Logs für Palo Alto Cortex XDR-Benachrichtigungen erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Protokolle für Palo Alto Cortex XDR-Benachrichtigungen erfassen, indem Sie einen Google Security Operations-Feed einrichten.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahme-Label CORTEX_XDR.
Palo Alto Cortex XDR-Benachrichtigungen konfigurieren
Führen Sie die folgenden Aufgaben aus, um Palo Alto Cortex XDR-Benachrichtigungen zu konfigurieren:
- API-Schlüssel für Palo Alto Cortex XDR-Benachrichtigungen abrufen
- API-Schlüssel-ID für Palo Alto Cortex XDR-Benachrichtigungen abrufen
- Vollständig qualifizierten Domainnamen (FQDN) abrufen
API-Schlüssel für Palo Alto Cortex XDR-Benachrichtigungen abrufen
- Melden Sie sich im Cortex XDR-Portal an.
- Klicken Sie im Menü Einstellungen auf Einstellungen.
- Wählen Sie + Neuer Schlüssel aus.
- Wählen Sie im Abschnitt Sicherheitsstufe die Option Erweitert aus.
- Wählen Sie im Bereich Rollen die Option Betrachter aus.
- Klicken Sie auf Erstellen.
- Kopieren Sie den API-Schlüssel und klicken Sie auf Fertig. Der API-Schlüssel ist Ihr eindeutiger Autorisierungsschlüssel und wird nur bei der Erstellung angezeigt. Sie ist erforderlich, wenn Sie den Google Security Operations-Feed konfigurieren.
API-Schlüssel-ID für Palo Alto Cortex XDR-Benachrichtigungen abrufen
Rufen Sie im Bereich Konfigurationen die Option API-Schlüssel > ID auf. Notieren Sie sich die entsprechende ID-Nummer, die das x-xdr-auth-id:{key_id}-Token darstellt.
FQDN abrufen
- Rufen Sie API-Schlüssel auf.
- Klicken Sie auf URL kopieren. Speichern Sie die URL. Sie ist erforderlich, wenn Sie den Google Security Operations-Feed konfigurieren.
Feeds einrichten
Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:
- SIEM-Einstellungen > Feeds
- Content Hub> Content-Pakete
Feeds über die SIEM-Einstellungen > „Feeds“ einrichten
Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.
So konfigurieren Sie einen einzelnen Feed:
- Rufen Sie die SIEM-Einstellungen> Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
- Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Palo Alto Cortex XDR Alerts Logs (Palo Alto Cortex XDR-Benachrichtigungsprotokolle).
- Wählen Sie Drittanbieter-API als Quelltyp aus.
- Wählen Sie Palo Alto Cortex XDR Alerts als Log Type (Protokolltyp) aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- HTTP-Header für die Authentifizierung: Geben Sie den Autorisierungsschlüssel und die Autorisierungsschlüssel-ID an, die Sie zuvor erhalten haben.
- API-Hostname: Geben Sie die URL an, die Sie zuvor erhalten haben.
- Endpunkt: Geben Sie den Endpunkt an.
- Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.
Feeds über den Content Hub einrichten
Geben Sie Werte für die folgenden Felder an:
- HTTP-Header für die Authentifizierung: Geben Sie den Autorisierungsschlüssel und die Autorisierungsschlüssel-ID an, die Sie zuvor erhalten haben.
- API-Hostname: Geben Sie die URL an, die Sie zuvor erhalten haben.
- Endpunkt: Geben Sie den Endpunkt an.
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
- Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Referenz zur Feldzuordnung
Dieser Parser extrahiert Sicherheitslogs aus Palo Alto Networks Cortex XDR im JSON- oder SYSLOG-Format (Schlüssel/Wert), normalisiert Felder und ordnet sie dem UDM zu. Es verarbeitet sowohl JSON- als auch Schlüssel/Wert-Formate, führt die Datumsextraktion durch, reichert die Daten mit Metadaten an und strukturiert die Ausgabe für die Aufnahme in Google SecOps.
REST API-Anfragen in Cortex XDR aktivieren und einen Google SecOps-Feed konfigurieren
In dieser Anleitung finden Sie eine Schritt-für-Schritt-Anleitung zum Aktivieren von REST API-Anfragen in Cortex XDR und zum Konfigurieren eines entsprechenden Feeds in Google SecOps.
Teil 1: REST API-Anfragen in Cortex XDR aktivieren
Cortex XDR verwendet API-Schlüssel zur Authentifizierung. So generieren Sie einen API-Schlüssel:
- Melden Sie sich in der Cortex XDR-Verwaltungskonsole an.
- Gehen Sie zu Einstellungen.
- Rufen Sie API-Schlüssel auf.
- Generieren Sie einen neuen Schlüssel.
- Geben Sie einen Schlüsselnamen an, z. B. „SecOps-Integration“.
- Weisen Sie dem API-Schlüssel die erforderlichen Berechtigungen für den Zugriff auf die benötigten Daten zu. Dies ist wichtig für die Sicherheit und stellt sicher, dass der Schlüssel nur auf die benötigten Ressourcen zugreifen kann. Die spezifischen Berechtigungen, die für Ihren Anwendungsfall erforderlich sind, finden Sie in der Cortex XDR-Dokumentation.
- Speichern Sie den API-Schlüssel sicher. Sie benötigen sie für die Konfiguration des Google SecOps-Feeds. Dies ist das einzige Mal, dass Sie den vollständigen Schlüssel sehen. Kopieren Sie ihn daher jetzt.
- Optional: Konfigurieren Sie ein Ablaufdatum für den API-Schlüssel, um die Sicherheit zu erhöhen.
Teil 2: Feed in Google SecOps konfigurieren
Nachdem Sie den API-Schlüssel generiert haben, konfigurieren Sie den Feed in Google SecOps, um Daten von Cortex XDR zu empfangen:
- Rufen Sie die SIEM-Einstellungen> Feeds auf.
- Klicken Sie auf Neu hinzufügen.
- Wählen Sie Drittanbieter-API als Quelltyp aus.
- Wählen Sie den erforderlichen Logtyp aus, der den Daten entspricht, die Sie aus Cortex XDR aufnehmen möchten.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden Eingabeparameter:
- API-Endpunkt: Geben Sie die Basis-URL für die Cortex XDR API ein. Diese finden Sie in der Cortex XDR API-Dokumentation.
- API-Schlüssel: Fügen Sie den API-Schlüssel ein, den Sie zuvor generiert haben.
- Andere Parameter: Je nach verwendeter Cortex XDR API müssen Sie möglicherweise zusätzliche Parameter angeben, z. B. bestimmte Datenfilter oder Zeiträume. Weitere Informationen finden Sie in der Cortex XDR API-Dokumentation.
- Klicken Sie auf Weiter und dann auf Senden.
Wichtige Hinweise:
- Ratenbegrenzung: Beachten Sie alle Ratenbegrenzungen, die von der Cortex XDR API auferlegt werden. Konfigurieren Sie den Feed entsprechend, um diese Limits nicht zu überschreiten.
- Fehlerbehandlung: Implementieren Sie eine geeignete Fehlerbehandlung in Ihrer Google SecOps-Konfiguration, um Situationen zu bewältigen, in denen die Cortex XDR API nicht verfügbar ist oder Fehler zurückgibt.
- Sicherheit: Speichern Sie den API-Schlüssel sicher und halten Sie sich an die Best Practices für die Sicherheit. Rotieren Sie API-Schlüssel regelmäßig, um die Auswirkungen potenzieller Manipulationen zu minimieren.
- Dokumentation: In der offiziellen Cortex XDR API-Dokumentation finden Sie detaillierte Informationen zu verfügbaren Endpunkten, Parametern und Datenformaten.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
action |
security_result.action |
Wenn action „BLOCKED“ enthält, legen Sie „BLOCK“ fest. |
action |
security_result.action_details |
Wenn act nicht leer, null oder „none“ ist, verwenden Sie den Wert von act. Andernfalls, wenn action nicht „BLOCKED“ ist, verwenden Sie den Wert von action. |
action_country |
security_result.about.location.country_or_region |
Direkte Zuordnung Wird auch im verschachtelten Feld events verwendet. |
action_file_path |
target.resource.attribute.labels |
Erstellt ein Label mit dem Schlüssel „action_file_path“ und dem Wert aus dem Logfeld. |
action_file_sha256 |
target.file.sha256 |
Wandelt in Kleinbuchstaben um. |
action_local_port |
principal.port |
Konvertiert in eine Ganzzahl. |
action_remote_ip |
target.ip |
In das Array target.ip zusammengeführt. |
action_remote_ip |
target.asset.ip |
In das Array target.asset.ip zusammengeführt. |
action_remote_port |
target.port |
Konvertiert in eine Ganzzahl. |
act |
security_result.action_details |
Wird verwendet, wenn der Wert nicht leer, null oder „none“ ist. |
agent_data_collection_status |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
agent_device_domain |
target.administrative_domain |
Direkte Zuordnung |
agent_fqdn |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
agent_install_type |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
agent_is_vdi |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
agent_os_sub_type |
target.platform_version |
Direkte Zuordnung |
agent_os_type |
target.platform |
Wenn „Windows“, auf „WINDOWS“ festlegen. |
agent_version |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
alert_id |
security_result.rule_id |
Direkte Zuordnung |
app |
target.application |
Direkte Zuordnung |
cat |
security_result.category_details |
Mit dem Feld security_result.category_details zusammengeführt. |
category |
security_result.category |
Wenn „Malware“, auf „SOFTWARE_MALICIOUS“ festlegen. |
category |
security_result.category_details |
Mit dem Feld security_result.category_details zusammengeführt. |
cn1 |
network.session_id |
Direkte Zuordnung |
cn1Label |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
contains_featured_host |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
contains_featured_ip |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
contains_featured_user |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
creation_time |
metadata.event_timestamp |
In Zeitstempel konvertiert. |
cs1 |
security_result.rule_name |
Mit cs1Label verkettet, um die security_result.rule_name zu bilden. |
cs1Label |
security_result.rule_name |
Mit cs1 verkettet, um die security_result.rule_name zu bilden. |
cs2 |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel aus cs2Label und dem Stringwert aus cs2. |
cs2Label |
additional.fields |
Wird als Schlüssel für den Wert cs2 in additional.fields verwendet. |
cs3 |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel aus cs3Label und dem Stringwert aus cs3. |
cs3Label |
additional.fields |
Wird als Schlüssel für den Wert cs3 in additional.fields verwendet. |
cs4 |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel aus cs4Label und dem Stringwert aus cs4. |
cs4Label |
additional.fields |
Wird als Schlüssel für den Wert cs4 in additional.fields verwendet. |
cs5 |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel aus cs5Label und dem Stringwert aus cs5. |
cs5Label |
additional.fields |
Wird als Schlüssel für den Wert cs5 in additional.fields verwendet. |
cs6 |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel aus cs6Label und dem Stringwert aus cs6. |
cs6Label |
additional.fields |
Wird als Schlüssel für den Wert cs6 in additional.fields verwendet. |
CSPaccountname |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel „CSPaccountname“ und dem Stringwert aus dem Logfeld. |
description |
metadata.description |
Direkte Zuordnung Wird auch für security_result.description verwendet, wenn event_type nicht GENERIC_EVENT ist. |
destinationTranslatedAddress |
target.ip |
In das Array target.ip zusammengeführt. |
destinationTranslatedAddress |
target.asset.ip |
In das Array target.asset.ip zusammengeführt. |
destinationTranslatedPort |
target.port |
Wird in eine Ganzzahl konvertiert, wenn der Wert nicht leer oder -1 ist. |
deviceExternalId |
security_result.about.asset_id |
Beginnt mit „Externe Geräte-ID: “. |
dpt |
target.port |
Wird in eine Ganzzahl konvertiert, wenn destinationTranslatedPort leer oder -1 ist. |
dst |
target.ip |
In das Array target.ip zusammengeführt. |
dst |
target.asset.ip |
In das Array target.asset.ip zusammengeführt. |
dst_agent_id |
target.ip |
Wird in eine IP-Adresse umgewandelt und in das Array target.ip eingefügt, wenn es sich um eine gültige IP-Adresse handelt. |
dst_agent_id |
target.asset.ip |
Wird in eine IP-Adresse umgewandelt und in das Array target.asset.ip eingefügt, wenn es sich um eine gültige IP-Adresse handelt. |
dvchost |
principal.hostname |
Direkte Zuordnung |
dvchost |
principal.asset.hostname |
Direkte Zuordnung |
endpoint_id |
target.process.product_specific_process_id |
Mit „cor:“ vorangestellt. |
event_id |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
event_sub_type |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
event_timestamp |
metadata.event_timestamp |
In Zeitstempel konvertiert. Wird auch im verschachtelten Feld events verwendet. |
event_type |
metadata.event_type |
Wird basierend auf der Logik einem UDM-Ereignistyp zugeordnet. Wird auch im verschachtelten Feld events verwendet. |
event_type |
metadata.product_event_type |
Direkte Zuordnung |
event_type |
security_result.threat_name |
Direkte Zuordnung |
events |
Verschachtelte Ereignisse | Felder im Array events werden entsprechenden UDM-Feldern in verschachtelten events-Objekten zugeordnet. Weitere Informationen finden Sie in den einzelnen Feldzuordnungen. |
external_id |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fileId |
target.resource.attribute.labels |
Erstellt ein Label mit dem Schlüssel „fileId“ und dem Wert aus dem Logfeld. |
fileHash |
target.file.sha256 |
In Kleinbuchstaben umgewandelt. Legt metadata.event_type auf FILE_UNCATEGORIZED fest. |
filePath |
target.file.full_path |
Direkte Zuordnung Legt metadata.event_type auf FILE_UNCATEGORIZED fest. |
fw_app_category |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_app_id |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_app_subcategory |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_app_technology |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_device_name |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_email_recipient |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_email_sender |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_email_subject |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_interface_from |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_interface_to |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_is_phishing |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_misc |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_rule |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_rule_id |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_serial_number |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_url_domain |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_vsys |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
fw_xff |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
host_ip |
principal.ip |
Durch Kommas getrennt und in das Array principal.ip zusammengeführt. |
host_ip |
principal.asset.ip |
Durch Kommas getrennt und in das Array principal.asset.ip zusammengeführt. |
host_name |
principal.hostname |
Direkte Zuordnung |
host_name |
principal.asset.hostname |
Direkte Zuordnung |
hosts |
target.hostname |
Extrahiert den Hostnamen aus dem ersten Element des Arrays hosts. |
hosts |
target.asset.hostname |
Extrahiert den Hostnamen aus dem ersten Element des Arrays hosts. |
hosts |
target.user.employee_id |
Extrahiert die Nutzer-ID aus dem ersten Element des hosts-Arrays. |
incident_id |
metadata.product_log_id |
Direkte Zuordnung |
is_whitelisted |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
local_insert_ts |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
mac |
principal.mac |
Durch Kommas getrennt und in das Array principal.mac zusammengeführt. |
matching_status |
Nicht zugeordnet | Dieses Feld ist zwar im Rohlog vorhanden, wird aber im endgültigen UDM nicht dem IDM-Objekt zugeordnet. |
metadata.description |
security_result.description |
Wird verwendet, wenn event_type GENERIC_EVENT ist. |
metadata.event_type |
metadata.event_type |
Wird basierend auf der Logik mit event_type, host_ip und anderen Feldern festgelegt. |
metadata.log_type |
metadata.log_type |
Legen Sie diesen Wert auf „CORTEX_XDR“ fest. |
metadata.product_name |
metadata.product_name |
Legen Sie diesen Wert auf „Cortex“ fest. |
metadata.vendor_name |
metadata.vendor_name |
Legen Sie diesen Wert auf „Palo Alto Networks“ fest. |
msg |
security_result.description |
Direkte Zuordnung |
name |
security_result.summary |
Direkte Zuordnung |
PanOSDGHierarchyLevel1 |
security_result.detection_fields |
Erstellt ein Schlüssel/Wert-Paar in security_result.detection_fields mit dem Schlüssel „PanOSDGHierarchyLevel1“ und dem Wert aus dem Logfeld. |
PanOSDestinationLocation |
target.location.country_or_region |
Direkte Zuordnung |
PanOSDynamicUserGroupName |
principal.group.group_display_name |
Direkte Zuordnung, falls nicht leer oder „-“. |
PanOSSourceLocation |
principal.location.country_or_region |
Direkte Zuordnung |
PanOSThreatCategory |
security_result.category_details |
Mit dem Feld security_result.category_details zusammengeführt. |
PanOSThreatID |
security_result.threat_id |
Direkte Zuordnung |
principal.asset.attribute.labels |
principal.asset.attribute.labels |
Erstellt ein Label mit dem Schlüssel „Source“ und dem Wert aus dem Feld source. |
proto |
network.ip_protocol |
In Großbuchstaben umgewandelt. Legt metadata.event_type auf NETWORK_CONNECTION fest. |
request |
network.http.referral_url |
Direkte Zuordnung |
rt |
metadata.event_timestamp |
In Zeitstempel konvertiert. |
security_result.severity |
security_result.severity |
Auf den Großbuchstabenwert von severity festgelegt. |
severity |
security_result.severity |
In Großbuchstaben umgewandelt. |
shost |
principal.hostname |
Direkte Zuordnung Legt metadata.event_type auf STATUS_UPDATE fest. |
shost |
principal.asset.hostname |
Direkte Zuordnung Legt metadata.event_type auf STATUS_UPDATE fest. |
source |
principal.asset.attribute.labels |
Wird als Wert für das Label „Quelle“ verwendet. |
source |
security_result.summary |
Wird verwendet, wenn not_json- und grok-Filter übereinstimmen. |
sourceTranslatedAddress |
principal.ip |
In das Array principal.ip zusammengeführt. |
sourceTranslatedAddress |
principal.asset.ip |
In das Array principal.asset.ip zusammengeführt. |
sourceTranslatedPort |
principal.port |
Wird in eine Ganzzahl konvertiert, wenn der Wert nicht leer oder -1 ist. |
spt |
principal.port |
In Ganzzahl konvertiert. |
sr_summary |
security_result.summary |
Wird verwendet, wenn not_json- und grok-Filter übereinstimmen. |
src |
principal.ip |
In das Array principal.ip zusammengeführt. |
src |
principal.asset.ip |
In das Array principal.asset.ip zusammengeführt. |
suser |
principal.user.user_display_name |
Direkte Zuordnung |
tenantCDLid |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel „tenantCDLid“ und dem Stringwert aus dem Logfeld. |
tenantname |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel „tenantname“ und dem Stringwert aus dem Logfeld. |
users |
target.user.userid |
Verwendet das erste Element des users-Arrays. |
xdr_url |
metadata.url_back_to_product |
Direkte Zuordnung |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten