Forescout eyeSight-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Forescout eyeSight-Logs (früher CounterACT) mit dem Bindplane-Agent in Google Security Operations aufnehmen.
Forescout eyeSight ist eine NAC-Plattform (Network Access Control, Netzwerkzugriffssteuerung), die agentenlose Geräteerkennung, ‑klassifizierung und ‑konformitätsbewertung für IT-, IoT-, OT- und IoMT-Geräte bietet. Es erkennt und profiliert jedes verbundene Gerät in Echtzeit, sodass Organisationen Zugriffsrichtlinien erzwingen und die Angriffsfläche reduzieren können, ohne dass Endpoint-Agents erforderlich sind.
Weitere Informationen finden Sie in der Forescout NAC-Dokumentation.
Hinweis
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- Ein Windows 2016- oder höher- oder Linux-Host mit
systemd - Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
- Privilegierter Zugriff auf die Forescout-Konsole (Administratorkonto)
- Netzwerkverbindung zwischen der Forescout-Appliance und dem Bindplane-Agent-Host
Authentifizierungsdatei für die Aufnahme für Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sc query observiq-otel-collectorDer Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sudo systemctl status observiq-otel-collectorDer Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.
Zusätzliche Installationsressourcen
Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Konfigurationsdatei suchen
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Konfigurationsdatei bearbeiten
Ersetzen Sie den gesamten Inhalt von
config.yamldurch die folgende Konfiguration:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/forescout_nac: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: FORESCOUT_NAC raw_log_field: body ingestion_labels: env: production service: pipelines: logs/forescout_to_chronicle: receivers: - udplog exporters: - chronicle/forescout_nac
Konfigurationsparameter
Ersetzen Sie die folgenden Platzhalter:
Empfängerkonfiguration:
listen_address: IP-Adresse und Port, auf dem gelauscht werden soll. Verwenden Sie0.0.0.0, um alle Schnittstellen zu überwachen. Port514ist der Standardport für Syslog (erfordert Root-Berechtigungen unter Linux; verwenden Sie1514für Nicht-Root).
Exporter-Konfiguration:
creds_file_path: Vollständiger Pfad zur Authentifizierungsdatei für die Aufnahme in Google SecOps.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: Google SecOps-Kundennummer.endpoint: Regionale Endpunkt-URL:- USA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asien:
asia-southeast1-malachiteingestion-pa.googleapis.com - Eine vollständige Liste finden Sie unter Regionale Endpunkte.
- USA:
Konfigurationsdatei speichern
- Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie
Ctrl+O, dannEnterund dannCtrl+X. - Windows: Klicken Sie auf Datei > Speichern.
- Linux: Drücken Sie
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart observiq-otel-collectorPrüfen Sie, ob der Dienst ausgeführt wird:
sudo systemctl status observiq-otel-collectorLogs auf Fehler prüfen:
sudo journalctl -u observiq-otel-collector -f
Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
Eingabeaufforderung oder PowerShell als Administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorServices-Konsole:
- Drücken Sie
Win+R, geben Sieservices.mscein und drücken Sie die Eingabetaste. - Suchen Sie nach observIQ OpenTelemetry Collector.
- Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
Prüfen Sie, ob der Dienst ausgeführt wird:
sc query observiq-otel-collectorLogs auf Fehler prüfen:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Syslog-Weiterleitung für Forescout eyeSight konfigurieren
- Melden Sie sich mit einem Administratorkonto in der Forescout Console an.
- Klicken Sie auf Tools > „Optionen“.
- Erweitern Sie in der Optionsstruktur Module > Syslog (oder Syslog Plugin, je nach Version).
- Klicken Sie auf Hinzufügen, um ein neues Syslog-Ziel zu erstellen.
- Geben Sie die folgenden Konfigurationsdetails an:
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B.
SecOps-Bindplane. - Serveradresse: Geben Sie die IP-Adresse des BindPlane-Agent-Hosts ein (z. B.
192.168.1.100). - Port: Geben Sie
514ein (oder den im Bindplane-Agent konfigurierten Port). - Protokoll: Wählen Sie UDP aus.
- Format: Wählen Sie je nach Ihren Parsing-Anforderungen CEF (Common Event Format) oder Syslog (RFC 3164) aus.
- Einrichtung: Wählen Sie LOCAL0 aus (oder die Einrichtung, die der Syslog-Richtlinie Ihrer Organisation entspricht).
- Schweregrad: Wählen Sie Informationen oder den gewünschten Mindestschweregrad aus.
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B.
- Wählen Sie im Bereich Ereignistypen die weiterzuleitenden Protokollkategorien aus:
- Änderungen an Host-Properties: Geräteklassifizierung und Property-Updates.
- Richtlinienverstöße: Verstöße gegen Compliance-Richtlinien und NAC-Durchsetzungsmaßnahmen.
- Ereignisse zum Netzwerkzugriff: Ereignisse zum Herstellen und Beenden von Endpunktverbindungen.
- Authentifizierungsereignisse: 802.1X- und Nutzerauthentifizierungsereignisse.
- Ergebnisse der Maßnahmen: Ergebnisse der Behebungs- und Reaktionsmaßnahmen.
- Klicken Sie auf OK, um die Syslog-Zielkonfiguration zu speichern.
- Klicken Sie auf Übernehmen, um die Änderungen zu aktivieren.
Prüfen Sie die Bindplane-Agent-Logs, um zu sehen, ob Syslog-Nachrichten empfangen werden.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
about |
about |
Zusammengeführt |
deviceNtDomain |
about.administrative_domain |
Umbenannt/zugeordnet |
deviceExternalId |
about.asset.asset_id |
Direkt zugeordnet |
device_product |
about.asset.asset_id |
Direkt zugeordnet |
device_vendor |
about.asset.asset_id |
Direkt zugeordnet |
fileHash |
about.file.full_path |
Direkt zugeordnet |
filePath |
about.file.full_path |
Umbenannt/zugeordnet |
_hash |
about.file.sha256 |
Umbenannt/zugeordnet |
fileHash |
about.file.sha256 |
Umbenannt/zugeordnet |
fsize |
about.file.size |
Umbenannt/zugeordnet |
dvchost |
about.hostname |
Umbenannt/zugeordnet |
ips |
about.ip |
Zusammengeführt |
dvcmac |
about.mac |
Zusammengeführt |
mac_address |
about.mac |
Zusammengeführt |
deviceTranslatedAddress |
about.nat_ip |
Zusammengeführt |
Emne |
about.process.command_line |
Direkt zugeordnet |
Path |
about.process.command_line |
Direkt zugeordnet |
Subject |
about.process.command_line |
Direkt zugeordnet |
deviceProcessName |
about.process.command_line |
Umbenannt/zugeordnet |
dvcpid |
about.process.pid |
Umbenannt/zugeordnet |
permissions |
about.resource.attribute.permissions |
Zusammengeführt |
Assigned_hosts_label |
additional.fields |
Zusammengeführt |
Available_memory_label |
additional.fields |
Zusammengeführt |
Available_swap_label |
additional.fields |
Zusammengeführt |
Connected_clients_label |
additional.fields |
Zusammengeführt |
EM_connection_status_label |
additional.fields |
Zusammengeführt |
Engine_status_label |
additional.fields |
Zusammengeführt |
Installed_Plugins_label |
additional.fields |
Zusammengeführt |
Used_memory_label |
additional.fields |
Zusammengeführt |
Used_swap_label |
additional.fields |
Zusammengeführt |
additional_cfp1 |
additional.fields |
Zusammengeführt |
additional_cfp2 |
additional.fields |
Zusammengeführt |
additional_cfp3 |
additional.fields |
Zusammengeführt |
additional_cfp4 |
additional.fields |
Zusammengeführt |
additional_cn1 |
additional.fields |
Zusammengeführt |
additional_cn2 |
additional.fields |
Zusammengeführt |
additional_cn3 |
additional.fields |
Zusammengeführt |
additional_cs1 |
additional.fields |
Zusammengeführt |
additional_cs2 |
additional.fields |
Zusammengeführt |
additional_cs3 |
additional.fields |
Zusammengeführt |
additional_cs4 |
additional.fields |
Zusammengeführt |
additional_cs5 |
additional.fields |
Zusammengeführt |
additional_cs6 |
additional.fields |
Zusammengeführt |
additional_cs7 |
additional.fields |
Zusammengeführt |
additional_devicePayloadId |
additional.fields |
Zusammengeführt |
additional_eventId |
additional.fields |
Zusammengeführt |
additional_flexString1 |
additional.fields |
Zusammengeführt |
additional_fname |
additional.fields |
Zusammengeführt |
application_status_label |
additional.fields |
Zusammengeführt |
cpu_usage_label |
additional.fields |
Zusammengeführt |
cs5_label |
additional.fields |
Zusammengeführt |
type_label |
additional.fields |
Zusammengeführt |
intermediary |
intermediary |
Zusammengeführt |
iporhost |
intermediary.asset.hostname |
Direkt zugeordnet |
middle_ip |
intermediary.asset.ip |
Zusammengeführt |
iporhost |
intermediary.hostname |
Direkt zugeordnet |
middle_ip |
intermediary.ip |
Zusammengeführt |
pid |
intermediary.process.pid |
Direkt zugeordnet |
desc |
metadata.description |
Direkt zugeordnet |
event_type |
metadata.description |
Direkt zugeordnet |
msg |
metadata.description |
Umbenannt/zugeordnet |
device_event_class_id |
metadata.product_event_type |
Direkt zugeordnet |
engineName |
metadata.product_event_type |
Direkt zugeordnet |
event_name |
metadata.product_event_type |
Direkt zugeordnet |
eventtype |
metadata.product_event_type |
Direkt zugeordnet |
externalId |
metadata.product_log_id |
Direkt zugeordnet |
device_product |
metadata.product_name |
Direkt zugeordnet |
product |
metadata.product_name |
Direkt zugeordnet |
device_version |
metadata.product_version |
Direkt zugeordnet |
device_vendor |
metadata.vendor_name |
Umbenannt/zugeordnet |
vendor_name |
metadata.vendor_name |
Direkt zugeordnet |
app_protocol_output |
network.application_protocol |
Direkt zugeordnet |
mail_from |
network.email.from |
Direkt zugeordnet |
mail_subject |
network.email.subject |
Zusammengeführt |
mail_to |
network.email.to |
Zusammengeführt |
requestMethod |
network.http.method |
Umbenannt/zugeordnet |
requestClientApplication |
network.http.user_agent |
Umbenannt/zugeordnet |
ip_protocol_out |
network.ip_protocol |
Direkt zugeordnet |
protocol |
network.ip_protocol |
Direkt zugeordnet |
protocol1 |
network.ip_protocol |
Direkt zugeordnet |
in |
network.received_bytes |
Umbenannt/zugeordnet |
out |
network.sent_bytes |
Umbenannt/zugeordnet |
session_id |
network.session_id |
Direkt zugeordnet |
sntdom |
principal.administrative_domain |
Umbenannt/zugeordnet |
sourceServiceName |
principal.application |
Umbenannt/zugeordnet |
Host |
principal.asset.hostname |
Direkt zugeordnet |
Hostname |
principal.asset.hostname |
Direkt zugeordnet |
Source |
principal.asset.hostname |
Direkt zugeordnet |
Source_1 |
principal.asset.hostname |
Direkt zugeordnet |
host_ip |
principal.asset.ip |
Zusammengeführt |
source_ip |
principal.asset.ip |
Zusammengeführt |
src_ip |
principal.asset.ip |
Zusammengeführt |
Group_name |
principal.group.group_display_name |
Direkt zugeordnet |
Gruppenavn |
principal.group.group_display_name |
Direkt zugeordnet |
Device_name |
principal.hostname |
Direkt zugeordnet |
Enhetsnavn |
principal.hostname |
Direkt zugeordnet |
Host |
principal.hostname |
Direkt zugeordnet |
Hostname |
principal.hostname |
Direkt zugeordnet |
Source |
principal.hostname |
Direkt zugeordnet |
Source_1 |
principal.hostname |
Direkt zugeordnet |
shost |
principal.hostname |
Umbenannt/zugeordnet |
host_ip |
principal.ip |
Zusammengeführt |
principal_ip |
principal.ip |
Zusammengeführt |
shost |
principal.ip |
Zusammengeführt |
source_ip |
principal.ip |
Zusammengeführt |
src_ip |
principal.ip |
Zusammengeführt |
MAC |
principal.mac |
Zusammengeführt |
mac |
principal.mac |
Zusammengeführt |
mac_addr |
principal.mac |
Zusammengeführt |
src_mac |
principal.mac |
Zusammengeführt |
sourceTranslatedAddress |
principal.nat_ip |
Zusammengeführt |
sourceTranslatedPort |
principal.nat_port |
Umbenannt/zugeordnet |
source_port |
principal.port |
Umbenannt/zugeordnet |
spt |
principal.port |
Umbenannt/zugeordnet |
src_port |
principal.port |
Direkt zugeordnet |
command |
principal.process.command_line |
Direkt zugeordnet |
sproc |
principal.process.command_line |
Umbenannt/zugeordnet |
spid |
principal.process.pid |
Umbenannt/zugeordnet |
resource |
principal.resource.name |
Direkt zugeordnet |
principal_role |
principal.user.attribute.roles |
Zusammengeführt |
suser |
principal.user.user_display_name |
Direkt zugeordnet |
User |
principal.user.userid |
Direkt zugeordnet |
suid |
principal.user.userid |
Umbenannt/zugeordnet |
user_id |
principal.user.userid |
Direkt zugeordnet |
user_name |
principal.user.userid |
Direkt zugeordnet |
username |
principal.user.userid |
Direkt zugeordnet |
sec_result |
security_result |
Zusammengeführt |
security_result |
security_result |
Zusammengeführt |
res_label |
security_result.about.resource.attribute.labels |
Zusammengeführt |
_action |
security_result.action |
Zusammengeführt |
sec_action |
security_result.action |
Zusammengeführt |
security_result_action |
security_result.action |
Zusammengeführt |
Action_Taken |
security_result.action_details |
Direkt zugeordnet |
act |
security_result.action_details |
Direkt zugeordnet |
cat |
security_result.category_details |
Zusammengeführt |
Category |
security_result.description |
Direkt zugeordnet |
Reason |
security_result.description |
Direkt zugeordnet |
Scan_Type |
security_result.description |
Direkt zugeordnet |
Type |
security_result.description |
Direkt zugeordnet |
act |
security_result.description |
Direkt zugeordnet |
description |
security_result.description |
Direkt zugeordnet |
details |
security_result.description |
Direkt zugeordnet |
et_lower |
security_result.description |
Direkt zugeordnet |
event_type |
security_result.description |
Direkt zugeordnet |
kv_data |
security_result.description |
Direkt zugeordnet |
msg_data_2 |
security_result.description |
Direkt zugeordnet |
policy_details |
security_result.description |
Direkt zugeordnet |
rnmsg |
security_result.description |
Direkt zugeordnet |
infection_channel_label |
security_result.detection_fields |
Zusammengeführt |
operasjon_label |
security_result.detection_fields |
Zusammengeführt |
operation_label |
security_result.detection_fields |
Zusammengeführt |
permission_label |
security_result.detection_fields |
Zusammengeführt |
protocol_label |
security_result.detection_fields |
Zusammengeführt |
spyware_Grayware_Type_label |
security_result.detection_fields |
Zusammengeführt |
threat_probability_label |
security_result.detection_fields |
Zusammengeführt |
tillatelse_label |
security_result.detection_fields |
Zusammengeführt |
Rule |
security_result.rule_id |
Direkt zugeordnet |
alart_id |
security_result.rule_id |
Direkt zugeordnet |
device_event_class_id |
security_result.rule_id |
Direkt zugeordnet |
Match |
security_result.rule_name |
Direkt zugeordnet |
mwProfile |
security_result.rule_name |
Direkt zugeordnet |
severity |
security_result.severity_details |
Direkt zugeordnet |
Result |
security_result.summary |
Direkt zugeordnet |
appcategory |
security_result.summary |
Direkt zugeordnet |
event_name |
security_result.summary |
Direkt zugeordnet |
event_type |
security_result.summary |
Direkt zugeordnet |
log_description |
security_result.summary |
Direkt zugeordnet |
reason |
security_result.summary |
Umbenannt/zugeordnet |
Spyware |
security_result.threat_name |
Direkt zugeordnet |
Unknown_Threat |
security_result.threat_name |
Direkt zugeordnet |
Virus_Malware_Name |
security_result.threat_name |
Direkt zugeordnet |
threat |
security_result.threat_name |
Direkt zugeordnet |
oldFilePath |
src.file.full_path |
Umbenannt/zugeordnet |
oldFileSize |
src.file.size |
Umbenannt/zugeordnet |
old_permissions |
src.resource.attribute.permissions |
Zusammengeführt |
dntdom |
target.administrative_domain |
Umbenannt/zugeordnet |
destinationServiceName |
target.application |
Umbenannt/zugeordnet |
Destination |
target.asset.hostname |
Direkt zugeordnet |
Target |
target.asset.hostname |
Direkt zugeordnet |
Target_1 |
target.asset.hostname |
Direkt zugeordnet |
computer_name |
target.asset.hostname |
Direkt zugeordnet |
Destination |
target.asset.ip |
Zusammengeführt |
dest_ip |
target.asset.ip |
Zusammengeführt |
destination_ip |
target.asset.ip |
Zusammengeführt |
target_ip |
target.asset.ip |
Zusammengeführt |
Destination |
target.hostname |
Direkt zugeordnet |
Target |
target.hostname |
Direkt zugeordnet |
Target_1 |
target.hostname |
Direkt zugeordnet |
computer_name |
target.hostname |
Direkt zugeordnet |
temp_dhost |
target.hostname |
Direkt zugeordnet |
Destination |
target.ip |
Zusammengeführt |
IPv6_Address |
target.ip |
Zusammengeführt |
dest_ip |
target.ip |
Zusammengeführt |
destination_ip |
target.ip |
Zusammengeführt |
dst_ip |
target.ip |
Zusammengeführt |
target_ip |
target.ip |
Zusammengeführt |
dest_mac |
target.mac |
Zusammengeführt |
mac_address |
target.mac |
Zusammengeführt |
destination_translated_address |
target.nat_ip |
Zusammengeführt |
destinationTranslatedPort |
target.nat_port |
Umbenannt/zugeordnet |
dest_port |
target.port |
Direkt zugeordnet |
dpt |
target.port |
Umbenannt/zugeordnet |
port |
target.port |
Umbenannt/zugeordnet |
dproc |
target.process.command_line |
Umbenannt/zugeordnet |
File_name |
target.process.file.full_path |
Direkt zugeordnet |
Infected_Resource |
target.process.file.full_path |
Direkt zugeordnet |
Object |
target.process.file.full_path |
Direkt zugeordnet |
Objekt |
target.process.file.full_path |
Direkt zugeordnet |
dpid |
target.process.pid |
Umbenannt/zugeordnet |
resource_Type_label |
target.resource.attribute.labels |
Zusammengeführt |
request |
target.url |
Direkt zugeordnet |
target_role |
target.user.attribute.roles |
Zusammengeführt |
CustomerName |
target.user.user_display_name |
Direkt zugeordnet |
temp_duser |
target.user.user_display_name |
Direkt zugeordnet |
Bruker |
target.user.userid |
Direkt zugeordnet |
User_value |
target.user.userid |
Direkt zugeordnet |
temp_duid |
target.user.userid |
Direkt zugeordnet |
username |
target.user.userid |
Direkt zugeordnet |
| – | about |
Konstante: about |
| – | about.ip |
Konstante: ips |
| – | about.mac |
Konstante: mac_address |
| – | about.nat_ip |
Konstante: deviceTranslatedAddress |
| – | about.resource.attribute.permissions |
Konstante: permissions |
| – | additional.fields |
Konstante: additional_eventId |
| – | extensions.auth.type |
Konstante: MACHINE |
| – | intermediary |
Konstante: intermediary |
| – | intermediary.asset.ip |
Konstante: middle_ip |
| – | intermediary.ip |
Konstante: middle_ip |
| – | metadata.event_type |
Konstante: USER_LOGIN |
| – | metadata.product_name |
Konstante: FORESCOUT NAC |
| – | metadata.vendor_name |
Konstante: FORESCOUT |
| – | network.direction |
Konstante: INBOUND |
| – | network.email.subject |
Konstante: mail_subject |
| – | network.email.to |
Konstante: mail_to |
| – | principal.asset.ip |
Konstante: source_ip |
| – | principal.ip |
Konstante: principal_ip |
| – | principal.mac |
Konstante: mac |
| – | principal.nat_ip |
Konstante: sourceTranslatedAddress |
| – | principal.user.attribute.roles |
Konstante: principal_role |
| – | security_result |
Konstante: security_result |
| – | security_result.about.resource.attribute.labels |
Konstante: res_label |
| – | security_result.action |
Konstante: _action |
| – | security_result.alert_state |
Konstante: ALERTING |
| – | security_result.category_details |
Konstante: cat |
| – | security_result.detection_fields |
Konstante: operation_label |
| – | security_result.rule_name |
Konstante: Virtual Firewall blocking |
| – | security_result.severity |
Konstante: LOW |
| – | src.resource.attribute.permissions |
Konstante: old_permissions |
| – | target.asset.ip |
Konstante: target_ip |
| – | target.ip |
Konstante: dst_ip |
| – | target.mac |
Konstante: mac_address |
| – | target.nat_ip |
Konstante: destination_translated_address |
| – | target.resource.attribute.labels |
Konstante: resource_Type_label |
| – | target.user.attribute.roles |
Konstante: target_role |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten