General Dynamics Fidelis XPS-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie die General Dynamics Fidelis XPS-Logs mit einem Google Security Operations-Forwarder erfassen können.
Weitere Informationen finden Sie unter Übersicht über die Datenaufnahme in Google Security Operations.
Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Label FIDELIS_NETWORK.
General Dynamics Fidelis XPS konfigurieren
- Melden Sie sich in CommandPost an, um Ihre Fidelis XPS-Appliance zu verwalten.
- Wählen Sie System > Exportieren aus.
- Klicken Sie auf den Tab Neu.
- Wählen Sie in der Liste Exportmethode die Option ArcSight aus.
- Geben Sie im Feld Ziel die IP-Adresse und Portnummer des Google Security Operations-Weiterleitungsservers ein, z. B.
514. - Wählen Sie im Bereich Benachrichtigungen exportieren das Kästchen Alle aus.
- Wählen Sie im Bereich Exporthäufigkeit das Kästchen Jede Benachrichtigung aus.
- Klicken Sie im Bereich Transport das Kästchen UDP oder TCP an.
- Geben Sie im Feld Speichern unter einen Namen für die Exportkonfiguration ein.
Verschieben Sie im Feld Spaltenliste die Einträge in der Spaltenliste so, dass sie in der folgenden Reihenfolge angezeigt werden:
TIME
AKTION
ALERTUUID
APPLICATION_USER
KOMPONENTE
COMPR
DSTADDR
DSTPORT
FILENAME
FROM
GRUPPE
MALWARE NAME
MALWARE TYPE
MD5
RICHTLINIE
PROTO
REQUEST_METHOD
REQUEST_AGENT
REQUEST_URL
RULE
SENIP
SCHWERWIEGEND
SRCADDR
SRCPORT
SUMMARY
ZIEL
AN
VIOLATION_INFO
VLAN_ID
In Fidelis XPS Version 8.1 werden zusätzliche Daten eingeführt, die Sie für den Export neuer Daten konfigurieren können. Die neuen Felder sind REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO und VLAN_ID.
VIOLATION_INFO enthält alle Daten aus dem Bereich Informationen zu Verstößen auf der Seite Benachrichtigungsdetails. Diese Daten enthalten übereinstimmende Daten, die eine Benachrichtigung auslösen. Sie enthält auch alle zusätzlichen Informationen, die in Feeddaten enthalten sind, wenn diese Daten übereinstimmen. Die VIOLATION_INFO kann sehr groß sein. Sie müssen TCP aktivieren, wenn Sie diese Funktion in Syslog-Exporten verwenden.
Wählen Sie System > Malware > Malware-Erkennung aus.
Wählen Sie die Kästchen Malware-Erkennungsmodul und Automatische Malware-Richtlinie aus.
Klicken Sie auf Speichern.
Google Security Operations-Forwarder zum Erfassen von Fidelis Network-Logs konfigurieren
- Wählen Sie SIEM Settings > Forwarders aus.
- Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
- Geben Sie im Feld Name des Forwarders einen eindeutigen Namen ein.
- Klicken Sie auf Senden und dann auf Bestätigen. Der Weiterleiter wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
- Wählen Sie Fidelis Network als Logtyp aus.
- Wählen Sie Syslog als Collector-Typ aus.
- Konfigurieren Sie die folgenden Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector verwendet, um Syslog-Daten zu empfangen.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, unter dem sich der Collector befindet und auf Syslog-Daten wartet.
- Port: Geben Sie den Zielport an, an dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu den Google Security Operations-Forwardern finden Sie unter Forwarder-Konfigurationen über die Google Security Operations-Benutzeroberfläche verwalten.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz zur Feldzuordnung
Dieser Parser verarbeitet Fidelis Network-Logs in den Formaten SYSLOG, Schlüssel/Wert-Paar und JSON und wandelt sie in UDM um. Es werden Felder extrahiert, verschiedene Logstrukturen verarbeitet und UDM-Feldern zugeordnet.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
aaction |
event.idm.read_only_udm.security_result.action_details |
Direkt zugeordnet, wenn nicht „none“ oder ein leerer String. |
alert_threat_score |
event.idm.read_only_udm.security_result.detection_fields[].key: „alert_threat_score“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von alert_threat_score |
Direkt als Erkennungsfeld zugeordnet. |
alert_type |
event.idm.read_only_udm.security_result.detection_fields[].key: „alert_type“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von alert_type |
Direkt als Erkennungsfeld zugeordnet. |
answers |
event.idm.read_only_udm.network.dns.answers[].data |
Direkt für DNS-Ereignisse zugeordnet. |
application_user |
event.idm.read_only_udm.principal.user.userid |
Direkt zugeordnet. |
asset_os |
event.idm.read_only_udm.target.platform |
Normalisiert auf WINDOWS, LINUX, MAC oder UNKNOWN_PLATFORM. |
certificate.end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Geparsed und in einen Zeitstempel konvertiert. |
certificate.extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: „Extended Key Usage“ (Erweiterte Schlüsselverwendung), event.idm.read_only_udm.additional.fields[].value.string_value: Wert von certificate.extended_key_usage |
Als zusätzliches Feld zugeordnet. |
certificate.issuer_name |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Direkt zugeordnet. |
certificate.key_length |
event.idm.read_only_udm.additional.fields[].key: „Key Length“ (Schlüssellänge), event.idm.read_only_udm.additional.fields[].value.string_value: Wert von certificate.key_length |
Als zusätzliches Feld zugeordnet. |
certificate.key_usage |
event.idm.read_only_udm.additional.fields[].key: „Key Usage“ (Schlüsselverwendung), event.idm.read_only_udm.additional.fields[].value.string_value: Wert von certificate.key_usage |
Als zusätzliches Feld zugeordnet. |
certificate.start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Geparsed und in einen Zeitstempel konvertiert. |
certificate.subject_altname |
event.idm.read_only_udm.additional.fields[].key: „Certificate Alternate Name“ (Alternativer Zertifikatsname), event.idm.read_only_udm.additional.fields[].value.string_value: Wert von certificate.subject_altname |
Als zusätzliches Feld zugeordnet. |
certificate.subject_name |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Direkt zugeordnet. |
certificate.type |
event.idm.read_only_udm.additional.fields[].key: „Certificate_Type“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von certificate.type |
Als zusätzliches Feld zugeordnet. |
cipher |
event.idm.read_only_udm.network.tls.cipher |
Direkt zugeordnet. |
client_asset_name |
event.idm.read_only_udm.principal.application |
Direkt zugeordnet. |
client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: „client_asset_subnet“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von client_asset_subnet |
Als zusätzliches Feld zugeordnet. |
client_ip |
event.idm.read_only_udm.principal.ip |
Direkt zugeordnet. |
client_port |
event.idm.read_only_udm.principal.port |
Direkt zugeordnet und in eine Ganzzahl konvertiert. |
ClientIP |
event.idm.read_only_udm.principal.ip |
Direkt zugeordnet. |
ClientPort |
event.idm.read_only_udm.principal.port |
Direkt zugeordnet und in eine Ganzzahl konvertiert. |
ClientCountry |
event.idm.read_only_udm.principal.location.country_or_region |
Direkt zugeordnet, wenn nicht „UNKNOWN“ oder leerer String. |
ClientAssetID |
event.idm.read_only_udm.principal.asset_id |
Wird mit „Asset:“ vorangestellt, wenn nicht „0“ oder ein leerer String. |
ClientAssetName |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: „ClientAssetName“, event.idm.read_only_udm.principal.resource.attribute.labels[].value: Wert von ClientAssetName |
Als Hauptressourcenlabel zugeordnet. |
ClientAssetRole |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Direkt zugeordnet. |
ClientAssetServices |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: „ClientAssetServices“, event.idm.read_only_udm.principal.resource.attribute.labels[].value: Wert von ClientAssetServices |
Als Hauptressourcenlabel zugeordnet. |
Client |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: „Client“, event.idm.read_only_udm.principal.resource.attribute.labels[].value: Wert von Client |
Als Hauptressourcenlabel zugeordnet. |
Collector |
event.idm.read_only_udm.security_result.detection_fields[].key: „Collector“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von Collector |
Als Erkennungsfeld zugeordnet. |
command |
event.idm.read_only_udm.network.http.method |
Direkt zugeordnet für HTTP-Ereignisse. |
Command |
event.idm.read_only_udm.security_result.detection_fields[].key: „Command“ (Befehl), event.idm.read_only_udm.security_result.detection_fields[].value: Wert von Command |
Als Erkennungsfeld zugeordnet. |
Connection |
event.idm.read_only_udm.security_result.detection_fields[].key: „Verbindung“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von Connection |
Als Erkennungsfeld zugeordnet. |
DecodingPath |
event.idm.read_only_udm.security_result.detection_fields[].key: „DecodingPath“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von DecodingPath |
Als Erkennungsfeld zugeordnet. |
dest_country |
event.idm.read_only_udm.target.location.country_or_region |
Direkt zugeordnet. |
dest_domain |
event.idm.read_only_udm.target.hostname |
Direkt zugeordnet. |
dest_ip |
event.idm.read_only_udm.target.ip |
Direkt zugeordnet. |
dest_port |
event.idm.read_only_udm.target.port |
Direkt zugeordnet und in eine Ganzzahl konvertiert. |
Direction |
event.idm.read_only_udm.security_result.detection_fields[].key: „Direction“ (Richtung), event.idm.read_only_udm.security_result.detection_fields[].value: Wert von Direction |
Als Erkennungsfeld zugeordnet. |
dns.host |
event.idm.read_only_udm.network.dns.questions[].name |
Direkt für DNS-Ereignisse zugeordnet. |
DomainName |
event.idm.read_only_udm.target.administrative_domain |
Direkt zugeordnet. |
DomainAlexaRank |
event.idm.read_only_udm.security_result.detection_fields[].key: „DomainAlexaRank“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von DomainAlexaRank |
Als Erkennungsfeld zugeordnet. |
dport |
event.idm.read_only_udm.target.port |
Direkt zugeordnet und in eine Ganzzahl konvertiert. |
dnsresolution.server_fqdn |
event.idm.read_only_udm.target.hostname |
Direkt zugeordnet. |
Duration |
event.idm.read_only_udm.security_result.detection_fields[].key: „Duration“ (Dauer), event.idm.read_only_udm.security_result.detection_fields[].value: Wert von Duration |
Als Erkennungsfeld zugeordnet. |
Encrypted |
event.idm.read_only_udm.security_result.detection_fields[].key: „Encrypted“ (Verschlüsselt), event.idm.read_only_udm.security_result.detection_fields[].value: Wert von Encrypted |
Als Erkennungsfeld zugeordnet. |
Entropy |
event.idm.read_only_udm.security_result.detection_fields[].key: „Entropie“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von Entropy |
Als Erkennungsfeld zugeordnet. |
event.idm.read_only_udm.additional.fields |
event.idm.read_only_udm.additional.fields |
Enthält verschiedene zusätzliche Felder, die auf der Parserlogik basieren. |
event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
Direkt aus dem Feld summary zugeordnet. |
event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Wird anhand verschiedener Logfelder und der Parserlogik ermittelt. Kann GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE oder NETWORK_FLOW sein. |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
Legen Sie diesen Wert auf „FIDELIS_NETWORK“ fest. |
event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Legen Sie diesen Wert auf „FIDELIS_NETWORK“ fest. |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Legen Sie diesen Wert auf „FIDELIS_NETWORK“ fest. |
event.idm.read_only_udm.network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
Wird anhand des Felds server_port oder protocol bestimmt. Kann HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS oder AOLMAIL sein. |
event.idm.read_only_udm.network.direction |
event.idm.read_only_udm.network.direction |
Wird anhand des Felds direction oder der Keywords in summary bestimmt. Kann INBOUND oder OUTBOUND sein. |
event.idm.read_only_udm.network.dns.answers |
event.idm.read_only_udm.network.dns.answers |
Wird für DNS-Ereignisse ausgefüllt. |
event.idm.read_only_udm.network.dns.id |
event.idm.read_only_udm.network.dns.id |
Wird aus dem Feld number für DNS-Ereignisse zugeordnet. |
event.idm.read_only_udm.network.dns.questions |
event.idm.read_only_udm.network.dns.questions |
Wird für DNS-Ereignisse ausgefüllt. |
event.idm.read_only_udm.network.email.from |
event.idm.read_only_udm.network.email.from |
Direkt aus From übernommen, wenn es sich um eine gültige E-Mail-Adresse handelt. |
event.idm.read_only_udm.network.email.subject |
event.idm.read_only_udm.network.email.subject |
Direkt aus Subject übernommen. |
event.idm.read_only_udm.network.email.to |
event.idm.read_only_udm.network.email.to |
Direkt aus To übernommen. |
event.idm.read_only_udm.network.ftp.command |
event.idm.read_only_udm.network.ftp.command |
Direkt aus ftp.command übernommen. |
event.idm.read_only_udm.network.http.method |
event.idm.read_only_udm.network.http.method |
Direkt aus http.command oder Command übernommen. |
event.idm.read_only_udm.network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
Direkt aus Referer übernommen. |
event.idm.read_only_udm.network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
Direkt aus http.status_code oder StatusCode zugeordnet und in eine Ganzzahl konvertiert. |
event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Direkt aus http.useragent oder UserAgent übernommen. |
event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Direkt aus tproto zugeordnet, wenn es sich um TCP oder UDP handelt. |
event.idm.read_only_udm.network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
Von event1.server_packet_count umbenannt und in eine vorzeichenlose Ganzzahl konvertiert. |
event.idm.read_only_udm.network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Von event1.client_packet_count umbenannt und in eine vorzeichenlose Ganzzahl konvertiert. |
event.idm.read_only_udm.network.session_duration.seconds |
event.idm.read_only_udm.network.session_duration.seconds |
Umbenannt von event1.session_size und in eine Ganzzahl konvertiert. |
event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
Direkt aus event1.rel_sesid oder UserSessionID übernommen. |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Direkt aus event1.certificate_issuer_name übernommen. |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Aus event1.certificate_end_date geparst und in einen Zeitstempel konvertiert. |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Aus event1.certificate_start_date geparst und in einen Zeitstempel konvertiert. |
event.idm.read_only_udm.network.tls.client.certificate.subject |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Direkt aus event1.certificate_subject_name übernommen. |
event.idm.read_only_udm.network.tls.client.ja3 |
event.idm.read_only_udm.network.tls.client.ja3 |
Direkt aus event1.ja3digest zugeordnet und in einen String konvertiert. |
event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
Direkt aus event1.cipher, CipherSuite, cipher oder event1.tls_ciphersuite abgeleitet. |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Direkt aus certificate_issuer_name übernommen. |
event.idm.read_only_udm.network.tls.server.certificate.subject |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Direkt aus certificate_subject_name übernommen. |
event.idm.read_only_udm.network.tls.server.ja3s |
event.idm.read_only_udm.network.tls.server.ja3s |
Direkt aus event1.ja3sdigest zugeordnet und in einen String konvertiert. |
event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
Direkt aus event1.version übernommen. |
event.idm.read_only_udm.principal.application |
event.idm.read_only_udm.principal.application |
Direkt aus event1.client_asset_name übernommen. |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Direkt aus ClientAssetRole übernommen. |
event.idm.read_only_udm.principal.asset_id |
event.idm.read_only_udm.principal.asset_id |
Direkt zugeordnet aus ClientAssetID oder ServerAssetID (mit dem Präfix „Asset:“). |
event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
Direkt aus event1.sld oder src_domain übernommen. |
event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
Direkt zugeordnet aus event1.src_ip6, client_ip oder ClientIP. |
event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Direkt aus ClientCountry oder src_country zugeordnet, wenn nicht „UNKNOWN“ oder leerer String. |
event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
Direkt aus event1.sport oder client_port zugeordnet und in eine Ganzzahl konvertiert. |
event.idm.read_only_udm.principal.resource.attribute.labels |
event.idm.read_only_udm.principal.resource.attribute.labels |
Enthält verschiedene Labels, die auf der Parserlogik basieren. |
event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Direkt aus ftp.user oder AppUser übernommen. |
event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
Wird anhand von severity ermittelt. Mögliche Werte: ALLOW, BLOCK oder UNKNOWN_ACTION. |
event.idm.read_only_udm.security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
Direkt aus Action zugeordnet, wenn nicht „none“ oder ein leerer String. |
event.idm.read_only_udm.security_result.category |
event.idm.read_only_udm.security_result.category |
Wird auf NETWORK_SUSPICIOUS gesetzt, wenn malware_type vorhanden ist. |
event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
Enthält verschiedene Erkennungsfelder, die auf der Parserlogik basieren. |
event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
Direkt aus rule_name übernommen. |
event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
Wird anhand von severity ermittelt. Kann INFORMATIONAL, MEDIUM, ERROR oder CRITICAL sein. |
event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
Direkt aus label übernommen. |
event.idm.read_only_udm.security_result.threat_name |
event.idm.read_only_udm.security_result.threat_name |
Direkt aus malware_type zugeordnet oder aus summary geparst, wenn es „CVE-“ enthält. |
event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
Direkt aus DomainName übernommen. |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
Direkt aus ServerAssetRole übernommen. |
event.idm.read_only_udm.target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
Direkt aus ftp.filename oder Filename übernommen. |
event.idm.read_only_udm.target.file.md5 |
event.idm.read_only_udm.target.file.md5 |
Direkt aus event1.md5 oder md5 übernommen. |
event.idm.read_only_udm.target.file.mime_type |
event.idm.read_only_udm.target.file.mime_type |
Direkt aus event1.filetype übernommen. |
event.idm.read_only_udm.target.file.sha1 |
event.idm.read_only_udm.target.file.sha1 |
Direkt aus event1.srvcerthash übernommen. |
event.idm.read_only_udm.target.file.sha256 |
event.idm.read_only_udm.target.file.sha256 |
Direkt aus event1.sha256 oder sha256 übernommen. |
event.idm.read_only_udm.target.file.size |
event.idm.read_only_udm.target.file.size |
Wurde von event1.filesize umbenannt und in eine vorzeichenlose Ganzzahl konvertiert, wenn sie nicht 0 ist. |
event.idm.read_only_udm.target.hostname |
event.idm.read_only_udm.target.hostname |
Direkt zugeordnet aus event1.sni, dest_domain oder Host. |
event.idm.read_only_udm.target.ip |
event.idm.read_only_udm.target.ip |
Direkt aus event1.dst_ip6, server_ip oder ServerIP zugeordnet. |
event.idm.read_only_udm.target.location.country_or_region |
event.idm.read_only_udm.target.location.country_or_region |
Direkt aus dest_country oder ServerCountry übernommen. |
event.idm.read_only_udm.target.platform |
event.idm.read_only_udm.target.platform |
Nach der Normalisierung aus asset_os abgeleitet. |
event.idm.read_only_udm.target.platform_version |
event.idm.read_only_udm.target.platform_version |
Direkt aus os_version übernommen. |
event.idm.read_only_udm.target.port |
event.idm.read_only_udm.target.port |
Direkt aus event1.dport oder server_port zugeordnet und in eine Ganzzahl konvertiert. |
event.idm.read_only_udm.target.resource.attribute.labels |
event.idm.read_only_udm.target.resource.attribute.labels |
Enthält verschiedene Labels, die auf der Parserlogik basieren. |
event.idm.read_only_udm.target.url |
event.idm.read_only_udm.target.url |
Direkt aus url oder URL übernommen. |
event.idm.read_only_udm.target.user.product_object_id |
event.idm.read_only_udm.target.user.product_object_id |
Direkt aus uuid übernommen. |
event1.certificate_end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Geparsed und in einen Zeitstempel konvertiert. |
event1.certificate_extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: „Extended Key Usage“ (Erweiterte Schlüsselverwendung), event.idm.read_only_udm.additional.fields[].value.string_value: Wert von event1.certificate_extended_key_usage |
Als zusätzliches Feld zugeordnet. |
event1.certificate_issuer_name |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Direkt zugeordnet. |
event1.certificate_key_length |
event.idm.read_only_udm.additional.fields[].key: „Key Length“ (Schlüssellänge), event.idm.read_only_udm.additional.fields[].value.string_value: Wert von event1.certificate_key_length |
Als zusätzliches Feld zugeordnet. |
event1.certificate_key_usage |
event.idm.read_only_udm.additional.fields[].key: „Key Usage“ (Schlüsselverwendung), event.idm.read_only_udm.additional.fields[].value.string_value: Wert von event1.certificate_key_usage |
Als zusätzliches Feld zugeordnet. |
event1.certificate_start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Geparsed und in einen Zeitstempel konvertiert. |
event1.certificate_subject_altname |
event.idm.read_only_udm.additional.fields[].key: „Certificate Alternate Name“ (Alternativer Zertifikatsname), event.idm.read_only_udm.additional.fields[].value.string_value: Wert von event1.certificate_subject_altname |
Als zusätzliches Feld zugeordnet. |
event1.certificate_subject_name |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Direkt zugeordnet. |
event1.client_asset_name |
event.idm.read_only_udm.principal.application |
Direkt zugeordnet. |
event1.client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: „client_asset_subnet“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von event1.client_asset_subnet |
Als zusätzliches Feld zugeordnet. |
event1.client_packet_count |
event.idm.read_only_udm.network.sent_bytes |
In eine vorzeichenlose Ganzzahl konvertiert und umbenannt. |
event1.cipher |
event.idm.read_only_udm.network.tls.cipher |
Direkt zugeordnet. |
event1.direction |
event.idm.read_only_udm.network.direction |
Wird INBOUND zugeordnet, wenn „s2c“, oder OUTBOUND, wenn „c2s“. |
event1.d |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten