איסוף יומנים של Forcepoint Web Security
גרסת מנתח הנתונים: 12.0
במאמר הזה מוסבר איך להטמיע יומנים של Forcepoint Web Security ב-Google Security Operations באמצעות סוכן Bindplane.
Forcepoint Web Security הוא שרת proxy לאינטרנט ושער אבטחה שמפיק הודעות syslog בפורמט CEF (פורמט אירועים נפוץ) לגישה לאינטרנט, לאירועי אבטחה, לאימות ולאכיפת מדיניות. הכלי לניתוח מחלץ שדות מיומנים בפורמט CEF ו-syslog וממפה אותם למודל הנתונים המאוחד (UDM).
לפני שמתחילים
חשוב לוודא שמתקיימות הדרישות המוקדמות הבאות:
- מופע של Google SecOps
- Windows Server 2016 ואילך, או מארח Linux עם
systemd - קישוריות רשת בין סוכן Bindplane לבין Forcepoint Web Security
- אם מריצים את הסוכן מאחורי שרת proxy, מוודאים שיציאות חומת האש פתוחות בהתאם לדרישות של סוכן Bindplane
- הרשאת אדמין ל-Forcepoint Security Manager או לממשק הניהול של מכשיר
קבלת קובץ אימות להטמעת נתונים ב-Google SecOps
- נכנסים למסוף Google SecOps.
- עוברים אל SIEM Settings > Collection Agents (הגדרות SIEM > סוכני איסוף).
- מורידים את קובץ האימות להטמעת נתונים.
שומרים את הקובץ בצורה מאובטחת במערכת שבה יותקן סוכן Bindplane.
איך מקבלים את מספר הלקוח ב-Google SecOps
- נכנסים למסוף Google SecOps.
- עוברים אל SIEM Settings > Profile (הגדרות SIEM > פרופיל).
מעתיקים את מזהה הלקוח מהקטע פרטי הארגון ושומרים אותו.
התקנת סוכן Bindplane
מתקינים את סוכן Bindplane במערכת ההפעלה Windows או Linux לפי ההוראות הבאות.
התקנת Windows
- פותחים את שורת הפקודה או את PowerShell כאדמין.
מריצים את הפקודה הבאה:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietמחכים שההתקנה תסתיים.
כדי לוודא שההתקנה בוצעה, מריצים את הפקודה:
sc query observiq-otel-collectorהשירות אמור להופיע עם הערך RUNNING.
התקנה של Linux
- פותחים טרמינל עם הרשאות root או sudo.
מריצים את הפקודה הבאה:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shמחכים שההתקנה תסתיים.
כדי לוודא שההתקנה בוצעה, מריצים את הפקודה:
sudo systemctl status observiq-otel-collectorהשירות צריך להופיע כפעיל (פועל).
מקורות מידע נוספים להתקנה
אפשרויות התקנה נוספות ופתרון בעיות מפורטים במדריך להתקנת סוכן Bindplane.
הגדרה של סוכן Bindplane להטמעה של syslog ושליחה אל Google SecOps
אפשר להגדיר את סוכן Bindplane לקבלת הודעות syslog דרך TCP (מומלץ) או UDP.
איתור קובץ התצורה
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
עריכת קובץ התצורה
מחליפים את כל התוכן של config.yaml בהגדרות של הפרוטוקול שבחרתם:
אפשרות א': הגדרת TCP (מומלץ)
receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/forcepoint_webproxy: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: FORCEPOINT_WEBPROXY raw_log_field: body service: pipelines: logs/forcepoint_tcp_to_chronicle: receivers: - tcplog exporters: - chronicle/forcepoint_webproxyאפשרות ב': הגדרת UDP
receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/forcepoint_webproxy: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: FORCEPOINT_WEBPROXY raw_log_field: body service: pipelines: logs/forcepoint_udp_to_chronicle: receivers: - udplog exporters: - chronicle/forcepoint_webproxy
פרמטרים להגדרה
מחליפים את ה-placeholders הבאים:
הגדרת מקלט:
-
listen_address: כתובת ה-IP והיציאה להאזנה:-
0.0.0.0כדי להאזין בכל הממשקים (מומלץ) - יציאה
514היא יציאת syslog רגילה (נדרשת הרשאת root ב-Linux; אפשר להשתמש ביציאה1514ללא הרשאת root)
-
-
הגדרות של הכלי לייצוא:
-
creds_file_path: הנתיב המלא לקובץ האימות להטמעת נתונים:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
-
customer_id: מספר הלקוח שהועתק ממסוף Google SecOps endpoint: Regional endpoint URL:- ארה"ב:
malachiteingestion-pa.googleapis.com - אירופה:
europe-malachiteingestion-pa.googleapis.com - אסיה:
asia-southeast1-malachiteingestion-pa.googleapis.com - רשימה מלאה מופיעה במאמר בנושא נקודות קצה אזוריות.
- ארה"ב:
-
שמירת קובץ ההגדרות
- אחרי שמסיימים לערוך, שומרים את הקובץ:
- Linux: מקישים על
Ctrl+O, אחר כך עלEnterואז עלCtrl+X - Windows: לוחצים על קובץ > שמירה.
- Linux: מקישים על
מפעילים מחדש את סוכן Bindplane כדי להחיל את השינויים.
כדי להפעיל מחדש את סוכן Bindplane ב-Linux, מריצים את הפקודה הבאה:
sudo systemctl restart observiq-otel-collectorמוודאים שהשירות פועל:
sudo systemctl status observiq-otel-collectorבודקים אם יש שגיאות ביומנים:
sudo journalctl -u observiq-otel-collector -f
כדי להפעיל מחדש את סוכן Bindplane ב-Windows, בוחרים באחת מהאפשרויות הבאות:
שורת פקודה או PowerShell כאדמין:
net stop observiq-otel-collector && net start observiq-otel-collectorמסוף השירותים:
- מקישים על
Win+R, מקלידיםservices.mscומקישים על Enter. - מחפשים את observIQ OpenTelemetry Collector.
- לוחצים לחיצה ימנית ובוחרים באפשרות הפעלה מחדש.
מוודאים שהשירות פועל:
sc query observiq-otel-collectorבודקים אם יש שגיאות ביומנים:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- מקישים על
הגדרת העברת syslog ב-Forcepoint Web Security
מגדירים את Forcepoint Web Security להעברת יומנים לסוכן Bindplane בפורמט CEF (פורמט אירועים נפוץ).
שימוש ב-Forcepoint Security Manager
- נכנסים אל Forcepoint Security Manager באמצעות פרטי כניסה של אדמין.
- עוברים אל הגדרות > רישום ביומן.
- בחלונית הניווט שמימין, בוחרים באפשרות שרתי יומנים.
- כדי ליצור הגדרה חדשה של שרת יומן, לוחצים על הוספה.
- מזינים את פרטי ההגדרה הבאים:
- סוג השרת: בוחרים באפשרות שרת Syslog או שרת CEF.
- שם: מזינים שם תיאורי (לדוגמה,
Google Security Operations Bindplane CEF). - מארח: מזינים את כתובת ה-IP או את שם המארח של סוכן Bindplane.
- יציאה: מזינים את מספר היציאה של סוכן Bindplane (לדוגמה,
514). - פרוטוקול: בוחרים את הפרוטוקול שמתאים להגדרה של Bindplane:
- בוחרים באפשרות TCP אם הגדרתם את מקלט
tcplogב-Bindplane (מומלץ). - בוחרים באפשרות UDP אם הגדרתם את מקלט
udplogב-Bindplane.
- בוחרים באפשרות TCP אם הגדרתם את מקלט
- פורמט: בוחרים באפשרות CEF (פורמט אירועים נפוץ).
- מתקן: בוחרים באפשרות Local0 (או מתקן זמין אחר).
- חומרה: בוחרים באפשרות מידע (כדי לתעד את כל רמות היומן).
- בקטע קטגוריות של יומנים או סוגי אירועים, בוחרים את האירועים להעברה:
- יומני גישה לאינטרנט (יומני טרנזקציות)
- אירועי אבטחה (זיהוי איומים)
- אירועי אימות (התחברות או יציאה של משתמשים)
- אירועי מערכת (שינויים במערכת ובהגדרות)
- אפשר גם לבחור באפשרות כל האירועים כדי להעביר את כל סוגי היומנים שזמינים.
- אופציונלי: קובעים הגדרות נוספות:
- גודל האצווה: מגדירים את הערך
1להעברה בזמן אמת או ערך גבוה יותר לעיבוד באצווה. - פורמט ההודעה: מוודאים שפורמט CEF נבחר.
- כולל פרטי משתמש: מפעילים את האפשרות כדי לכלול את זהות המשתמש ביומנים.
- גודל האצווה: מגדירים את הערך
- לוחצים על בדיקת החיבור כדי לוודא שיש קישוריות לסוכן Bindplane.
- לוחצים על שמירה כדי להחיל את ההגדרה.
- לוחצים על Deploy (פריסה) כדי לדחוף את ההגדרה לכל שער Forcepoint Web Security.
שימוש ב-Forcepoint Web Security Appliance (הגדרה ישירה)
אם אתם מבצעים את ההגדרה ישירות במכשיר:
- נכנסים לממשק הניהול של Forcepoint Web Security Appliance.
- עוברים אל מערכת > שרת יומנים.
- לוחצים על הוספה או על עריכה כדי ליצור או לשנות שרת יומן.
- מזינים את פרטי ההגדרה הבאים:
- כתובת השרת: מזינים את כתובת ה-IP של סוכן Bindplane.
- יציאה: מזינים
514(או יציאה מותאמת אישית). - Protocol: בוחרים באפשרות TCP או UDP בהתאם להגדרות של Bindplane.
- פורמט: בוחרים באפשרות CEF או Common Event Format.
- מתקן: בוחרים באפשרות Local0.
- בקטע סוגי יומנים, בוחרים את היומנים שרוצים להעביר:
- יומני גישה
- יומני אבטחה
- יומני אדמין
- לוחצים על אישור או על שמירה.
- אם משתמשים בכמה מכשירים, צריך לחזור על ההגדרה הזו בכל מכשיר.
טבלת מיפוי UDM
| שדה היומן | מיפוי UDM | לוגיקה |
|---|---|---|
action |
security_result.summary |
אם action_msg לא ריק, הוא ממופה ל-security_result.summary. אחרת, אם action לא ריק, הוא ממופה ל-security_result.summary. אחרת, אם act לא ריק, הוא ממופה ל-security_result.summary. |
action_msg |
security_result.summary |
אם action_msg לא ריק, הוא ממופה ל-security_result.summary. אחרת, אם action לא ריק, הוא ממופה ל-security_result.summary. אחרת, אם act לא ריק, הוא ממופה ל-security_result.summary. |
app |
target.application |
אם destinationServiceName לא ריק, הוא ממופה ל-app_name. אחרת, אם app לא ריק ולא מכיל http או HTTP, הוא ממופה ל-app_name. לבסוף, app_name ממופה לכתובת target.application. |
bytes_in |
network.received_bytes |
אם in לא ריק, הוא ממופה ל-bytes_in. לבסוף, bytes_in ממופה לכתובת network.received_bytes. |
bytes_out |
network.sent_bytes |
אם out לא ריק, הוא ממופה ל-bytes_out. לבסוף, bytes_out ממופה לכתובת network.sent_bytes. |
cat |
security_result.category_details |
אם cat לא ריק, הוא ממופה ל-category. לבסוף, category ממופה לכתובת security_result.category_details. |
category_no |
security_result.detection_fields.value |
אם category_no לא ריק, הוא ממופה ל-security_result.detection_fields.value עם המפתח Category Number. |
cn1 |
security_result.detection_fields.value |
אם cn1 לא ריק, הוא ממופה ל-security_result.detection_fields.value עם המפתח Disposition Number. |
ContentType |
target.file.mime_type |
אם contentType לא ריק, הוא ממופה ל-ContentType. לבסוף, ContentType ממופה לכתובת target.file.mime_type. |
cs1 |
target_role.description |
cs1 ממופה ל-target_role.description. |
cs2 |
security_result.category_details |
אם cs2 לא ריק ולא 0, הוא ממופה ל-security_result.category_details עם הקידומת Dynamic Category:. |
cs3 |
target.file.mime_type |
cs3 ממופה ל-target.file.mime_type. |
description |
metadata.description |
אם description לא ריק, הוא ממופה ל-metadata.description. |
destinationServiceName |
target.application |
אם destinationServiceName לא ריק, הוא ממופה ל-app_name. לבסוף, app_name ממופה לכתובת target.application. |
deviceFacility |
metadata.product_event_type |
אם הערכים של product_event ושל deviceFacility לא ריקים, הם משורשרים עם - וממופים ל-metadata.product_event_type. אחרת, product_event ממופה ל-metadata.product_event_type. |
disposition |
security_result.detection_fields.value |
אם disposition לא ריק, הוא ממופה ל-security_result.detection_fields.value עם המפתח Disposition Number. |
dst |
target.ip |
אם dst לא ריק ו-dvchost ריק, הוא ממופה ל-dst_ip. לבסוף, dst_ip ממופה לכתובת target.ip. |
dst_host |
target.hostname |
אם dst לא ריק ו-dvchost ריק, הוא ממופה ל-dst_host. לבסוף, dst_host ממופה לכתובת target.hostname. |
dst_ip |
target.ip |
אם dst לא ריק ו-dvchost ריק, הוא ממופה ל-dst_ip. לבסוף, dst_ip ממופה לכתובת target.ip. |
dst_port |
target.port |
אם dst לא ריק ו-dvchost ריק, הוא ממופה ל-dst_port. לבסוף, dst_port ממופה לכתובת target.port. |
duration |
network.session_duration.seconds |
אם duration לא ריק ולא 0, הוא ממופה ל-network.session_duration.seconds. |
dvchost |
intermediary.ip |
אם dvchost לא ריק, הוא ממופה ל-int_ip. לבסוף, int_ip ממופה ל-intermediary.ip אם זו כתובת IP תקינה, אחרת היא ממופה ל-intermediary.hostname. |
file_path |
target.file.full_path |
אם file_path לא ריק, הוא ממופה ל-target.file.full_path. |
host |
principal.ip |
אם host לא ריק, הוא ממופה ל-src. לבסוף, src ממופה לכתובת principal.ip. |
http_method |
network.http.method |
אם requestMethod לא ריק, הוא ממופה ל-http_method. אחרת, אם method לא ריק, הוא ממופה ל-http_method. לבסוף, http_method ממופה לכתובת network.http.method. |
http_proxy_status_code |
network.http.response_code |
אם http_response ריק או 0 או -, ו-http_proxy_status_code לא ריק, הוא ממופה ל-network.http.response_code. |
http_response |
network.http.response_code |
אם http_response לא ריק, לא 0 ולא -, הוא ממופה ל-network.http.response_code. |
http_user_agent |
network.http.user_agent |
אם http_user_agent לא ריק ולא -, הוא ממופה ל-network.http.user_agent. |
in |
network.received_bytes |
אם in לא ריק, הוא ממופה ל-bytes_in. לבסוף, bytes_in ממופה לכתובת network.received_bytes. |
int_host |
intermediary.hostname |
אם התא int_ip לא ריק והתא int_host לא ריק ושונה מ-int_ip, הוא ממופה ל-intermediary.hostname. |
int_ip |
intermediary.ip |
אם dvchost לא ריק, הוא ממופה ל-int_ip. לבסוף, int_ip ממופה ל-intermediary.ip אם זו כתובת IP תקינה, אחרת היא ממופה ל-intermediary.hostname. |
level |
target_role.name |
אם level לא ריק ו-role ריק, הוא ממופה ל-role. לבסוף, role ממופה לכתובת target_role.name. |
log_level |
security_result.severity |
אם severity הוא 1 או log_level מכיל info או message מכיל notice, הערך של security_result.severity מוגדר ל-INFORMATIONAL. אם severity הוא 7, הערך של security_result.severity מוגדר כ-HIGH. |
loginID |
principal.user.userid |
אם loginID לא ריק, הוא ממופה ל-user. לבסוף, אם user לא ריק ולא -, ולא מכיל LDAP, הוא ממופה ל-principal.user.userid. |
method |
network.http.method |
אם requestMethod לא ריק, הוא ממופה ל-http_method. אחרת, אם method לא ריק, הוא ממופה ל-http_method. לבסוף, http_method ממופה לכתובת network.http.method. |
NatRuleId |
security_result.detection_fields.value |
אם NatRuleId לא ריק, הוא ממופה ל-security_result.detection_fields.value עם המפתח NatRuleId. |
out |
network.sent_bytes |
אם out לא ריק, הוא ממופה ל-bytes_out. לבסוף, bytes_out ממופה לכתובת network.sent_bytes. |
pid |
target.process.pid |
אם pid לא ריק, הוא ממופה ל-target.process.pid. |
policy |
target_role.description |
אם Policy לא ריק, הוא ממופה ל-policy. אם policy לא ריק ולא -, הוא ממופה ל-target_role.description. |
Policy |
target_role.description |
אם Policy לא ריק, הוא ממופה ל-policy. אם policy לא ריק ולא -, הוא ממופה ל-target_role.description. |
product_event |
metadata.product_event_type |
אם product לא ריק, הוא ממופה ל-product_event. אם הערכים של product_event ושל deviceFacility לא ריקים, הם משורשרים עם - וממופים ל-metadata.product_event_type. אחרת, product_event ממופה ל-metadata.product_event_type. |
proxyStatus-code |
network.http.response_code |
אם המדיניות http_response ריקה או מוגדרת לערך 0 או -, והמדיניות http_proxy_status_code ריקה והמדיניות proxyStatus-code לא ריקה, המדיניות http_response ממופה למדיניות network.http.response_code. |
refererUrl |
network.http.referral_url |
אם refererUrl לא ריק ולא -, הוא ממופה ל-network.http.referral_url. |
requestClientApplication |
network.http.user_agent |
אם requestMethod לא ריק, הוא ממופה ל-http_user_agent. לבסוף, http_user_agent ממופה לכתובת network.http.user_agent. |
requestMethod |
network.http.method |
אם requestMethod לא ריק, הוא ממופה ל-http_method. לבסוף, http_method ממופה לכתובת network.http.method. |
role |
target_role.name |
אם level לא ריק ו-role ריק, הוא ממופה ל-role. לבסוף, role ממופה לכתובת target_role.name. |
RuleID |
security_result.rule_id |
אם RuleID לא ריק, הוא ממופה ל-security_result.rule_id. |
serverStatus-code |
network.http.response_code |
אם המדיניות http_response ריקה או מוגדרת לערך 0 או -, והמדיניות http_proxy_status_code ריקה והמדיניות proxyStatus-code לא ריקה, המדיניות http_response ממופה למדיניות network.http.response_code. |
severity |
security_result.severity |
אם severity הוא 1 או log_level מכיל info או message מכיל notice, הערך של security_result.severity מוגדר ל-INFORMATIONAL. אם severity הוא 7, הערך של security_result.severity מוגדר כ-HIGH. |
spt |
principal.port |
אם spt לא ריק, הוא ממופה ל-src_port. לבסוף, src_port ממופה לכתובת principal.port. |
src |
principal.ip |
אם src_host לא ריק, הוא ממופה ל-source_ip_temp. אם source_ip_temp היא כתובת IP תקינה ו-src ריקה, היא ממופה ל-src. אם host לא ריק, הוא ממופה ל-src. לבסוף, src ממופה לכתובת principal.ip. |
src_host |
principal.hostname |
אם src_host לא ריק, הוא ממופה ל-source_ip_temp. אם source_ip_temp היא לא כתובת IP תקינה, היא ממופה ל-principal.hostname. אם source_ip_temp היא כתובת IP תקינה ו-src ריקה, היא ממופה ל-src. לבסוף, src ממופה לכתובת principal.ip. |
src_port |
principal.port |
אם src_port לא ריק, הוא ממופה ל-principal.port. |
suser |
principal.user.userid |
אם loginID לא ריק, הוא ממופה ל-user. אם suser לא ריק, הוא ממופה ל-user. לבסוף, אם user לא ריק ולא -, ולא מכיל LDAP, הוא ממופה ל-principal.user.userid. |
url |
target.url |
אם url לא ריק, הוא ממופה ל-target.url. |
user |
principal.user.userid |
אם loginID לא ריק, הוא ממופה ל-user. אם suser לא ריק, הוא ממופה ל-user. אחרת, אם usrName לא ריק, הוא ממופה ל-user. לבסוף, אם user לא ריק ולא -, ולא מכיל LDAP, הוא ממופה ל-principal.user.userid. |
usrName |
principal.user.userid |
אם loginID לא ריק, הוא ממופה ל-user. אם suser לא ריק, הוא ממופה ל-user. אחרת, אם usrName לא ריק, הוא ממופה ל-user. לבסוף, אם user לא ריק ולא -, ולא מכיל LDAP, הוא ממופה ל-principal.user.userid. |
when |
metadata.event_timestamp |
אם הערך של when לא ריק, הוא מנותח וממופה ל-metadata.event_timestamp. |
| לא רלוונטי | metadata.log_type |
הערך FORCEPOINT_WEBPROXY מוטמע ב-metadata.log_type. |
| לא רלוונטי | metadata.product_name |
הערך Forcepoint Webproxy מוטמע ב-metadata.product_name. |
| לא רלוונטי | metadata.vendor_name |
הערך Forcepoint מוטמע ב-metadata.vendor_name. |
| לא רלוונטי | network.application_protocol |
אם dst_port הוא 80, הערך של network.application_protocol מוגדר כ-HTTP. אם dst_port הוא 443, הערך של network.application_protocol מוגדר כ-HTTPS. |
| לא רלוונטי | principal.user.group_identifiers |
אם user לא ריק ולא - ומכיל LDAP, החלק של היחידה הארגונית במחרוזת המשתמש מחולץ וממופה ל-principal.user.group_identifiers. |
| לא רלוונטי | principal.user.user_display_name |
אם user לא ריק ולא - ומכיל LDAP, המערכת מחלצת את החלק של שם המשתמש ממחרוזת המשתמש וממפה אותו ל-principal.user.user_display_name. |
| לא רלוונטי | security_result.action |
אם הערכים של action_msg, action או act לא ריקים, הערך של sec_action מוגדר ל-ALLOW או ל-BLOCK בהתאם לערכים שלהם. לבסוף, sec_action ממופה לכתובת security_result.action. |
| לא רלוונטי | security_result.detection_fields.key |
הערך Disposition Number מוטמע בקידוד ב-security_result.detection_fields.key כשממפים disposition או cn1. הערך NatRuleId מוטמע בקידוד של security_result.detection_fields.key כשממפים את NatRuleId. הערך Category Number מוטמע בקידוד של security_result.detection_fields.key כשממפים את category_no. |
reason |
event.idm.read_only_udm.security_result.detection_fields |
מופה מיומן השינויים |
extension |
event.idm.read_only_udm.target.process.file.mime_type |
מופה מיומן השינויים |
filetype |
event.idm.read_only_udm.target.file.mime_type |
מופה מיומן השינויים |
method |
event.idm.read_only_udm.network.http.method |
מופה מיומן השינויים |
received_bytes |
event.idm.read_only_udm.network.received_bytes |
מופה מיומן השינויים |
sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
מופה מיומן השינויים |
response_code |
event.idm.read_only_udm.network.http.response_code |
מופה מיומן השינויים |
region |
event.idm.read_only_udm.principal.location.country_or_region |
מופה מיומן השינויים |
protocol |
event.idm.read_only_udm.network.application_protocol |
מופה מיומן השינויים |
sec_description |
event.idm.read_only_udm.security_result.description |
מופה מיומן השינויים |
version |
event.idm.read_only_udm.network.http.user_agent |
מופה מיומן השינויים |
city |
event.idm.read_only_udm.principal.location.city |
מופה מיומן השינויים |
turl |
event.idm.read_only_udm.target.url |
מופה מיומן השינויים |
userid |
event.idm.read_only_udm.principal.user.userid |
מופה מיומן השינויים |
email |
event.idm.read_only_udm.principal.user.email_addresses |
מופה מיומן השינויים |
_action |
event.idm.read_only_udm.security_result.action |
מופה מיומן השינויים |
descrip |
event.idm.read_only_udm.metadata.description |
מופה מיומן השינויים |
status |
event.idm.read_only_udm.security_result.action_details |
מופה מיומן השינויים |
appname |
event.idm.read_only_udm.principal.application |
מופה מיומן השינויים |
tip |
event.idm.read_only_udm.target.ip |
מופה מיומן השינויים |
tip |
event.idm.read_only_udm.target.asset.ip |
מופה מיומן השינויים |
pip |
event.idm.read_only_udm.principal.ip |
מופה מיומן השינויים |
pip |
event.idm.read_only_udm.principal.asset.ip |
מופה מיומן השינויים |
p_ip |
event.idm.read_only_udm.principal.ip |
מופה מיומן השינויים |
p_ip |
event.idm.read_only_udm.principal.asset.ip |
מופה מיומן השינויים |
log_timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
מופה מיומן השינויים |
port |
event.idm.read_only_udm.target.port |
מופה מיומן השינויים |
status |
event.idm.read_only_udm.security_result.action |
מופה מיומן השינויים |
dhost |
event.idm.read_only_udm.target.hostname |
מופה מיומן השינויים |
rt |
event.timestamp |
מופה מיומן השינויים |
host-url |
principal.url |
מופה מיומן השינויים |
cs-uri |
target.url |
מופה מיומן השינויים |
cs-uri-query" , "time-taken" , "filter-category" , "cs-uri-path" , "cs-uri-extension" and "rs_content_type |
additional.fields |
מופה מיומן השינויים |
cs-auth-group |
principal.user_group_identifiers |
מופה מיומן השינויים |
cs-method |
network.http.method |
מופה מיומן השינויים |
sc-status |
response_code |
מופה מיומן השינויים |
s-action |
security_result.detection_fields |
מופה מיומן השינויים |
srcport |
principal.port |
מופה מיומן השינויים |
dstport |
target.port |
מופה מיומן השינויים |
sc-bytes |
network.received_bytes |
מופה מיומן השינויים |
cs-bytes |
network.sent_bytes |
מופה מיומן השינויים |
cs_referer |
network.http.referral_url |
מופה מיומן השינויים |
cs-host |
target.hostname |
מופה מיומן השינויים |
שנה רישום
צפייה ביומן השינויים של כלי הניתוח הזה
הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.