Proofpoint Emerging Threats Pro-IOC-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Proofpoint Emerging Threats Pro-IOC-Logs mit Google Cloud Storage in Google Security Operations aufnehmen. Emerging Threats Intelligence veröffentlicht stündlich Reputationslisten für IPs und Domains im CSV-Format mit Threat Intelligence-Daten, einschließlich Kategorien, Punktzahlen und temporären Informationen. Der Parsercode verarbeitet ET_PRO-Threat-Intelligence-Daten im CSV-Format. Es werden IP-Adressen, Domains, Kategorien, Punktzahlen und andere relevante Informationen extrahiert und sowohl einem standardisierten IOC-Format als auch dem Chronicle UDM-Schema zugeordnet, um sie weiter zu analysieren und in Google SecOps zu verwenden.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Ein GCP-Projekt mit aktivierter Cloud Storage API
Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
Proofpoint ET Intelligence-Abo mit Zugriff auf Reputationslisten
ET Intelligence API-Schlüssel von https://etadmin.proofpoint.com/api-access

Voraussetzungen für Emerging Threats Pro

Melden Sie sich im ET Intelligence Admin Portal unter https://etadmin.proofpoint.com an.
Rufen Sie API-Zugriff auf.
Kopieren und speichern Sie Ihren API-Schlüssel.
Wenden Sie sich an Ihren Proofpoint-Ansprechpartner, um Folgendes zu erhalten:
- URL der detaillierten Liste mit IP-Reputation
- URL der detaillierten Liste mit dem Domainruf

ET Intelligence stellt separate CSV-Dateien für IP- und Domain-Reputationslisten bereit, die stündlich aktualisiert werden. Verwenden Sie das Format „Detailliert“, das die folgenden Spalten enthält:

Domainliste: Domainname, Kategorie, Punktzahl, Erste Sichtung, Letzte Sichtung, Ports
IP-Liste: IP-Adresse, Kategorie, Punktzahl, Erste Sichtung, Letzte Sichtung, Ports

Die URLs für detaillierte Formate folgen in der Regel diesem Muster:

IP-Liste: https://rules.emergingthreatspro.com/[your-code]/reputation/detailed-iprepdata.txt
Domainliste: https://rules.emergingthreatspro.com/[your-code]/reputation/detailed-domainrepdata.txt

Der Autorisierungsheader muss den Rohwert des API-Schlüssels ohne das Präfix „Bearer“ enthalten, um den Erwartungen der Emerging Threats API zu entsprechen.

Google Cloud Storage-Bucket erstellen

Rufen Sie die Google Cloud Console auf.
Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
Klicken Sie auf Bucket erstellen.

Geben Sie die folgenden Konfigurationsdetails an:

Einstellung	Wert
Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. `et-pro-ioc-bucket`.
Standorttyp	Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
Standort	Wählen Sie den Speicherort aus, z. B. `us-central1`.
Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
Zugriffssteuerung	Einheitlich (empfohlen)
Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

Klicken Sie auf Erstellen.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
Klicken Sie auf Dienstkonto erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Name des Dienstkontos: Geben Sie et-pro-ioc-fetcher-sa ein.
- Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Proofpoint ET Pro IOC logs ein.
Klicken Sie auf Erstellen und fortfahren.
Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
1. Klicken Sie auf Rolle auswählen.
2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
3. Klicken Sie auf + Weitere Rolle hinzufügen.
4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
5. Klicken Sie auf + Weitere Rolle hinzufügen.
6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
Klicken Sie auf Weiter.
Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

Rufen Sie Cloud Storage > Buckets auf.
Klicken Sie auf den Namen Ihres Buckets.
Wechseln Sie zum Tab Berechtigungen.
Klicken Sie auf Zugriff erlauben.
Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. et-pro-ioc-fetcher-sa@PROJECT_ID.iam.gserviceaccount.com).
- Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

Rufen Sie in der GCP Console Pub/Sub > Themen auf.
Klicken Sie auf Thema erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Themen-ID: Geben Sie et-pro-ioc-trigger ein.
- Übernehmen Sie die anderen Einstellungen.
Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der Proofpoint ET Intelligence API abzurufen und in GCS zu schreiben.

Rufen Sie in der GCP Console Cloud Run auf.
Klicken Sie auf Dienst erstellen.
Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

Einstellung	Wert
Dienstname	`et-pro-ioc-fetcher`
Region	Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. `us-central1`).
Laufzeit	Wählen Sie Python 3.12 oder höher aus.

Im Abschnitt Trigger (optional):
1. Klicken Sie auf + Trigger hinzufügen.
2. Wählen Sie Cloud Pub/Sub aus.
3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen die Option et-pro-ioc-trigger aus.
4. Klicken Sie auf Speichern.
Im Abschnitt Authentifizierung:
1. Wählen Sie Authentifizierung erforderlich aus.
2. Identitäts- und Zugriffsverwaltung
Hinweis: Pub/Sub übernimmt die Authentifizierung beim Aufrufen der Funktion automatisch.
Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.
Rufen Sie den Tab Sicherheit auf:
- Dienstkonto: Wählen Sie et-pro-ioc-fetcher-sa aus.

Rufen Sie den Tab Container auf:

Klicken Sie auf Variablen und Secrets.
Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

Variablenname	Beispielwert	Beschreibung
`GCS_BUCKET`	`et-pro-ioc-bucket`	Name des GCS-Buckets
`GCS_PREFIX`	`et-pro-ioc`	Präfix für Protokolldateien
`STATE_KEY`	`et-pro-ioc/state.json`	Statusdateipfad
`ET_API_KEY`	`your-et-api-key`	ET Intelligence API-Schlüssel
`ET_IP_LIST_URL`	`https://rules.emergingthreatspro.com/[your-code]/reputation/detailed-iprepdata.txt`	URL der detaillierten Liste mit IP-Reputation
`ET_DOMAIN_LIST_URL`	`https://rules.emergingthreatspro.com/[your-code]/reputation/detailed-domainrepdata.txt`	URL der detaillierten Liste mit dem Domainruf
`TIMEOUT`	`120`	Zeitüberschreitung bei HTTP-Anfrage in Sekunden

Scrollen Sie auf dem Tab Variablen und Secrets nach unten zu Anfragen:
- Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.
Rufen Sie den Tab Einstellungen unter Container auf:
- Im Abschnitt Ressourcen:
  - Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
  - CPU: Wählen Sie 1 aus.
- Klicken Sie auf Fertig.
Scrollen Sie zu Ausführungsumgebung:
- Wählen Sie Standard aus (empfohlen).
Im Abschnitt Versionsskalierung:
- Mindestanzahl von Instanzen: Geben Sie 0 ein.
- Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).
Klicken Sie auf Erstellen.
Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.
Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

Geben Sie main unter Funktionseinstiegspunkt ein.

Erstellen Sie im Inline-Codeeditor zwei Dateien:

Erste Datei: main.py::

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch ET Pro IOC reputation lists and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'et-pro-ioc').strip('/')
    state_key = os.environ.get('STATE_KEY', f'{prefix}/state.json')
    et_api_key = os.environ.get('ET_API_KEY')
    et_ip_list_url = os.environ.get('ET_IP_LIST_URL')
    et_domain_list_url = os.environ.get('ET_DOMAIN_LIST_URL')
    timeout = int(os.environ.get('TIMEOUT', '120'))

    if not all([bucket_name, et_api_key, et_ip_list_url, et_domain_list_url]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Generate timestamp for file naming
        now = datetime.now(timezone.utc)
        timestamp = now.strftime('%Y/%m/%d/%H%M%S')

        results = []
        errors = []

        # Fetch IP reputation list
        try:
            print('Fetching IP reputation list...')
            ip_data = fetch_with_retry(et_ip_list_url, et_api_key, timeout)
            ip_key = f'{prefix}/ip/{timestamp}.csv'
            save_to_gcs(bucket, ip_key, ip_data)
            results.append({'type': 'ip', 'key': ip_key, 'size': len(ip_data)})
            print(f'Successfully fetched IP list: {len(ip_data)} bytes')
        except Exception as e:
            error_msg = f'Failed to fetch IP list: {str(e)}'
            print(error_msg)
            errors.append(error_msg)

        # Fetch Domain reputation list
        try:
            print('Fetching Domain reputation list...')
            domain_data = fetch_with_retry(et_domain_list_url, et_api_key, timeout)
            domain_key = f'{prefix}/domain/{timestamp}.csv'
            save_to_gcs(bucket, domain_key, domain_data)
            results.append({'type': 'domain', 'key': domain_key, 'size': len(domain_data)})
            print(f'Successfully fetched Domain list: {len(domain_data)} bytes')
        except Exception as e:
            error_msg = f'Failed to fetch Domain list: {str(e)}'
            print(error_msg)
            errors.append(error_msg)

        # Save state
        state = {
            'last_fetch': now.isoformat(),
            'results': results,
            'errors': errors
        }
        save_state(bucket, state_key, state)

        if errors:
            print(f'Completed with {len(errors)} error(s)')
        else:
            print('Successfully completed all fetches')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def fetch_with_retry(url, api_key, timeout, max_retries=3):
    """Fetch URL with retry logic for rate limits."""
    if not url.lower().startswith('https://'):
        raise ValueError('Only HTTPS URLs are allowed')

    headers = {'Authorization': api_key}

    for attempt in range(max_retries):
        try:
            response = http.request('GET', url, headers=headers, timeout=timeout)

            if response.status == 200:
                return response.data
            elif response.status == 429:
                # Rate limited, wait and retry
                wait_time = min(30 * (2 ** attempt), 300)
                print(f'Rate limited, waiting {wait_time}s...')
                time.sleep(wait_time)
            else:
                raise Exception(f'HTTP {response.status}: {response.reason}')
        except Exception as e:
            if attempt == max_retries - 1:
                raise
            time.sleep(5 * (attempt + 1))

    raise Exception(f'Failed to fetch {url} after {max_retries} attempts')

def save_to_gcs(bucket, key, content):
    """Save content to GCS with appropriate content type."""
    blob = bucket.blob(key)
    blob.upload_from_string(content, content_type='text/csv')
    print(f'Saved {len(content)} bytes to gs://{bucket.name}/{key}')

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

Zweite Datei: requirements.txt::

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.
Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Hinweis :Bei der Konfiguration des Pub/Sub-Triggers werden automatisch die erforderlichen Abos und Berechtigungen erstellt.

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema, wodurch die Cloud Run-Funktion ausgelöst wird.

Rufen Sie in der GCP Console Cloud Scheduler auf.
Klicken Sie auf Job erstellen.

Geben Sie die folgenden Konfigurationsdetails an:

Einstellung	Wert
Name	`et-pro-ioc-fetcher-hourly`
Region	Dieselbe Region wie für die Cloud Run-Funktion auswählen
Frequenz	`0 * * * *` (jede Stunde, zur vollen Stunde)
Zeitzone	Zeitzone auswählen (UTC empfohlen)
Zieltyp	Pub/Sub
Thema	`et-pro-ioc-trigger` auswählen
Nachrichtentext	`{}` (leeres JSON-Objekt)

Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

Häufigkeit	Cron-Ausdruck	Anwendungsfall
Stündlich	`0 * * * *`	Standard (empfohlen für ET Pro IOC)
Alle zwei Stunden	`0 /2 * *`	Niedrigere Frequenz
Alle 6 Stunden	`0 /6 * *`	Minimale Updates

Integration testen

Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
Warten Sie einige Sekunden.
Rufen Sie Cloud Run > Dienste auf.
Klicken Sie auf den Funktionsnamen (et-pro-ioc-fetcher).
Klicken Sie auf den Tab Logs.

Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Achten Sie auf Folgendes:

Fetching IP reputation list...
Successfully fetched IP list: X bytes
Fetching Domain reputation list...
Successfully fetched Domain list: X bytes
Successfully completed all fetches

Rufen Sie Cloud Storage > Buckets auf.
Klicken Sie auf den Namen Ihres Buckets.
Rufen Sie die Präfixordner (et-pro-ioc/ip/ und et-pro-ioc/domain/) auf.
Prüfen Sie, ob neue .csv-Dateien mit dem aktuellen Zeitstempel erstellt wurden.

Wenn in den Logs Fehler angezeigt werden, gehen Sie so vor:

HTTP 401: ET_API_KEY in Umgebungsvariablen prüfen
HTTP 403: Prüfen, ob der API-Schlüssel die erforderlichen Berechtigungen hat
HTTP 429: Ratenbegrenzung – die Funktion wird automatisch mit Backoff wiederholt.
Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf Einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. ET Pro IOC - IP Reputation.
Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
Wählen Sie Emerging Threats Pro als Logtyp aus.
Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Hinweis :Jede Google SecOps-Instanz hat ein eindeutiges Dienstkonto. Verwenden Sie keine Dienstkonten aus anderer Dokumentation oder anderen Beispielen.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

Rufen Sie Cloud Storage > Buckets auf.
Klicken Sie auf den Namen Ihres Buckets.
Wechseln Sie zum Tab Berechtigungen.
Klicken Sie auf Zugriff erlauben.
Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
- Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
Klicken Sie auf Speichern.

Hinweis: Wenn Sie die Löschoption „Übertragene Dateien löschen“ oder „Übertragene Dateien und leere Verzeichnisse löschen“ verwenden möchten, weisen Sie die Rolle Storage-Objekt-Administrator anstelle von „Storage-Objekt-Betrachter“ zu.

Feeds in Google SecOps konfigurieren, um Proofpoint Emerging Threats Pro-IOC-Logs aufzunehmen

Sie müssen zwei separate Feeds erstellen: einen für die IP-Reputation und einen für die Domain-Reputation.

IP-Reputationsfeed erstellen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf Einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname ET Pro IOC - IP Reputation ein.
Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
Wählen Sie Emerging Threats Pro als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:
```
gs://et-pro-ioc-bucket/et-pro-ioc/ip/
```
  - Ersetzen Sie et-pro-ioc-bucket durch den Namen Ihres tatsächlichen GCS-Buckets.
  Hinweis :Fügen Sie immer den Schrägstrich (/) am Ende des URI ein.
- Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:
  - Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
  - Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
  - Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.
    
    Hinweis :Wenn Sie eine Löschoption auswählen, muss das Dienstkonto die Rolle Storage-Objekt-Administrator anstelle von „Storage-Objekt-Betrachter“ haben. Aktualisieren Sie die IAM-Berechtigungen entsprechend.
- Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feed für die Domainreputation erstellen

Wiederholen Sie den Vorgang zum Erstellen des Feeds:

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf Einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname ET Pro IOC - Domain Reputation ein.
Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
Wählen Sie Emerging Threats Pro als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:
```
gs://et-pro-ioc-bucket/et-pro-ioc/domain/
```
Ersetzen Sie et-pro-ioc-bucket durch den Namen Ihres tatsächlichen GCS-Buckets.

Hinweis :Fügen Sie immer den Schrägstrich (/) am Ende des URI ein.
- Option zum Löschen der Quelle: Wählen Sie die gewünschte Option aus.
- Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Kategorie	Dieses Feld wird in der Parserlogik verwendet, aber nicht direkt dem UDM zugeordnet.	Er bestimmt den Wert von „event.ioc.categorization“ über eine Suchtabelle.
collection_time.nanos	event.idm.entity.metadata.collected_timestamp.nanos	Direkt aus dem Rohlog zugeordnet.
collection_time.seconds	event.idm.entity.metadata.collected_timestamp.seconds	Direkt aus dem Rohlog zugeordnet.
Daten	Dieses Feld wird je nach Inhalt in mehrere UDM-Felder aufgeteilt.
first_seen	event.idm.entity.metadata.interval.start_time	Als Datum geparst und dem UDM zugeordnet.
first_seen	event.ioc.active_timerange.start	Als Datum geparst und dem UDM zugeordnet.
ip_or_domain	event.idm.entity.entity.hostname	Wird der UDM zugeordnet, wenn das Grok-Muster einen Host aus dem Feld extrahiert.
ip_or_domain	event.idm.entity.entity.ip	Wird dem UDM zugeordnet, wenn durch das Grok-Muster kein Host aus dem Feld extrahiert wird.
ip_or_domain	event.ioc.domain_and_ports.domain	Wird der UDM zugeordnet, wenn das Grok-Muster einen Host aus dem Feld extrahiert.
ip_or_domain	event.ioc.ip_and_ports.ip_address	Wird dem UDM zugeordnet, wenn durch das Grok-Muster kein Host aus dem Feld extrahiert wird.
last_seen	event.idm.entity.metadata.interval.end_time	Als Datum geparst und dem UDM zugeordnet.
last_seen	event.ioc.active_timerange.end	Als Datum geparst und dem UDM zugeordnet.
ports	event.idm.entity.entity.labels.value	Gepasst, mit Komma getrennt und der UDM zugeordnet, wenn mehrere Ports vorhanden sind.
ports	event.idm.entity.entity.port	Wird geparst und der UDM zugeordnet, wenn nur ein Port vorhanden ist.
ports	event.ioc.domain_and_ports.ports	Gepasst und dem UDM zugeordnet, wenn das Grok-Muster einen Host aus dem Feld extrahiert.
ports	event.ioc.ip_and_ports.ports	Wird geparst und der UDM zugeordnet, wenn durch das Grok-Muster kein Host aus dem Feld extrahiert wird.
Punktzahl	event.ioc.confidence_score	Direkt aus dem Rohlog zugeordnet.
	event.idm.entity.entity.labels.key	Auf „ports“ festlegen, wenn es mehrere Ports gibt.
	event.idm.entity.metadata.entity_type	Auf „DOMAIN_NAME“ festlegen, wenn das Grok-Muster einen Host aus dem Feld „ip_or_domain“ extrahiert. Andernfalls auf „IP_ADDRESS“ festlegen.
	event.idm.entity.metadata.threat.category	Legen Sie diesen Wert auf „SOFTWARE_MALICIOUS“ fest.
	event.idm.entity.metadata.threat.category_details	Abgeleitet aus dem Feld „Kategorie“ mithilfe einer Nachschlagetabelle.
	event.idm.entity.metadata.threat.threat_name	Legen Sie diesen Wert auf „ET Intelligence Rep List“ fest.
	event.idm.entity.metadata.vendor_name	Auf „ET_PRO_IOC“ festgelegt.
	event.ioc.feed_name	Legen Sie diesen Wert auf „ET Intelligence Rep List“ fest.
	event.ioc.raw_severity	Legen Sie diesen Wert auf „Bösartig“ fest.
	timestamp.nanos	Von „collection_time.nanos“ kopiert.
	timestamp.seconds	Kopiert aus „collection_time.seconds“.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten