Mengumpulkan log DNS Infoblox
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log DNS Infoblox ke Google Security Operations menggunakan agen Bindplane.
Parser mengekstrak kolom dari log yang diformat CEF dan SYSLOG DNS Infoblox. Log ini menggunakan grok dan/atau kv untuk mengurai pesan log, lalu memetakan nilai ini ke Model Data Terpadu (UDM). Selain itu, fungsi ini juga menetapkan nilai metadata default untuk sumber dan jenis peristiwa.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke antarmuka web Infoblox Grid Manager
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan.
- Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collectorLayanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collectorLayanan akan ditampilkan sebagai aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen Bindplane untuk menyerap syslog dan mengirimkannya ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'INFOBLOX_DNS' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Parameter konfigurasi
Ganti placeholder berikut:
Konfigurasi penerima:
udplog: Gunakanudploguntuk syslog UDP atautcploguntuk syslog TCP0.0.0.0: Alamat IP yang akan didengarkan (0.0.0.0untuk mendengarkan semua antarmuka)514: Nomor port yang akan diproses (port syslog standar)
Konfigurasi eksportir:
creds_file_path: Jalur lengkap ke file autentikasi penyerapan:- Linux:
/opt/observiq-otel-collector/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: ID Pelanggan dari bagian Dapatkan ID pelangganendpoint: URL endpoint regional:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
- Amerika Serikat:
log_type: Jenis log persis seperti yang muncul di Chronicle (INFOBLOX_DNS)
Simpan file konfigurasi
- Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
- Linux: Tekan
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
- Klik kanan, lalu pilih Mulai Ulang.
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Tekan
Mengonfigurasi penerusan Syslog di Infoblox DNS
Gunakan bagian ini untuk Infoblox NIOS on-premise. Untuk deployment Infoblox BloxOne (cloud), gunakan bagian Mengonfigurasi Infoblox BloxOne (Konektor Data) yang ada di bawah.
- Login ke antarmuka web Infoblox Grid Manager.
- Buka Petak > Pengelola Petak > Anggota.
- Pilih anggota yang akan dikonfigurasi, lalu klik Edit.
- Buka tab Monitoring.
- Di bagian Syslog, klik Tambahkan untuk menambahkan server syslog baru.
- Berikan detail konfigurasi berikut:
- Alamat: Masukkan alamat IP host agen Bindplane.
- Port: Masukkan
514. - Transportasi: Pilih UDP.
- ID Node: Pilih node Infoblox (untuk pasangan HA).
- Tingkat keparahan: Pilih Info (atau tingkat keparahan pilihan Anda).
- Facility: Pilih local0 (atau facility pilihan Anda).
- Aktifkan kategori log berikut:
- Kueri DNS: Centang Log DNS Queries di bagian Grid DNS Properties > Logging.
- Respons DNS: Centang Log DNS Responses.
- DHCP: Aktifkan pencatatan log DHCP di bagian Grid DHCP Properties.
- Audit: Aktifkan logging audit di bagian Grid Properties > Monitoring.
- Klik Simpan & Tutup.
- Mulai ulang layanan DNS jika diperlukan.
- Pastikan pesan syslog dikirim dengan memeriksa log agen Bindplane.
Mengonfigurasi Infoblox BloxOne (Konektor Data) untuk meneruskan log DNS
Untuk deployment Infoblox BloxOne (cloud), gunakan Konektor Data Infoblox untuk meneruskan log kueri dan respons DNS sebagai CEF melalui syslog ke agen Bindplane yang Anda konfigurasi sebelumnya.
- Deploy Konektor Data Infoblox jika Anda belum melakukannya, dengan mengikuti panduan Menerapkan Solusi Konektor Data.
- Login ke Infoblox Portal.
- Buka Integrasi > Penghubung Data.
- Di tab Konfigurasi Tujuan, dari menu drop-down Buat, pilih Syslog.
- Di wizard Create Syslog Destination Configuration, berikan detail konfigurasi berikut:
- Name: Masukkan nama yang membedakan tujuan ini (misalnya,
secops-bindplane). - Status: Aktifkan tujuan menggunakan penggeser.
- Format: Pilih CEF.
- FQDN/IP: Masukkan alamat IP host agen Bindplane.
- Port: Masukkan port yang diproses oleh penerima syslog BindPlane Anda (misalnya,
514). - Protocol: Pilih protokol yang cocok dengan penerima syslog Bindplane Anda (UDP atau TCP).
- Name: Masukkan nama yang membedakan tujuan ini (misalnya,
- Klik Simpan & Tutup.
- Pilih tab Sumber dan pastikan sumber kueri dan respons DNS tersedia. Infoblox Threat Defense telah dikonfigurasi sebelumnya dan tidak memerlukan penyiapan. Untuk sumber DNS NIOS lokal atau Universal DDI, konfigurasi sumbernya di sini terlebih dahulu dengan mengikuti panduan Mengonfigurasi Sumber.
- Pilih tab Traffic Flow Configuration, klik Create, lalu berikan detail konfigurasi berikut:
- Name: Masukkan nama deskriptif (misalnya,
dns-to-secops). - Sumber: Pilih sumber kueri dan respons DNS (Log Kueri/Respons Infoblox Threat Defense, atau Log Kueri/Respons DNS Universal DDI).
- Tujuan: Pilih tujuan syslog yang Anda buat.
- Instance Layanan: Pilih instance layanan Data Connector (opsional, tambahkan instance sekunder untuk failover).
- Status: Aktifkan aliran traffic menggunakan penggeser.
- Name: Masukkan nama deskriptif (misalnya,
- Klik Simpan & Tutup.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
message |
about |
Dipetakan: CEF: → about |
deviceNtDomain |
about.administrative_domain |
Diganti nama/dipetakan |
deviceExternalId |
about.asset.asset_id |
Dipetakan secara langsung |
device_product |
about.asset.asset_id |
Dipetakan secara langsung |
device_vendor |
about.asset.asset_id |
Dipetakan secara langsung |
fileHash |
about.file.full_path |
Dipetakan secara langsung |
filePath |
about.file.full_path |
Diganti nama/dipetakan |
_hash |
about.file.sha256 |
Diganti nama/dipetakan |
fileHash |
about.file.sha256 |
Diganti nama/dipetakan |
fsize |
about.file.size |
Diganti nama/dipetakan |
dvchost |
about.hostname |
Diganti nama/dipetakan |
ips |
about.ip |
Digabung |
message |
about.ip |
Dipetakan: CEF: → ips |
dvc_mac |
about.mac |
Dipetakan: slot → mac_address |
dvcmac |
about.mac |
Digabung |
mac_address |
about.mac |
Digabung |
message |
about.mac |
Dipetakan: CEF: → mac_address, CEF: → dvcmac |
deviceTranslatedAddress |
about.nat_ip |
Digabung |
message |
about.nat_ip |
Dipetakan: CEF: → deviceTranslatedAddress |
Emne |
about.process.command_line |
Dipetakan secara langsung |
Path |
about.process.command_line |
Dipetakan secara langsung |
Subject |
about.process.command_line |
Dipetakan secara langsung |
deviceProcessName |
about.process.command_line |
Diganti nama/dipetakan |
dvcpid |
about.process.pid |
Diganti nama/dipetakan |
message |
about.resource.attribute.permissions |
Dipetakan: CEF: → permissions |
permissions |
about.resource.attribute.permissions |
Digabung |
_field |
additional.fields |
Digabung |
additional_cfp1 |
additional.fields |
Digabung |
additional_cfp2 |
additional.fields |
Digabung |
additional_cfp3 |
additional.fields |
Digabung |
additional_cfp4 |
additional.fields |
Digabung |
additional_cn1 |
additional.fields |
Digabung |
additional_cn2 |
additional.fields |
Digabung |
additional_cn3 |
additional.fields |
Digabung |
additional_cs1 |
additional.fields |
Digabung |
additional_cs2 |
additional.fields |
Digabung |
additional_cs3 |
additional.fields |
Digabung |
additional_cs4 |
additional.fields |
Digabung |
additional_cs5 |
additional.fields |
Digabung |
additional_cs6 |
additional.fields |
Digabung |
additional_cs7 |
additional.fields |
Digabung |
additional_devicePayloadId |
additional.fields |
Digabung |
additional_eventId |
additional.fields |
Digabung |
additional_flexString1 |
additional.fields |
Digabung |
additional_fname |
additional.fields |
Digabung |
allow_recursion_label |
additional.fields |
Digabung |
auth_type_label |
additional.fields |
Digabung |
create_ptr_for_bulk_hosts_label |
additional.fields |
Digabung |
create_ptr_for_hosts_label |
additional.fields |
Digabung |
cs2 |
additional.fields |
Dipetakan: arc_test → additional_cs2 |
cs5_label |
additional.fields |
Digabung |
ddns_principal_group_label |
additional.fields |
Digabung |
exclude_subobj_label |
additional.fields |
Digabung |
is_multimaster_label |
additional.fields |
Digabung |
locked_label |
additional.fields |
Digabung |
message |
additional.fields |
Nilai yang dipetakan (total 34, misalnya CEF: → additional_eventId, CEF: → `additional_devicePayl... |
mgm_private_label |
additional.fields |
Digabung |
ms_ad_integrated_label |
additional.fields |
Digabung |
network_view_label |
additional.fields |
Digabung |
object_type |
additional.fields |
Nilai yang dipetakan (total 12, misalnya DnsView → allow_recursion_label, DnsView → `ddns_princip... |
use_ssh_keys_label |
additional.fields |
Digabung |
view_label |
additional.fields |
Digabung |
zone_format_label |
additional.fields |
Digabung |
_intermediary |
intermediary |
Digabung |
message |
intermediary |
Dipetakan: CEF: → _intermediary |
description |
metadata.description |
Dipetakan secara langsung |
msg |
metadata.description |
Diganti nama/dipetakan |
Generated |
metadata.event_timestamp |
Diurai sebagai yyyy-MM-ddTHH:mm:ss |
Received |
metadata.event_timestamp |
Diurai sebagai yyyy-MM-ddTHH:mm:ss |
datetime |
metadata.event_timestamp |
Diurai sebagai dd-MMM-yyyy HH:mm:ss.SSS |
rt |
metadata.event_timestamp |
Diurai sebagai yyyy-MM-ddTHH:mm:ssZ |
syslog_timestamp |
metadata.event_timestamp |
Diurai sebagai MMM d HH:mm:ss |
event_name |
metadata.event_type |
Dipetakan: "LogSpyware","LogPredictiveMachineLearning" → SCAN_UNCATEGORIZED |
event_type |
metadata.event_type |
Diganti nama/dipetakan |
has_user |
metadata.event_type |
Dipetakan: true → USER_UNCATEGORIZED |
message |
metadata.event_type |
Dipetakan: CEF: → PROCESS_UNCATEGORIZED, CEF: → SCAN_UNCATEGORIZED, CEF: → `USER_UNCA... |
device_event_class_id |
metadata.product_event_type |
Dipetakan secara langsung |
event_name |
metadata.product_event_type |
Dipetakan secara langsung |
evt_type |
metadata.product_event_type |
Dipetakan secara langsung |
object_type |
metadata.product_event_type |
Dipetakan secara langsung |
externalId |
metadata.product_log_id |
Dipetakan secara langsung |
device_product |
metadata.product_name |
Dipetakan secara langsung |
message |
metadata.product_name |
Dipetakan: CEF: → Infoblox DNS |
device_version |
metadata.product_version |
Dipetakan secara langsung |
device_vendor |
metadata.vendor_name |
Diganti nama/dipetakan |
message |
metadata.vendor_name |
Dipetakan: CEF: → INFOBLOX |
app_protocol_output |
network.application_protocol |
Dipetakan secara langsung |
message |
network.application_protocol |
Dipetakan: CEF: → DNS |
deviceDirection |
network.direction |
Dipetakan: 0 → INBOUND, 1 → OUTBOUND |
message |
network.direction |
Dipetakan: CEF: → INBOUND, CEF: → OUTBOUND |
answers1 |
network.dns.answers |
Digabung |
answers2 |
network.dns.answers |
Digabung |
dns_answer |
network.dns.answers |
Digabung |
message |
network.dns.answers |
Dipetakan: CEF: → dns_answer, CEF: → answers1, CEF: → answers2 |
msg2 |
network.dns.answers |
Dipetakan: ; → dns_answer |
authority |
network.dns.authority |
Digabung |
dns_authority |
network.dns.authority |
Digabung |
message |
network.dns.authority |
Dipetakan: CEF: → dns_authority, CEF: → authority |
dns_question |
network.dns.questions |
Digabung |
message |
network.dns.questions |
Dipetakan: CEF: → dns_question |
dns.response_code |
network.dns.response_code |
Diganti nama/dipetakan |
requestMethod |
network.http.method |
Diganti nama/dipetakan |
requestClientApplication |
network.http.user_agent |
Diganti nama/dipetakan |
ip_protocol_out |
network.ip_protocol |
Dipetakan secara langsung |
protocol |
network.ip_protocol |
Dipetakan secara langsung |
in |
network.received_bytes |
Diganti nama/dipetakan |
out |
network.sent_bytes |
Diganti nama/dipetakan |
sntdom |
principal.administrative_domain |
Diganti nama/dipetakan |
sourceServiceName |
principal.application |
Diganti nama/dipetakan |
src_host |
principal.asset.hostname |
Dipetakan secara langsung |
src_ip |
principal.asset.hostname |
Dipetakan secara langsung |
message |
principal.asset.ip |
Dipetakan: CEF: → src_ip |
src_ip |
principal.asset.ip |
Digabung |
Group_name |
principal.group.group_display_name |
Dipetakan secara langsung |
Gruppenavn |
principal.group.group_display_name |
Dipetakan secara langsung |
Device_name |
principal.hostname |
Dipetakan secara langsung |
Enhetsnavn |
principal.hostname |
Dipetakan secara langsung |
shost |
principal.hostname |
Diganti nama/dipetakan |
src_host |
principal.hostname |
Dipetakan secara langsung |
src_ip |
principal.hostname |
Dipetakan secara langsung |
message |
principal.ip |
Dipetakan: CEF: → principal_ip, CEF: → shost, CEF: → src_ip |
principal_ip |
principal.ip |
Digabung |
shost |
principal.ip |
Digabung |
src_ip |
principal.ip |
Digabung |
InfobloxB1Region |
principal.location.country_or_region |
Dipetakan secara langsung |
mac |
principal.mac |
Digabung |
message |
principal.mac |
Dipetakan: CEF: → mac |
message |
principal.nat_ip |
Dipetakan: CEF: → sourceTranslatedAddress |
sourceTranslatedAddress |
principal.nat_ip |
Digabung |
sourceTranslatedPort |
principal.nat_port |
Diganti nama/dipetakan |
spt |
principal.port |
Diganti nama/dipetakan |
src_port |
principal.port |
Dipetakan secara langsung |
sproc |
principal.process.command_line |
Diganti nama/dipetakan |
spid |
principal.process.pid |
Diganti nama/dipetakan |
message |
principal.user.attribute.roles |
Dipetakan: CEF: → principal_role |
principal_role |
principal.user.attribute.roles |
Digabung |
suser |
principal.user.user_display_name |
Dipetakan secara langsung |
actor_details |
principal.user.userid |
Dipetakan secara langsung |
suid |
principal.user.userid |
Diganti nama/dipetakan |
message |
security_result |
Dipetakan: CEF: → security_result, CEF: → sec_result |
sec_result |
security_result |
Digabung |
_action |
security_result.action |
Digabung |
act |
security_result.action |
Dipetakan: accept → _action, deny → _action |
message |
security_result.action |
Dipetakan: CEF: → _action |
Action_Taken |
security_result.action_details |
Dipetakan secara langsung |
act |
security_result.action_details |
Dipetakan secara langsung |
cat |
security_result.category_details |
Digabung |
message |
security_result.category_details |
Dipetakan: CEF: → cat |
Scan_Type |
security_result.description |
Dipetakan secara langsung |
Type |
security_result.description |
Dipetakan secara langsung |
msg_data_2 |
security_result.description |
Dipetakan secara langsung |
infection_channel_label |
security_result.detection_fields |
Digabung |
message |
security_result.detection_fields |
Nilai yang dipetakan (total 7, misalnya CEF: → operation_label, CEF: → operasjon_label, CEF: ... |
operasjon_label |
security_result.detection_fields |
Digabung |
operation_label |
security_result.detection_fields |
Digabung |
permission_label |
security_result.detection_fields |
Digabung |
spyware_Grayware_Type_label |
security_result.detection_fields |
Digabung |
threat_probability_label |
security_result.detection_fields |
Digabung |
tillatelse_label |
security_result.detection_fields |
Digabung |
mwProfile |
security_result.rule_name |
Dipetakan secara langsung |
message |
security_result.severity |
Dipetakan: CEF: → LOW, CEF: → MEDIUM, CEF: → HIGH, CEF: → CRITICAL |
severity |
security_result.severity |
Dipetakan: "0", "1", "2", "3", "LOW" → LOW, `"4", "5", "6", "MEDIUM", "SUBSTANTIAL", "INFO"... |
Result |
security_result.summary |
Dipetakan secara langsung |
appcategory |
security_result.summary |
Dipetakan secara langsung |
reason |
security_result.summary |
Diganti nama/dipetakan |
Spyware |
security_result.threat_name |
Dipetakan secara langsung |
Unknown_Threat |
security_result.threat_name |
Dipetakan secara langsung |
Virus_Malware_Name |
security_result.threat_name |
Dipetakan secara langsung |
oldFilePath |
src.file.full_path |
Diganti nama/dipetakan |
oldFileSize |
src.file.size |
Diganti nama/dipetakan |
message |
src.resource.attribute.permissions |
Dipetakan: CEF: → old_permissions |
old_permissions |
src.resource.attribute.permissions |
Digabung |
dntdom |
target.administrative_domain |
Diganti nama/dipetakan |
destinationServiceName |
target.application |
Diganti nama/dipetakan |
dst_ip |
target.asset.hostname |
Dipetakan secara langsung |
dst_ip1 |
target.asset.hostname |
Dipetakan secara langsung |
dst_ip1 |
target.asset.ip |
Digabung |
message |
target.asset.ip |
Dipetakan: CEF: → dst_ip1 |
message |
target.asset.mac |
Dipetakan: CEF: → target_mac |
target_mac |
target.asset.mac |
Dipetakan: ^([0-9A-Fa-f]{2}[:-]){5}[0-9A-Fa-f]{2}$ → target_mac |
dst_ip |
target.hostname |
Dipetakan secara langsung |
dst_ip1 |
target.hostname |
Dipetakan secara langsung |
fqdn |
target.hostname |
Dipetakan secara langsung |
temp_dhost |
target.hostname |
Dipetakan secara langsung |
IPv6_Address |
target.ip |
Digabung |
dst_ip |
target.ip |
Digabung |
dst_ip1 |
target.ip |
Digabung |
ipv6 |
target.ip |
Dipetakan: - → IPv6_Address |
message |
target.ip |
Dipetakan: CEF: → dst_ip, CEF: → IPv6_Address, CEF: → dst_ip1 |
mac_address |
target.mac |
Digabung |
message |
target.mac |
Dipetakan: CEF: → mac_address, CEF: → target_mac |
target_mac |
target.mac |
Dipetakan: ^([0-9A-Fa-f]{2}[:-]){5}[0-9A-Fa-f]{2}$ → target_mac |
destination_translated_address |
target.nat_ip |
Digabung |
message |
target.nat_ip |
Dipetakan: CEF: → destination_translated_address |
destinationTranslatedPort |
target.nat_port |
Diganti nama/dipetakan |
dpt |
target.port |
Diganti nama/dipetakan |
dst_port |
target.port |
Dipetakan secara langsung |
dproc |
target.process.command_line |
Diganti nama/dipetakan |
File_name |
target.process.file.full_path |
Dipetakan secara langsung |
Infected_Resource |
target.process.file.full_path |
Dipetakan secara langsung |
Object |
target.process.file.full_path |
Dipetakan secara langsung |
Objekt |
target.process.file.full_path |
Dipetakan secara langsung |
dpid |
target.process.pid |
Diganti nama/dipetakan |
message |
target.resource.attribute.labels |
Dipetakan: CEF: → resource_Type_label |
resource_Type_label |
target.resource.attribute.labels |
Digabung |
name |
target.resource.name |
Dipetakan secara langsung |
object_name |
target.resource.name |
Dipetakan secara langsung |
request |
target.url |
Dipetakan secara langsung |
message |
target.user.attribute.roles |
Dipetakan: CEF: → target_role |
target_role |
target.user.attribute.roles |
Digabung |
group_id |
target.user.group_identifiers |
Digabung |
message |
target.user.group_identifiers |
Dipetakan: CEF: → group_id |
object_type |
target.user.group_identifiers |
Dipetakan: AdminMember → group_id |
CustomerName |
target.user.user_display_name |
Dipetakan secara langsung |
name |
target.user.user_display_name |
Diganti nama/dipetakan |
temp_duser |
target.user.user_display_name |
Dipetakan secara langsung |
Bruker |
target.user.userid |
Dipetakan secara langsung |
User_value |
target.user.userid |
Dipetakan secara langsung |
object_name |
target.user.userid |
Dipetakan secara langsung |
temp_duid |
target.user.userid |
Dipetakan secara langsung |
| T/A | metadata.event_type |
Konstanta: PROCESS_UNCATEGORIZED |
| T/A | metadata.product_name |
Konstanta: Infoblox DNS |
| T/A | metadata.vendor_name |
Konstanta: INFOBLOX |
| T/A | network.application_protocol |
Konstanta: DNS |
| T/A | network.direction |
Konstanta: INBOUND |
| T/A | security_result.severity |
Konstanta: LOW |
Log Perubahan
Melihat Log Perubahan untuk parser ini
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.