BeyondTrust Remote Support-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
Dieser Parser verarbeitet Syslog-Nachrichten von BeyondTrust Remote Support und wandelt sie in das UDM-Format um. Es verarbeitet sowohl CEF- als auch Nicht-CEF-formatierte Logs, extrahiert Felder, führt Datentransformationen durch und ordnet sie den entsprechenden UDM-Feldern zu, einschließlich Details zu Prinzipal, Ziel und Sicherheitsergebnis.
Hinweise
- Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
- Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
- Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
- Führen Sie für die Windows-Installation das folgende Skript aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - Führen Sie für die Linux-Installation das folgende Skript aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - Weitere Installationsoptionen finden Sie in dieser Installationsanleitung.
Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden
- Greifen Sie auf den Computer zu, auf dem BindPlane installiert ist.
Bearbeiten Sie die Datei
config.yamlso:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: BeyondTrust_Remote_Support raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsStarten Sie den Bindplane-Agent neu, um die Änderungen zu übernehmen:
sudo systemctl restart bindplane
Syslog-Export aus BeyondTrust Remote Support konfigurieren
- Melden Sie sich in BeyondTrust Remote Support an.
- Rufen Sie Sicherheit > Appliance-Verwaltung auf.
- Rufen Sie den Bereich Syslog auf und legen Sie die folgenden Werte fest:
- Remote-Syslog-Server: Geben Sie den Hostnamen oder die IP-Adresse des Syslog-Hostservers (Bindplane) ein. In diesem Feld können Sie bis zu drei Syslog-Server hinzufügen.
- Nachrichtenformat: Wählen Sie RFC 5424 aus.
- Port: Geben Sie den Port des Syslog-Hostservers (Bindplane) ein.
- Klicken Sie auf Senden.
UDM-Zuordnung
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| account:expiration | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „account:expiration“ im Rohlog übernommen. |
| account:email:locale | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „account:email:locale“ im Rohlog übernommen. |
| command_shell_is_whitelist | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „sessions:command_shell_is_whitelist“ im Rohlog übernommen. |
| Datum/Uhrzeit | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld „datetime“ im Rohlog geparst und in einen Unix-Zeitstempel konvertiert. |
| dtPostTime | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld „dtPostTime“ im Rohlog geparst und in einen Unix-Zeitstempel konvertiert. |
| event | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „event“ im Rohlog übernommen. |
| Host | read_only_udm.principal.hostname | Der Wert wird aus dem Feld „host“ im Rohlog übernommen. |
| id | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „id“ im Rohlog. |
| license_pool:id | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „license_pool:id“ im Rohlog. |
| login_schedule:timezone | read_only_udm.target.location.country_or_region | Der Wert wird aus dem Feld „login_schedule:timezone“ im Rohlog übernommen. |
| old_account:email:address | read_only_udm.target.user.email_addresses | Der Wert wird aus dem Feld „old_account:email:address“ im Rohlog übernommen. |
| old_account:failed_logins | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_account:failed_logins“ im Rohlog übernommen. |
| old_display_number | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_display_number“ im Rohlog übernommen. |
| old_login_schedule:timezone | read_only_udm.target.location.country_or_region | Der Wert stammt aus dem Feld „old_login_schedule:timezone“ im Rohlog. |
| old_permissions:api:reporting | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:api:reporting“ im Rohlog übernommen. |
| old_permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:jump_item_role:default:id“ im Rohlog übernommen. |
| old_permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:jump_item_role:default:name“ im Rohlog übernommen. |
| old_permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:jump_item_role:teams:id“ im Rohlog übernommen. |
| old_permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:jump_item_role:teams:name“ im Rohlog übernommen. |
| old_permissions:presentations:control:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:presentations:control:status“ im Rohlog übernommen. |
| old_permissions:public_sites:templates:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:public_sites:templates:status“ im Rohlog übernommen. |
| old_permissions:reporting:presentation_reports | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:reporting:presentation_reports“ im Rohlog übernommen. |
| old_permissions:reporting:support_reports | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:reporting:support_reports“ im Rohlog übernommen. |
| old_permissions:reporting:vault_reports | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:reporting:vault_reports“ im Rohlog übernommen. |
| old_permissions:support | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support“ im Rohlog übernommen. |
| old_permissions:support:accept_team_sessions:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:accept_team_sessions:status“ im Rohlog übernommen. |
| old_permissions:support:bomgar_button:change_public_sites:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:bomgar_button:change_public_sites:status“ im Rohlog übernommen. |
| old_permissions:support:bomgar_button:personal:deploy:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:bomgar_button:personal:deploy:status“ im Rohlog übernommen. |
| old_permissions:support:bomgar_button:team:manage | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:bomgar_button:team:manage“ im Rohlog übernommen. |
| old_permissions:support:bomgar_button:team:manage:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:bomgar_button:team:manage:status“ im Rohlog übernommen. |
| old_permissions:support:ios_content | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:ios_content“ im Rohlog übernommen. |
| old_permissions:support:jump:local | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „old_permissions:support:jump:local“ im Rohlog. |
| old_permissions:support:jump:local:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:jump:local:status“ im Rohlog übernommen. |
| old_permissions:support:jump:remote | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:jump:remote“ im Rohlog übernommen. |
| old_permissions:support:jump:remote:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:jump:remote:status“ im Rohlog übernommen. |
| old_permissions:support:rdp:local | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „old_permissions:support:rdp:local“ im Rohlog. |
| old_permissions:support:rdp:local:status | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „old_permissions:support:rdp:local:status“ im Rohlog. |
| old_permissions:support:rdp:remote | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:rdp:remote“ im Rohlog übernommen. |
| old_permissions:support:rdp:remote:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:rdp:remote:status“ im Rohlog übernommen. |
| old_permissions:support:session_assignment:idle_timeout | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:session_assignment:idle_timeout“ im Rohlog übernommen. |
| old_permissions:support:session_assignment:idle_timeout:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:session_assignment:idle_timeout:status“ im Rohlog übernommen. |
| old_permissions:support:session_assignment:session_limit | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:session_assignment:session_limit“ im Rohlog übernommen. |
| old_permissions:support:session_assignment:session_limit:status=forbid_override | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:session_assignment:session_limit:status=forbid_override“ im Rohlog übernommen. |
| old_permissions:support:session_keys | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „old_permissions:support:session_keys“ im Rohlog. |
| old_permissions:support:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:status“ im Rohlog übernommen. |
| old_permissions:support:team_share | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:team_share“ im Rohlog übernommen. |
| old_permissions:support:team_transfer | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „old_permissions:support:team_transfer“ im Rohlog. |
| old_permissions:support:vnc:local | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „old_permissions:support:vnc:local“ im Rohlog. |
| old_permissions:support:vnc:local:status | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „old_permissions:support:vnc:local:status“ im Rohlog. |
| old_permissions:support:vnc:remote | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:vnc:remote“ im Rohlog übernommen. |
| old_permissions:support:vnc:remote:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:vnc:remote:status“ im Rohlog übernommen. |
| old_private_display_name | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_private_display_name“ im Rohlog übernommen. |
| old_provider:id | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „old_provider:id“ im Rohlog. |
| old_provider:name | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „old_provider:name“ im Rohlog. |
| permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „permissions:jump_item_role:default:id“ im Rohlog übernommen. |
| permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „permissions:jump_item_role:default:name“ im Rohlog übernommen. |
| permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „permissions:jump_item_role:teams:id“ im Rohlog übernommen. |
| permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „permissions:jump_item_role:teams:name“ im Rohlog. |
| provider:id | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „provider:id“ im Rohlog. |
| provider:name | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „provider:name“ im Rohlog. |
| reason | read_only_udm.security_result.description | Der Wert wird aus dem Feld „reason“ im Rohlog übernommen und mit dem Präfix „ – Reason:“ an das Feld „description“ angehängt. |
| sEventID | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „sEventID“ im Rohlog übernommen. |
| sIpAddress | read_only_udm.principal.ip | Der Wert wird aus dem Feld „sIpAddress“ im Rohlog übernommen. |
| sLoginName | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „sLoginName“ im Rohlog geparst. Wenn das Feld eine Domain enthält, wird die Domain extrahiert und read_only_udm.principal.namespace zugeordnet. |
| sMessage | read_only_udm.security_result.description | Der Wert wird aus dem Feld „sMessage“ im Rohlog übernommen. Der Parser extrahiert den Text in den Anführungszeichen und ordnet ihn dem Feld „Beschreibung“ zu. |
| sOriginatingAccount | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „sOriginatingAccount“ im Rohlog geparst. Wenn das Feld eine Domain enthält, wird die Domain extrahiert und read_only_udm.principal.namespace zugeordnet. |
| sOriginatingApplicationComponent | read_only_udm.principal.application | Der Wert wird aus dem Feld „sOriginatingApplicationComponent“ im Rohlog übernommen und dem Anwendungsfeld in Klammern nach dem Wert aus „sOriginatingApplicationName“ angehängt. |
| sOriginatingApplicationName | read_only_udm.principal.application | Der Wert wird aus dem Feld „sOriginatingApplicationName“ im Rohlog übernommen. |
| sOriginatingSystem | read_only_udm.principal.hostname | Der Wert wird aus dem Feld „sOriginatingSystem“ im Rohlog übernommen. |
| session_policy:id | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „session_policy:id“ im Rohlog. |
| session_policy:name | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „session_policy:name“ im Rohlog übernommen. |
| session_policy:purpose | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „session_policy:purpose“ im Rohlog übernommen. |
| Website | read_only_udm.target.hostname | Der Wert wird aus dem Feld „site“ im Rohlog übernommen. |
| Status | read_only_udm.security_result.summary | Der Wert wird aus dem Feld „status“ im Rohlog übernommen und an das Zusammenfassungsfeld angehängt. |
| support:jump:local | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „support:jump:local“ im Rohlog. |
| support:permissions:allow_pinned_clients | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:allow_pinned_clients“ im Rohlog übernommen. |
| support:permissions:allow_users | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:allow_users“ im Rohlog übernommen. |
| support:permissions:canned_scripts | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:canned_scripts“ im Rohlog übernommen. |
| support:permissions:chat | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:chat“ im Rohlog übernommen. |
| support:permissions:chat:push_url | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „support:permissions:chat:push_url“ im Rohlog. |
| support:permissions:chat:send_file | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:chat:send_file“ im Rohlog übernommen. |
| support:permissions:command_shell | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:command_shell“ im Rohlog übernommen. |
| support:permissions:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:deploy_callback_button“ im Rohlog übernommen. |
| support:permissions:elevation | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:elevation“ im Rohlog übernommen. |
| support:permissions:file_transfers:cust | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:file_transfers:cust“ im Rohlog übernommen. |
| support:permissions:file_transfers:download | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:file_transfers:download“ im Rohlog übernommen. |
| support:permissions:file_transfers:rep | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:file_transfers:rep“ im Rohlog übernommen. |
| support:permissions:file_transfers:upload | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:file_transfers:upload“ im Rohlog übernommen. |
| support:permissions:registry_access | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:registry_access“ im Rohlog übernommen. |
| support:permissions:request_pin_unpin | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:request_pin_unpin“ im Rohlog übernommen. |
| support:permissions:screen_sharing | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing“ im Rohlog übernommen. |
| support:permissions:screen_sharing:allow_elevated_tools | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:allow_elevated_tools“ im Rohlog übernommen. |
| support:permissions:screen_sharing:annotations | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:annotations“ im Rohlog übernommen. |
| support:permissions:screen_sharing:application_restriction | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:application_restriction“ im Rohlog übernommen. |
| support:permissions:screen_sharing:application_sharing | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:application_sharing“ im Rohlog übernommen. |
| support:permissions:screen_sharing:clipboard_direction | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:clipboard_direction“ im Rohlog übernommen. |
| support:permissions:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:cobrowse“ im Rohlog übernommen. |
| support:permissions:screen_sharing:privacy_mode | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:privacy_mode“ im Rohlog übernommen. |
| support:permissions:screen_sharing:show_screen | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:show_screen“ im Rohlog übernommen. |
| support:permissions:system_info | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:system_info“ im Rohlog übernommen. |
| support:permissions:system_info:actions | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:system_info:actions“ im Rohlog übernommen. |
| support:prompting:command_shell | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „support:prompting:command_shell“ im Rohlog. |
| support:prompting:default | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:prompting:default“ im Rohlog übernommen. |
| support:prompting:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „support:prompting:deploy_callback_button“ im Rohlog. |
| support:prompting:elevate | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „support:prompting:elevate“ im Rohlog. |
| support:prompting:file_transfer | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:prompting:file_transfer“ im Rohlog übernommen. |
| support:prompting:registry | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „support:prompting:registry“ im Rohlog. |
| support:prompting:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:prompting:screen_sharing:cobrowse“ im Rohlog übernommen. |
| support:prompting:screen_sharing:full_access | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:prompting:screen_sharing:full_access“ im Rohlog übernommen. |
| Ziel | read_only_udm.target.application | Der Wert wird aus dem Feld „target“ im Rohlog übernommen. Der Parser ersetzt „rep_client“ durch „Representative Console“ und „web/login“ durch „Web/Login“. |
| two_factor_auth:app | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „two_factor_auth:app“ im Rohlog übernommen. |
| Wann? | read_only_udm.metadata.product_log_id | Der Wert wird aus dem Feld „when“ im Rohlog übernommen. |
| Wann? | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld „when“ im Rohlog geparst und in einen Unix-Zeitstempel konvertiert. |
| auf wen | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „who“ im Rohlog geparst. Der Parser extrahiert den Text in den Klammern. |
| auf wen | read_only_udm.principal.user.user_display_name | Der Wert wird aus dem Feld „who“ im Rohlog geparst. Der Parser extrahiert den Text vor den Klammern. |
| who_ip | read_only_udm.principal.ip | Der Wert wird aus dem Feld „who_ip“ im Rohlog übernommen. |
| read_only_udm.metadata.vendor_name | Der Wert wird vom Parser auf „BeyondTrust“ gesetzt. | |
| read_only_udm.metadata.product_name | Der Wert wird vom Parser auf „BeyondTrust Remote Support“ festgelegt. | |
| read_only_udm.metadata.log_type | Der Wert wird vom Parser auf „BOMGAR“ festgelegt. | |
| read_only_udm.extensions.auth.type | Der Wert wird vom Parser auf „MACHINE“ gesetzt, wenn das Ziel „rep_client“ ist, auf „SSO“, wenn das Ziel „web/login“ ist, und andernfalls auf „AUTHTYPE_UNSPECIFIED“. | |
| read_only_udm.extensions.auth.mechanism | Der Wert wird auf „USERNAME_PASSWORD“ gesetzt, wenn die Methode „using password“ lautet, auf „REMOTE“, wenn die Methode „using elevate“ lautet, und andernfalls vom Parser leer gelassen. | |
| read_only_udm.security_result.action | Der Wert wird auf „ALLOW“ gesetzt, wenn der Status nicht „failure“ ist, der Grund nicht „failed“ oder „user not found“ lautet und die sMessage nicht „failed login to web app“ enthält. Andernfalls wird der Wert vom Parser auf „BLOCK“ gesetzt. | |
| read_only_udm.security_result.summary | Der Wert wird basierend auf dem eventName auf „User login“ (Nutzeranmeldung) oder „User logout“ (Nutzerabmeldung) festgelegt, gefolgt vom Status, sofern dieser nicht leer ist. | |
| read_only_udm.security_result.description | Der Wert wird auf „User “ gefolgt von der Nutzer-ID, IP-Adresse, dem Status, dem Ereignisnamen, dem Connector („to“ für die Anmeldung und „from“ für die Abmeldung), dem Ziel und der Methode festgelegt. Wenn der Grund nicht leer und nicht „failed“ ist, wird er vom Parser mit dem Präfix „ – Reason:“ an die Beschreibung angehängt. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten