Aruba ClearPass-Protokolle erfassen

In diesem Dokument wird beschrieben, wie Sie Aruba ClearPass-Protokolle mit Bindplane erfassen. Der Parser versucht, die eingehenden Protokolle zu bereinigen und zu strukturieren, indem er überflüssige Felder entfernt und das Nachrichtenformat standardisiert. Je nachdem, ob das Protokoll dem CEF-Format oder einer anderen Struktur folgt, werden im Code relevante Felder mithilfe einer Kombination aus Grok-Mustern, Schlüssel/Wert-Extraktionen und bedingten Logik dem einheitlichen Datenmodell (UDM) zugeordnet. So wird jedes Ereignis in einen bestimmten Sicherheitsereignistyp kategorisiert.

Hinweise

• Sie benötigen eine Google Security Operations-Instanz.
• Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
• Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
• Sie benötigen erhöhte Zugriffsrechte für Aruba ClearPass.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Profil.
3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

1. Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

2. Führen Sie dazu diesen Befehl aus:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux-Installation

1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

2. Führen Sie dazu diesen Befehl aus:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Weitere Installationsressourcen

• Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

1. Rufen Sie die Konfigurationsdatei auf:

   1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
   2. Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

2. Bearbeiten Sie die Datei config.yamlso:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: CLEARPASS
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

4. Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.

5. Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

• Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:

  sudo systemctl restart bindplane-agent
  

• Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Aruba ClearPass-Syslog-Server konfigurieren

1. Melden Sie sich in der ClearPass Policy Manager-Konsole an.
2. Wählen Sie Verwaltung > Externe Server > Syslog-Ziele aus.
3. Klicken Sie auf Hinzufügen.
4. Geben Sie im angezeigten Fenster Syslog-Ziel hinzufügen die folgenden Details an:
   • Hostadresse: Geben Sie die BindPlane-IP-Adresse ein.
   • Serverport: Geben Sie die Bindplane-Portnummer ein.
   • Protocol (Protokoll): Wählen Sie UDP aus. Je nach Bindplane-Konfiguration können Sie auch TCP auswählen.
5. Klicken Sie auf Speichern.

Syslog-Exportfilter konfigurieren

1. Gehen Sie zu Verwaltung > Externe Server > Syslog-Exportfilter.
2. Klicken Sie auf Hinzufügen.
3. Geben Sie im angezeigten Fenster Syslog-Filter hinzufügen auf dem Tab Allgemein Folgendes an:
   • Name: Geben Sie den Namen des syslog-Exportfilters anhand der Tabelle unter Exportvorlage – Elemente ein.
   • Vorlage exportieren: Wählen Sie die entsprechende Exportvorlage anhand der Tabelle unter Elemente der Exportvorlage aus.
   • Exportformat für Ereignisse: Wählen Sie Standard aus.
   • Syslog-Server: Wählen Sie die Bindplane-IP-Adresse aus.
4. Wenn Sie in der Liste Exportvorlage die Exportvorlage Sitzung oder Erkenntnis auswählen, wird der Tab Filter und Spalten aktiviert. Gehen Sie folgendermaßen vor:
   • Klicken Sie auf den Tab Filter und Spalten.
   • Datenfilter: Der Standardwert Alle Anfragen muss ausgewählt sein.
   • Spaltenauswahl: Wählen Sie die vordefinierte Feldgruppe basierend auf der Tabelle unter Vorlageneinzelteile exportieren aus.
   • Ausgewählte Spalten: Prüfen Sie, ob die automatisch ausgefüllten Felder mit der Tabelle in Vorlage für Exportelemente übereinstimmen.
   • Klicken Sie auf den Tab Zusammenfassung.
   • Klicken Sie auf Speichern.
5. Wenn Sie in der Liste Exportvorlage die Exportvorlagen Systemereignisse und Audit-Eintragsdaten auswählen, ist der Tab Filter und Spalten nicht aktiviert. Rufen Sie den Tab Zusammenfassung auf und klicken Sie auf Speichern.
6. Wiederholen Sie die Schritte, um syslog-Exportfilter für alle Exportvorlagen für Sitzungen, Statistiken, Audit-Einträgne und Systemereignisse hinzuzufügen. Orientieren Sie sich dabei an den Details in der Tabelle unter Zusammenfassung der Exportvorlageneinzelheiten.

Vorlagenelemente exportieren

In der folgenden Tabelle werden die Elemente beschrieben, die Sie für jede Exportvorlage konfigurieren müssen. Die Standardfelder, die in „Ausgewählte Spalten“ aufgeführt sind, werden für das Ereignis-Parsing unterstützt. Achten Sie darauf, dass alle Felder, die in der Tabelle unter „Ausgewählte Spalten (Standard)“ aufgeführt sind, vorhanden sind und in derselben Reihenfolge. Achten Sie darauf, dass Sie syslog-Exportfiltervorlagen genau wie in der Tabelle angegeben erstellen, einschließlich des buchstabensensitiven Namens des Filters.

Name des Syslog-Exportfilters (Groß- und Kleinschreibung beachten)	Vorlage exportieren	Vordefinierte Feldgruppen	Ausgewählte Spalten (Standard)
ACPPM_radauth	Insight-Logs	Radius-Authentifizierungen	Auth.Username Auth.Host-MAC-Address Auth.Protocol Auth.NAS-IP-Address CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles
ACPPM_radfailedauth	Insight-Logs	Fehlgeschlagene Radius-Authentifizierungen	Auth.Username Auth.Host-MAC-Address Auth.NAS-IP-Address CppmNode.CPPM-Node Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts
ACPPM_radacct	Insight-Logs	RADIUS-Abrechnung	Radius.Username Radius.Calling-Station-Id Radius.Framed-IP-Address Radius.NAS-IP-Address Radius.Start-Time Radius.End-Time Radius.Duration Radius.Input-bytes Radius.Output-bytes
ACPPM_tacauth	Insight-Logs	TACACS-Authentifizierung	tacacs.Username tacacs.Remote-Address tacacs.Request-Type tacacs.NAS-IP-Address tacacs.Service tacacs.Auth-Source tacacs.Roles tacacs.Enforcement-Profiles tacacs.Privilege-Level
ACPPM_tacfailedauth	Insight-Logs	tacacs-Authentifizierung fehlgeschlagen	tacacs.Username tacacs.Remote-Address tacacs.Request-Type tacacs.NAS-IP-Address tacacs.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts
ACPPM_webauth	Insight-Logs	WEBAUTH	Auth.Username Auth.Host-MAC-Address Auth.Host-IP-Address Auth.Protocol Auth.System-Posture-Token CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles
ACPPM_webfailedauth	Insight-Logs	WEBAUTH-Fehlgeschlagene Authentifizierungen	Auth.Username Auth.Host-MAC-Address Auth.Host-IP-Address Auth.Protocol Auth.System-Posture-Token CppmNode.CPPM-Node Auth.Login-Status Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts
ACPPM_appauth	Insight-Logs	Anwendungsauthentifizierung	Auth.Username Auth.Host-IP-Address Auth.Protocol CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles
ACPPM_failedappauth	Insight-Logs	Fehlgeschlagene Anwendungsauthentifizierung	Auth.Username Auth.Host-IP-Address Auth.Protocol CppmNode.CPPM-Node Auth.Login-Status Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts
ACPPM_endpoints	Insight-Logs	Endpunkte	Endpoint.MAC-Address Endpoint.MAC-Vendor Endpoint.IP-Address Endpoint.Username Endpoint.Device-Category Endpoint.Device-Family Endpoint.Device-Name Endpoint.Conflict Endpoint.Status Endpoint.Added-At Endpoint.Updated-At
ACPPM_cpguest	Insight-Logs	Clearpass-Gast	Guest.Username Guest.MAC-Address Guest.Visitor-Name Guest.Visitor-Company Guest.Role-Name Guest.Enabled Guest.Created-At Guest.Starts-At Guest.Expires-At
ACPPM_onbenroll	Insight-Logs	Onboarding-Registrierung	OnboardEnrollment.Username OnboardEnrollment.Device-Name OnboardEnrollment.MAC-Address OnboardEnrollment.Device-Product OnboardEnrollment.Device-Version OnboardEnrollment.Added-At OnboardEnrollment.Updated-At
ACPPM_onbcert	Insight-Logs	Onboarding-Zertifikat	OnboardCert.Username OnboardCert.Mac-Address OnboardCert.Subject OnboardCert.Issuer OnboardCert.Valid-From OnboardCert.Valid-To OnboardCert.Revoked-At
ACPPM_onboscp	Insight-Logs	OCSP einrichten	OnboardOCSP.Remote-Address OnboardOCSP.Response-Status-Name OnboardOCSP.Timestamp
ACPPM_cpsysevent	Insight-Logs	Clearpass-Systemereignisse	CppmNode.CPPM-Node CppmSystemEvent.Source CppmSystemEvent.Level CppmSystemEvent.Category CppmSystemEvent.Action CppmSystemEvent.Timestamp
ACPPM_cpconfaudit	Insight-Logs	Clearpass-Konfigurationsprüfung	CppmConfigAudit.Name CppmConfigAudit.Action CppmConfigAudit.Category CppmConfigAudit.Updated-By CppmConfigAudit.Updated-At
ACPPM_possummary	Insight-Logs	Statusübersicht	Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Posture-Healthy Endpoint.Posture-Unhealthy
ACPPM_posfwsummary	Insight-Logs	Firewall-Status – Zusammenfassung	Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Firewall-APT Endpoint.Firewall-Input Endpoint.Firewall-Output
ACPPM_poavsummary	Insight-Logs	Antiviren-Status – Zusammenfassung	Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Antivirus-APT Endpoint.Antivirus-Input Endpoint.Antivirus-Output
ACPPM_posassummary	Insight-Logs	Anti-Spyware-Status – Zusammenfassung	Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Antispyware-APT Endpoint.Antispyware-Input Endpoint.Antispyware-Output
ACPPM_posdskencrpsummary	Insight-Logs	Status „Laufwerksverschlüsselung“ – Zusammenfassung	Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.DiskEncryption-APT Endpoint.DiskEncryption-Input Endpoint.DiskEncryption-Output
ACPPM_loggedusers	Sitzungsprotokolle	Angemeldete Nutzer	Common.Username Common.Service Common.Roles Common.Host-MAC-Address RADIUS.Acct-Framed-IP-Address Common.NAS-IP-Address Common.Request-Timestamp
ACPPM_failedauth	Sitzungsprotokolle	Fehlgeschlagene Authentifizierungen	Common.Username Common.Service Common.Roles RADIUS.Auth-Source RADIUS.Auth-Method Common.System-Posture-Token Common.Enforcement-Profiles Common.Host-MAC-Address Common.NAS-IP-Address Common.Error-Code Common.Alerts Common.Request-Timestamp
ACPPM_radacctsession	Sitzungsprotokolle	RADIUS-Abrechnung	RADIUS.Acct-Username RADIUS.Acct-NAS-IP-Address RADIUS.Acct-NAS-Port RADIUS.Acct-NAS-Port-Type RADIUS.Acct-Calling-Station-Id RADIUS.Acct-Framed-IP-Address RADIUS.Acct-Session-Id RADIUS.Acct-Session-Time RADIUS.Acct-Output-Pkts RADIUS.Acct-Input-Pkts RADIUS.Acct-Output-Octets RADIUS.Acct-Input.Octets RADIUS.Acct-Service-Name RADIUS.Acct-Timestamp
ACPPM_tacadmin	Sitzungsprotokolle	TACACS+-Verwaltung	Common.Username Common.Service tacacs.Remote-Address tacacs.Privilege.Level Common.Request-Timestamp
ACPPM_tacacct	Sitzungsprotokolle	TACACS+-Ressourcenerfassung	Common.Username Common.Service tacacs.Remote-Address tacacs.Acct-Flags tacacs.Privilege.Level Common.Request-Timestamp
ACPPM_webauthsession	Sitzungsprotokolle	Webauthentifizierung	Common.Username Common.Host-MAC-Address WEBAUTH.Host-IP-Address Common.Roles Common.System-Posture-Token Common.Enforcement-Profiles Common.Request-Timestamp
ACPPM_guestacc	Sitzungsprotokolle	Gastzugriff	Common.Username RADIUS.Auth-Method Common.Host-MAC-Address Common.Roles Common.System-Posture-Token Common.Enforcement-Profiles Common.Request-Timestamp
ACPPM_auditrecords	Audit-Einträg	Nicht zutreffend	Nicht zutreffend
ACPPM_systemevents	Systemereignisse	Nicht zutreffend	Nicht zutreffend

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Aktion	security_result.action	Der Wert wird aus dem Feld „Aktion“ zugeordnet, wenn sein Wert „ZULASSEN“ oder „BLOCKIEREN“ ist.
Auth.Enforcement-Profiles	security_result.detection_fields.value	Wert wird aus dem Feld „Auth.Enforcement-Profiles“ zugeordnet
Auth.Host-MAC-Adresse	principal.mac	Der Wert wird aus dem Feld „Auth.Host-MAC-Address“ zugeordnet, nachdem es in das durch Doppelpunkte getrennte MAC-Adressenformat konvertiert wurde.
Auth.Login-Status	security_result.detection_fields.value	Wert wird aus dem Feld „Auth.Login-Status“ zugeordnet
Auth.NAS-IP-Address	target.ip	Wert wird aus dem Feld „Auth.NAS-IP-Address“ zugeordnet
Auth.Protocol	intermediary.application	Wert wird aus dem Feld „Auth.Protocol“ zugeordnet
Auth.Service	security_result.detection_fields.value	Wert wird aus dem Feld „Auth.Service“ zugeordnet
Auth.Source	principal.hostname	Der Wert wird aus dem Feld „Auth.Source“ zugeordnet, nachdem alle vorangestellten alphanumerischen Zeichen und Leerzeichen entfernt wurden.
Auth.Username	principal.user.user_display_name	Wert wird aus dem Feld „Auth.Username“ zugeordnet
Kategorie	metadata.event_type	Wenn der Wert „Angemeldet“ ist, wird das UDM-Feld auf „USER_LOGIN“ gesetzt. Wenn der Wert „Abgemeldet“ ist, wird das UDM-Feld auf „USER_LOGOUT“ gesetzt.
Common.Alerts	security_result.description	Wert wird aus dem Feld „Common.Alerts“ zugeordnet
Common.Enforcement-Profiles	security_result.detection_fields.value	Wert wird aus dem Feld „Common.Enforcement-Profiles“ zugeordnet
Common.Login-Status	security_result.detection_fields.value	Wert wird aus dem Feld „Common.Login-Status“ zugeordnet
Common.NAS-IP-Address	target.ip	Wert wird aus dem Feld „Common.NAS-IP-Address“ zugeordnet
Common.Roles	principal.user.group_identifiers	Wert wird aus dem Feld „Common.Roles“ zugeordnet
Common.Service	security_result.detection_fields.value	Wert wird aus dem Feld „Common.Service“ zugeordnet
Common.Username	principal.user.userid	Wert wird aus dem Feld „Common.Username“ zugeordnet
Komponente	intermediary.application	Wert wird aus dem Feld „Component“ zugeordnet
Beschreibung	metadata.description	Der Wert wird aus dem Feld „Beschreibung“ zugeordnet, nachdem Zeilenumbruchzeichen durch das Pipe-Symbol ersetzt wurden. Wenn das Feld „Beschreibung“ „Nutzer“, „Adresse“ und „Rolle“ enthält, wird es als Schlüssel/Wert-Paar geparst und den entsprechenden UDM-Feldern zugeordnet. Wenn das Feld „Beschreibung“ den Text „Unable connection with“ enthält, wird der Zielhostname extrahiert und mit „target.hostname“ verknüpft.
EntityName	principal.hostname	Wert wird aus dem Feld „EntityName“ zugeordnet
InterIP	target.ip	Wert wird aus dem Feld „InterIP“ zugeordnet
Level	security_result.severity	Wenn der Wert „ERROR“ oder „FATAL“ ist, wird das UDM-Feld auf „HIGH“ gesetzt. Wenn der Wert „WARN“ ist, wird das UDM-Feld auf „MEDIUM“ gesetzt. Wenn der Wert „INFO“ oder „DEBUG“ ist, wird das UDM-Feld auf „LOW“ gesetzt.
LogNumber	metadata.product_log_id	Wert wird aus dem Feld „LogNumber“ zugeordnet
RADIUS.Acct-Framed-IP-Address	principal.ip	Wert wird aus dem Feld „RADIUS.Acct-Framed-IP-Address“ zugeordnet
Zeitstempel	metadata.event_timestamp	Der Wert wird aus dem Feld „Zeitstempel“ abgeleitet, nachdem es in UTC konvertiert und als Zeitstempel geparst wurde.
Nutzer	principal.user.userid	Wert wird aus dem Feld „Nutzer“ zugeordnet
agent_ip	principal.ip, principal.asset.ip	Wert wird aus dem Feld „agent_ip“ zugeordnet
Community	additional.fields.value.string_value	Wert wird aus dem Feld „community“ zugeordnet
descr	metadata.description	Wert wird aus dem Feld „descr“ zugeordnet
Enterprise	additional.fields.value.string_value	Wert wird aus dem Feld „enterprise“ zugeordnet
eventDescription	metadata.description	Der Wert wird aus dem Feld „eventDescription“ zugeordnet, nachdem Anführungszeichen entfernt wurden.
generic_num	additional.fields.value.string_value	Wert wird aus dem Feld „generic_num“ zugeordnet
prin_mac	principal.mac	Der Wert wird aus dem Feld „prin_mac“ zugeordnet, nachdem es in das durch Doppelpunkte getrennte MAC-Adressformat konvertiert wurde.
prin_port	principal.port	Der Wert wird aus dem Feld „prin_port“ zugeordnet und in eine Ganzzahl konvertiert.
specificTrap_name	additional.fields.value.string_value	Wert wird aus dem Feld „specificTrap_name“ zugeordnet
specificTrap_num	additional.fields.value.string_value	Wert wird aus dem Feld „specificTrap_num“ zugeordnet
uptime	additional.fields.value.string_value	Wert wird aus dem Feld „uptime“ zugeordnet
Version	metadata.product_version	Wert wird aus dem Feld „version“ zugeordnet
	extensions.auth.type	Der Wert ist auf „SSO“ festgelegt.
	metadata.event_type	Der Wert wird anhand verschiedener Protokollfelder und Parserlogik ermittelt. Weitere Informationen finden Sie im Parsercode.
	metadata.log_type	Der Wert ist auf „CLEARPASS“ festgelegt.
	metadata.product_name	Der Wert ist auf „ClearPass“ festgelegt.
	metadata.vendor_name	Der Wert ist auf „ArubaNetworks“ festgelegt.

Änderungen

2024-09-12

Optimierung:

• Unterstützung für das neue Format von SYSLOG- und JSON-Logs hinzugefügt.

2024-08-08

Optimierung:

• Acct-NAS-IP-Address wurde principal.ip zugeordnet.
• Acct-Username wurde principal.user.userid zugeordnet.
• Acct-Calling-Station-Id wurde principal.user.product_object_id zugeordnet.

2024-05-05

Optimierung:

• Es wurde ein Problem beim Parsen von SYSLOG-Format-Logs behoben.
• prin_port wurde principal.port zugeordnet.
• agent_ip wurde principal.ip und principal.asset.ip zugeordnet.
• descr und eventDescription wurden metadata.description zugeordnet.
• version wurde metadata.product_version zugeordnet.
• specificTrap_name, uptime, enterprise, generic_num, specificTrap_num und community wurden additional.fields zugeordnet.

2024-01-11

Optimierung:

• Common.NAS-IP-Address wurde target.ip zugeordnet.
• Common.Service, Common.Enforcement-Profiles und Common.Login-Status wurden security_result.detection_fields zugeordnet.

2022-08-18

Optimierung:

• Es wurden CEF-Format-Logs und nicht geparste Logs verarbeitet, um die Parserate zu verbessern.
• metadata.event_type wurde STATUS_UPDATE zugeordnet, wenn principal.hostname/principal.ip nicht null ist, andernfalls GENERIC_EVENT.

2022-07-08

Optimierung:

• Die Zuordnung für _target_user_groupid wurde von target.user.groupid zu target.user.group_identifiers geändert.
• Die Zuordnung für Common.Roles wurde von principal.user.groupid zu principal.user.group_identifiers geändert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten