Coletar registros do Fortinet FortiEDR

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Fortinet FortiEDR no Google Security Operations usando o Google Cloud Storage V2 ou o agente do Bindplane.

O FortiEDR da Fortinet é uma solução de detecção e resposta de endpoints que oferece proteção em tempo real, resposta automatizada a incidentes e inteligência contra ameaças para endpoints em toda a organização.

Diferenças no método de coleta

Este guia oferece dois métodos de coleta:

Opção 1: Syslog via agente do Bindplane: o FortiEDR envia mensagens syslog para o agente do Bindplane, que encaminha os registros para o Google SecOps. Recomendado para ingestão de registros em tempo real com infraestrutura mínima.
Opção 2: Syslog para GCS via Função do Cloud: o FortiEDR envia mensagens syslog para uma Função do Cloud, que grava registros no GCS para ingestão do Google SecOps. Recomendado para armazenamento centralizado de registros e processamento em lote.

Escolha o método mais adequado à sua infraestrutura e aos seus requisitos.

Opção 1: coletar registros do Fortinet FortiEDR usando o agente do Bindplane

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

Instância do Google SecOps
Windows Server 2016 ou mais recente ou host Linux com systemd
Conectividade de rede entre o agente do Bindplane e o FortiEDR Central Manager da Fortinet
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
Acesso privilegiado ao console de gerenciamento do Fortinet FortiEDR.
FortiEDR versão 5.0 ou mais recente

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agente de coleta.
Clique em Fazer o download para baixar o arquivo de autenticação de ingestão.
Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.

Observação: esse arquivo JSON contém credenciais para autenticar o agente do Bindplane no Google SecOps.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Observação: o ID do cliente é necessário para configurar o exportador do agente Bindplane.

Instalar o agente do BindPlane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```

O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```

O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortiedr:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: FORTINET_FORTIEDR
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/fortiedr_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/fortiedr

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

Configuração do receptor:

listen_address: endereço IP e porta a serem detectados. Use 0.0.0.0:514 para detectar todas as interfaces na porta 514.

Configuração do exportador:

creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
- Linux: /etc/bindplane-agent/ingestion-auth.json
- Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
customer_id: ID do cliente da etapa anterior.
endpoint: URL do endpoint regional:
- EUA: malachiteingestion-pa.googleapis.com
- Europa: europe-malachiteingestion-pa.googleapis.com
- Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
ingestion_labels: rótulos opcionais no formato YAML.

Salvar o arquivo de configuração

Depois de editar, salve o arquivo:

Linux: pressione Ctrl+O, Enter e Ctrl+X.
Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

Linux

sudo systemctl restart observiq-otel-collector

Verifique se o serviço está em execução:

sudo systemctl status observiq-otel-collector

Verifique se há erros nos registros:

sudo journalctl -u observiq-otel-collector -f

Windows

Escolha uma das seguintes opções:
- Usando o prompt de comando ou o PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Usando o console do Services:
  1. Pressione Win+R, digite services.msc e pressione Enter.
  2. Localize o Coletor do OpenTelemetry da observIQ.
  3. Clique com o botão direito do mouse e selecione Reiniciar.
  4. Verifique se o serviço está em execução:
```
sc query observiq-otel-collector
```
  5. Verifique se há erros nos registros:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurar o encaminhamento de syslog do Fortinet FortiEDR

Configurar destino do syslog

Faça login no console do FortiEDR Central Manager.
Acesse Administração > Exportar configurações > Syslog.
Clique no botão Definir novo Syslog.
No campo Nome do Syslog, insira um nome descritivo (por exemplo, Chronicle-Integration).
No campo Host, insira o endereço IP do host do agente do Bindplane.
No campo Porta, digite 514.
No menu suspenso Protocolo, selecione TCP.
No menu suspenso Formato, selecione Ponto e vírgula (formato padrão com campos separados por ponto e vírgula).
Clique no botão Testar para testar a conexão com o agente do Bindplane.
Verifique se o teste foi concluído.
Clique no botão Salvar para salvar o destino do syslog.

Ativar notificações do syslog por tipo de evento

Na página Syslog, selecione a linha de destino do syslog que você acabou de criar.
No painel NOTIFICAÇÕES à direita, use os controles deslizantes para ativar ou desativar o destino por tipo de evento:
- Eventos do sistema: ative para enviar eventos de integridade do sistema do FortiEDR.
- Eventos de segurança: ative para enviar agregações de ocorrência de segurança.
- Rastreamento de auditoria: ative para enviar eventos de registro de auditoria.
Para cada tipo de evento ativado, clique no botão à direita.
Marque as caixas de seleção dos campos que você quer incluir nas mensagens do syslog.
Clique em Salvar.

Configurar notificações de playbook

As mensagens do Syslog só são enviadas para eventos de segurança que ocorrem em dispositivos atribuídos a uma política de Playbook com a opção Enviar notificação do Syslog ativada.

Acesse Configurações de segurança > Playbooks.
Selecione a política de playbook que se aplica aos dispositivos que você quer monitorar (por exemplo, Playbook padrão).
Na seção Notificações, localize a linha Syslog.
Ative a opção Enviar notificação do Syslog marcando as caixas de seleção das classificações de eventos que você quer enviar:
- Malicioso: eventos de segurança classificados como maliciosos.
- Suspeito: eventos de segurança classificados como suspeitos.
- PUP: programas potencialmente indesejados.
- Inconclusivo: eventos com classificação inconclusiva.
- Provavelmente seguro: eventos classificados como provavelmente seguros (opcional).
Clique em Salvar.

Observação: o SMTP, o Syslog e o Open Ticket precisam estar configurados em Administração > Configurações de exportação antes que as notificações possam ser enviadas dos playbooks.

Opção 2: coletar registros do Fortinet FortiEDR usando o GCS

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

Uma instância do Google SecOps
Um projeto do GCP com a API Cloud Storage ativada
Permissões para criar e gerenciar buckets do GCS
Permissões para gerenciar políticas do IAM em buckets do GCS
Permissões para criar serviços do Cloud Run, tópicos do Pub/Sub e jobs do Cloud Scheduler
Acesso privilegiado ao console de gerenciamento do Fortinet FortiEDR.
FortiEDR versão 5.0 ou mais recente

Criar um bucket do Google Cloud Storage

Acesse o Console do Google Cloud.
Selecione seu projeto ou crie um novo.
No menu de navegação, acesse Cloud Storage > Buckets.
Clique em Criar bucket.

Informe os seguintes detalhes de configuração:

Configuração	Valor
Nomeie seu bucket	Insira um nome exclusivo globalmente, por exemplo, `fortiedr-logs`.
Tipo de local	Escolha com base nas suas necessidades (região, birregional, multirregional)
Local	Selecione o local (por exemplo, `us-central1`).
Classe de armazenamento	Padrão (recomendado para registros acessados com frequência)
Controle de acesso	Uniforme (recomendado)
Ferramentas de proteção	Opcional: ativar o controle de versões de objetos ou a política de retenção

Clique em Criar.

Criar uma conta de serviço para a função do Cloud Run

A função do Cloud Run precisa de uma conta de serviço com permissões para gravar no bucket do GCS e ser invocada pelo Pub/Sub.

Criar conta de serviço

No Console do GCP, acesse IAM e administrador > Contas de serviço.
Clique em Criar conta de serviço.
Informe os seguintes detalhes de configuração:
- Nome da conta de serviço: insira fortiedr-syslog-collector-sa.
- Descrição da conta de serviço: insira Service account for Cloud Run function to collect FortiEDR syslog logs.
Clique em Criar e continuar.
Na seção Conceder acesso a essa conta de serviço ao projeto, adicione os seguintes papéis:
1. Clique em Selecionar papel.
2. Pesquise e selecione Administrador de objetos do Storage.
3. Clique em + Adicionar outro papel.
4. Pesquise e selecione Invocador do Cloud Run.
5. Clique em + Adicionar outro papel.
6. Pesquise e selecione Invocador do Cloud Functions.
Clique em Continuar.
Clique em Concluído.

Esses papéis são necessários para:

Administrador de objetos do Storage: grava registros em um bucket do GCS e gerencia arquivos de estado.
Invocador do Cloud Run: permite que o Pub/Sub invoque a função
Invocador do Cloud Functions: permite a invocação de funções

Conceder permissões do IAM no bucket do GCS

Conceda permissões de gravação à conta de serviço no bucket do GCS:

Acesse Cloud Storage > Buckets.
Clique no nome do bucket.
Acesse a guia Permissões.
Clique em Conceder acesso.
Informe os seguintes detalhes de configuração:
- Adicionar principais: insira o e-mail da conta de serviço (por exemplo, fortiedr-syslog-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Atribuir papéis: selecione Administrador de objetos do Storage.
Clique em Salvar.

Criar tópico Pub/Sub

Crie um tópico do Pub/Sub em que o Cloud Scheduler vai publicar e a função do Cloud Run vai se inscrever.

No Console do GCP, acesse Pub/Sub > Tópicos.
Selecione Criar tópico.
Informe os seguintes detalhes de configuração:
- ID do tópico: insira fortiedr-syslog-trigger.
- Não altere as outras configurações.
Clique em Criar.

Criar uma função do Cloud Run para receber syslog

A função do Cloud Run vai receber mensagens syslog do FortiEDR via HTTP e gravá-las no GCS.

No console do GCP, acesse o Cloud Run.
Clique em Criar serviço.
Selecione Função (use um editor in-line para criar uma função).

Na seção Configurar, forneça os seguintes detalhes de configuração:

Configuração	Valor
Nome do serviço	`fortiedr-syslog-collector`
Região	Selecione a região que corresponde ao seu bucket do GCS (por exemplo, `us-central1`).
Ambiente de execução	Selecione Python 3.12 ou uma versão mais recente.

Na seção Acionador (opcional):
1. Clique em + Adicionar gatilho.
2. Selecione HTTPS.
3. Em Autenticação, selecione Permitir invocações não autenticadas.
4. Clique em Salvar.
Observação: a função vai receber mensagens syslog via HTTP POST do FortiEDR.
Role a tela para baixo e abra Contêineres, rede, segurança.
Acesse a guia Segurança:
- Conta de serviço: selecione a conta de serviço (fortiedr-syslog-collector-sa).
Acesse a guia Contêineres:
1. Clique em Variáveis e secrets.
2. Clique em + Adicionar variável para cada variável de ambiente:
  
  Nome da variável Valor de exemplo Descrição
  
  GCS_BUCKET fortiedr-logs Nome do bucket do GCS
  
  GCS_PREFIX fortiedr-syslog Prefixo para arquivos de registro
Na seção Variáveis e secrets, role a tela até Solicitações:
- Tempo limite da solicitação: insira 60 segundos.
Acesse a guia Configurações:
- Na seção Recursos:
  - Memória: selecione 256 MiB ou mais.
  - CPU: selecione 1.
Na seção Escalonamento de revisão:
- Número mínimo de instâncias: insira 0.
- Número máximo de instâncias: insira 10 ou ajuste com base na carga esperada.
Clique em Criar.
Aguarde a criação do serviço (1 a 2 minutos).
Depois que o serviço for criado, o editor de código inline será aberto automaticamente.

Nome da variável	Valor de exemplo	Descrição
`GCS_BUCKET`	`fortiedr-logs`	Nome do bucket do GCS
`GCS_PREFIX`	`fortiedr-syslog`	Prefixo para arquivos de registro

Adicionar código da função

Insira main no campo Ponto de entrada.

No editor de código em linha, crie dois arquivos:

Primeiro arquivo: main.py::

import functions_framework
from google.cloud import storage
import json
import os
from datetime import datetime, timezone
from flask import Request

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'fortiedr-syslog')

@functions_framework.http
def main(request: Request):
    """
    Cloud Run function to receive syslog messages from FortiEDR and write to GCS.

    Args:
        request: Flask Request object containing syslog message
    """

    if not GCS_BUCKET:
        print('Error: Missing GCS_BUCKET environment variable')
        return ('Missing GCS_BUCKET environment variable', 500)

    try:
        # Get request body
        request_data = request.get_data(as_text=True)

        if not request_data:
            print('Warning: Empty request body')
            return ('Empty request body', 400)

        # Parse syslog messages (one per line)
        lines = request_data.strip().split('\n')

        if not lines:
            print('Warning: No syslog messages found')
            return ('No syslog messages found', 400)

        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Write to GCS as NDJSON
        now = datetime.now(timezone.utc)
        timestamp = now.strftime('%Y%m%d_%H%M%S_%f')
        object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
        blob = bucket.blob(object_key)

        # Convert each line to JSON object with raw syslog message
        records = []
        for line in lines:
            if line.strip():
                records.append({'raw': line.strip(), 'timestamp': now.isoformat()})

        ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
        blob.upload_from_string(ndjson, content_type='application/x-ndjson')

        print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

        return (f"Successfully processed {len(records)} records", 200)

    except Exception as e:
        print(f'Error processing syslog: {str(e)}')
        return (f'Error processing syslog: {str(e)}', 500)

Segundo arquivo: requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
flask==3.*

Clique em Implantar para salvar e implantar a função.
Aguarde a conclusão da implantação (2 a 3 minutos).
Após a implantação, acesse a guia Acionador e copie o URL do acionador (por exemplo, https://fortiedr-syslog-collector-abc123-uc.a.run.app).

Observação: salve esse URL para configurar o encaminhamento de syslog do FortiEDR.

Configurar o encaminhamento de syslog do Fortinet FortiEDR para o função do Cloud

Configurar destino do syslog

Faça login no console do FortiEDR Central Manager.
Acesse Administração > Exportar configurações > Syslog.
Clique no botão Definir novo Syslog.
No campo Nome do Syslog, insira um nome descritivo (por exemplo, Chronicle-GCS-Integration).
No campo Host, insira o nome do host do URL do gatilho da função do Cloud (por exemplo, fortiedr-syslog-collector-abc123-uc.a.run.app).
No campo Porta, digite 443.
No menu suspenso Protocolo, selecione TCP.
No menu suspenso Formato, selecione Ponto e vírgula (formato padrão com campos separados por ponto e vírgula).
Clique no botão Testar para testar a conexão com a Função do Cloud.
Verifique se o teste foi concluído.
Clique no botão Salvar para salvar o destino do syslog.

Observação: o FortiEDR envia mensagens do syslog para a função do Cloud via HTTPS na porta 443.

Ativar notificações do syslog por tipo de evento

Na página Syslog, selecione a linha de destino do syslog que você acabou de criar.
No painel NOTIFICAÇÕES à direita, use os controles deslizantes para ativar ou desativar o destino por tipo de evento:
- Eventos do sistema: ative para enviar eventos de integridade do sistema do FortiEDR.
- Eventos de segurança: ative para enviar agregações de ocorrência de segurança.
- Rastreamento de auditoria: ative para enviar eventos de registro de auditoria.
Para cada tipo de evento ativado, clique no botão à direita.
Marque as caixas de seleção dos campos que você quer incluir nas mensagens do syslog.
Clique em Salvar.

Configurar notificações de playbook

As mensagens do Syslog só são enviadas para eventos de segurança que ocorrem em dispositivos atribuídos a uma política de Playbook com a opção Enviar notificação do Syslog ativada.

Acesse Configurações de segurança > Playbooks.
Selecione a política de playbook que se aplica aos dispositivos que você quer monitorar (por exemplo, Playbook padrão).
Na seção Notificações, localize a linha Syslog.
Ative a opção Enviar notificação do Syslog marcando as caixas de seleção das classificações de eventos que você quer enviar:
- Malicioso: eventos de segurança classificados como maliciosos.
- Suspeito: eventos de segurança classificados como suspeitos.
- PUP: programas potencialmente indesejados.
- Inconclusivo: eventos com classificação inconclusiva.
- Provavelmente seguro: eventos classificados como provavelmente seguros (opcional).
Clique em Salvar.

Observação: o SMTP, o Syslog e o Open Ticket precisam estar configurados em Administração > Configurações de exportação antes que as notificações possam ser enviadas dos playbooks.

Testar a integração

No console do FortiEDR Central Manager, acesse Administração > Exportar configurações > Syslog.
Selecione a linha de destino do syslog.
Clique no botão Testar para enviar uma mensagem de teste.
Acesse Cloud Run > Serviços no console do GCP.
Clique no nome da função (fortiedr-syslog-collector).
Clique na guia Registros.

Verifique se a função foi executada com sucesso. Procure:

Wrote X records to gs://fortiedr-logs/fortiedr-syslog/logs_YYYYMMDD_HHMMSS_MMMMMM.ndjson
Successfully processed X records

Acesse Cloud Storage > Buckets.
Clique no nome do bucket.
Navegue até a pasta de prefixo (fortiedr-syslog/).
Verifique se um novo arquivo .ndjson foi criado com o carimbo de data/hora atual.

Se você encontrar erros nos registros:

Corpo da solicitação vazio: o FortiEDR não está enviando dados para a função do Cloud
Variável de ambiente GCS_BUCKET ausente: verifique se as variáveis de ambiente estão definidas.
Permissão negada: verifique se a conta de serviço tem o papel de administrador de objetos do Storage no bucket.

Recuperar a conta de serviço do Google SecOps

O Google SecOps usa uma conta de serviço exclusiva para ler dados do seu bucket do GCS. Você precisa conceder a essa conta de serviço acesso ao seu bucket.

Configurar um feed no Google SecOps para ingerir registros do Fortinet FortiEDR

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed (por exemplo, FortiEDR Syslog Logs).
Selecione Google Cloud Storage V2 como o Tipo de origem.
Selecione Fortinet FortiEDR como o Tipo de registro.
Clique em Receber conta de serviço.
Um e-mail exclusivo da conta de serviço será exibido, por exemplo:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copie o endereço de e-mail. Você vai usá-la na próxima etapa.

Observação: cada instância do Google SecOps tem uma conta de serviço exclusiva. Não use contas de serviço de outras documentações ou exemplos.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- URL do bucket de armazenamento: insira o URI do bucket do GCS com o caminho do prefixo:
```
gs://fortiedr-logs/fortiedr-syslog/
```
  Substitua:
  - fortiedr-logs: o nome do bucket do GCS.
  - fortiedr-syslog: prefixo/caminho da pasta opcional onde os registros são armazenados (deixe em branco para a raiz).
  Observação: sempre inclua a barra (/) no final do URI.
- Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência:
  - Nunca: nunca exclui arquivos após as transferências (recomendado para testes).
  - Excluir arquivos transferidos: exclui os arquivos após a transferência bem-sucedida.
  - Excluir arquivos transferidos e diretórios vazios: exclui arquivos e diretórios vazios após a transferência bem-sucedida.
  Observação: se você selecionar uma opção de exclusão, a conta de serviço precisará ter o papel Administrador de objetos do Storage em vez de Leitor de objetos do Storage. Atualize as permissões do IAM de acordo com a necessidade.
- Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Conceder permissões do IAM à conta de serviço do Google SecOps

A conta de serviço do Google SecOps precisa do papel de Leitor de objetos do Storage no seu bucket do GCS.

Acesse Cloud Storage > Buckets.
Clique no nome do bucket.
Acesse a guia Permissões.
Clique em Conceder acesso.
Informe os seguintes detalhes de configuração:
- Adicionar participantes: cole o e-mail da conta de serviço do Google SecOps.
- Atribuir papéis: selecione Leitor de objetos do Storage.
Clique em Salvar.

Observação: se você planeja usar a opção de exclusão "Excluir arquivos transferidos" ou "Excluir arquivos transferidos e diretórios vazios", conceda o papel Administrador de objetos do Storage em vez de Leitor de objetos do Storage.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
País	target.location.country_or_region	O valor é copiado diretamente se não for N/A ou vazio.
srccountry	principal.location.country_or_region	Valor copiado diretamente se não for "Reservado" ou vazio
dstcountry	target.location.country_or_region	O valor é copiado diretamente se não estiver vazio.
srcip	principal.ip	Valor copiado diretamente
dstip	target.ip	O valor é copiado diretamente se não for N/A
Destino	target.ip	Extraído como IP do destino, se válido
dst	target.ip	Extraído como IP de dst, se válido
srcmac	principal.mac	Valor copiado diretamente
dstosname	target.platform	Definido como LINUX se corresponder a LINUX, WINDOWS se corresponder a WINDOWS e MAC se corresponder a MAC.
srcport	principal.port	Convertido para número inteiro
dstport	target.port	Convertido para número inteiro
spt	principal.port	Convertido para número inteiro
dpt	target.port	Convertido para número inteiro
sessionid	network.session_id	Valor copiado diretamente
sentbyte	network.sent_bytes	Convertido para número inteiro sem sinal
rcvdbyte	network.received_bytes	Convertido para número inteiro sem sinal
duration	network.session_duration.seconds	Convertido para número inteiro
ação	security_result.summary	Valor copiado diretamente
level	security_result.severity_details	Definido como "level: %{level}"
policyid	security_result.rule_id	Valor copiado diretamente
policyname	security_result.rule_name	Valor copiado diretamente
policytype	security_result.rule_type	Valor copiado diretamente
serviço	target.application	Valor copiado diretamente
intermediary_ip	target.ip	O valor é copiado diretamente se message_type for "Audit" ou loginStatus não estiver vazio.
intermediário	intermediário	Valor copiado diretamente
devname	target.hostname	Valor copiado diretamente
server_host	target.hostname	O valor é copiado diretamente se message_type for "Audit" ou loginStatus não estiver vazio.
server_host	intermediary.hostname	Valor copiado diretamente como marcador se não for "Audit" ou "loginStatus"
deviceInformation	target.resource.name, target.resource.resource_type	Extraiu device_name e definiu resource_type como DEVICE
component_name	additional.fields	Definir como rótulo com a chave "Nome do componente"
process_name	principal.application	Valor copiado diretamente
Caminho do processo	target.file.full_path	Valor copiado diretamente
asset_os	target.platform	Definido como WINDOWS se corresponder a .Windows.; LINUX se corresponder a .Linux.
os_version	target.platform_version	Extraído de asset_os
asset_os	principal.platform	Definido como WINDOWS se corresponder a .Windows.; LINUX se corresponder a .Linux.
os_version	principal.platform_version	Extraído de asset_os
usr_name	userId	Valor copiado diretamente
Usuários	userId	Valor copiado diretamente se não for WG ou ADDC
ID	userId	Valor copiado diretamente
userId	target.user.userid	O valor é copiado diretamente se message_type for "Audit" ou loginStatus não estiver vazio.
userId	principal.user.userid	O valor é copiado diretamente se não for "Audit" ou "loginStatus".
userDisplayName	target.user.user_display_name	O valor é copiado diretamente se message_type for "Audit" ou loginStatus não estiver vazio.
userDisplayName	principal.user.user_display_name	O valor é copiado diretamente se não for "Audit" ou "loginStatus".
userPrincipalName	principal.user.userid	Valor copiado diretamente
Descrição	metadata.description	O valor é copiado diretamente se não estiver vazio.
Detalhes	metadata.description	O valor é copiado diretamente se não estiver vazio.
mfaResult	metadata.description	O valor é copiado diretamente se não estiver vazio.
data7	metadata.description	O valor é copiado diretamente se não estiver vazio.
message_type	metadata.description	O valor é copiado diretamente se "description_details" estiver vazio
src_ip, srcip	principal.ip	Valor de src_ip se não estiver vazio, caso contrário, src, Source ou ipAddress
src_ip	principal.ip	Extraído como IP de src_ip, se válido
mac_address	principal.mac	Processado como matriz, convertido para minúsculas e mesclado se for um MAC válido.
event_id	target.process.pid	O valor é copiado diretamente se message_type for "Audit" ou loginStatus não estiver vazio.
event_id	metadata.product_log_id	O valor é copiado diretamente se não for "Audit" ou "loginStatus".
event_type	metadata.event_type	Valor copiado diretamente
Gravidade	security_result.severity	Definido como "INFORMATIONAL" se for "Low" ou vazio; "MEDIUM" se for "Medium"; "HIGH" se for "High"; "CRITICAL" se for "Critical".
Ação	security_result.action	Definido como ALLOW se corresponder a (?i)Allow; BLOCK se corresponder a (?i)Block; caso contrário, action_details
security_action	security_result.action	Valor copiado diretamente
Regra	regras	Valor copiado diretamente
regras	security_result.rule_name	Valor copiado diretamente
Classificação	security_result.summary	Valor copiado diretamente
Visto pela primeira vez	security_result.detection_fields	Definir como rótulo com a chave "First Seen"
Visto pela última vez	security_result.detection_fields	Definir como rótulo com a chave "Última visualização"
Organização	target.administrative_domain	O valor é copiado diretamente se message_type for "Audit" ou loginStatus não estiver vazio.
Organização	additional.fields	Definir como rótulo com a chave "Organization" se não for "Audit" ou "loginStatus"
security_result	security_result	Mesclado de sec_result
	metadata.vendor_name	Definido como "FORTINET"
	metadata.product_name	Defina como "FORTINET_FORTIEDR"

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.