url מופה מיומן השינויים
cs-host target.hostname מופה מיומן השינויים

שנה רישום

צפייה ביומן השינויים של כלי הניתוח הזה

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.