Recoger los registros de General Dynamics Fidelis XPS
Disponible en:
SecOps de Google
SIEM
En este documento se describe cómo puede recoger los registros de General Dynamics Fidelis XPS mediante un reenviador de Google Security Operations.
Para obtener más información, consulta el artículo Información general sobre la ingestión de datos en Google Security Operations.
Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión FIDELIS_NETWORK.
Configurar General Dynamics Fidelis XPS
- Inicia sesión en CommandPost para gestionar tu dispositivo Fidelis XPS.
- Selecciona Sistema > Exportar.
- Haga clic en la pestaña Nuevo.
- En la lista Método de exportación, selecciona ArcSight.
- En el campo Destination (Destino), introduce la dirección IP del servidor de reenvío de Google Security Operations y el número de puerto, como
514. - En la sección Exportar alertas, marca la casilla Todas.
- En la sección Frecuencia de exportación, marca la casilla Cada alerta.
- En la sección Transporte, selecciona la casilla UDP o TCP.
- En el campo Guardar como, introduce un nombre para la configuración de exportación.
En el cuadro Lista de columnas, mueva las entradas de la Lista de columnas para que aparezcan en el siguiente orden:
HORA
ACCIÓN
ALERTUUID
APPLICATION_USER
COMPONENT
COMPR
DSTADDR
DSTPORT
FILENAME
FROM
GROUP
NOMBRE DEL MALWARE
MALWARE TYPE
MD5
POLÍTICA
PROTO
REQUEST_METHOD
REQUEST_AGENT
REQUEST_URL
RULE
SENIP
GRAVEDAD
SRCADDR
SRCPORT
RESUMEN
TARGET
PARA
VIOLATION_INFO
VLAN_ID
La versión 8.1 de Fidelis XPS introduce datos adicionales que puede configurar para exportar datos nuevos. Los nuevos campos son REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO y VLAN_ID.
VIOLATION_INFO incluye todos los datos de la sección Información sobre la infracción de la página Detalles de la alerta. Estos datos incluyen datos coincidentes que generan alertas. También incluye cualquier información adicional que se incluya en los datos del feed cuando estos coincidan. El campo VIOLATION_INFO puede tener un tamaño grande. Debes habilitar TCP cuando utilices esta función en las exportaciones de syslog.
Selecciona Sistema > Malware > Detección de malware.
Seleccione las casillas Motor de detección de malware y Política de malware automática.
Haz clic en Guardar.
Configurar el reenviador de Google Security Operations para ingerir registros de Fidelis Network
- Seleccione Configuración de SIEM > Reenviadores.
- Haz clic en Añadir nuevo remitente.
- Introduce un nombre único en el campo Nombre del reenviador.
- Haz clic en Enviar y, a continuación, en Confirmar. Se añade el reenviador y se muestra la ventana Añadir configuración de recopilador.
- En el campo Nombre del recolector, introduzca un nombre único para el recolector.
- Seleccione Fidelis Network como Tipo de registro.
- Seleccione Syslog como Tipo de recogida.
- Configure los siguientes parámetros de entrada:
- Protocol: especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
- Dirección: especifique la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
- Puerto: especifique el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenviadores de Google Security Operations, consulta Gestionar configuraciones de reenviadores a través de la interfaz de usuario de Google Security Operations.
Si tienes problemas al crear reenviadores, ponte en contacto con el equipo de Asistencia de Google Security Operations.
Referencia de asignación de campos
Este analizador procesa los registros de Fidelis Network en los formatos SYSLOG, de pares clave-valor y JSON, y los transforma en UDM. Extrae campos, gestiona varias estructuras de registro y asigna campos a UDM.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
aaction |
event.idm.read_only_udm.security_result.action_details |
Se asigna directamente si no es "none" o una cadena vacía. |
alert_threat_score |
event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: valor de alert_threat_score |
Se asigna directamente como campo de detección. |
alert_type |
event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: valor de alert_type |
Se asigna directamente como campo de detección. |
answers |
event.idm.read_only_udm.network.dns.answers[].data |
Se asigna directamente a los eventos de DNS. |
application_user |
event.idm.read_only_udm.principal.user.userid |
Asignación directa. |
asset_os |
event.idm.read_only_udm.target.platform |
Normalizado a WINDOWS, LINUX, MAC o UNKNOWN_PLATFORM. |
certificate.end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Analizado y convertido a marca de tiempo. |
certificate.extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.extended_key_usage |
Se asigna como campo adicional. |
certificate.issuer_name |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Asignación directa. |
certificate.key_length |
event.idm.read_only_udm.additional.fields[].key: "Longitud de la clave", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.key_length |
Se asigna como campo adicional. |
certificate.key_usage |
event.idm.read_only_udm.additional.fields[].key: "Key Usage" (Uso de la clave), event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.key_usage |
Se asigna como campo adicional. |
certificate.start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Analizado y convertido a marca de tiempo. |
certificate.subject_altname |
event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.subject_altname |
Se asigna como campo adicional. |
certificate.subject_name |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Asignación directa. |
certificate.type |
event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.type |
Se asigna como campo adicional. |
cipher |
event.idm.read_only_udm.network.tls.cipher |
Asignación directa. |
client_asset_name |
event.idm.read_only_udm.principal.application |
Asignación directa. |
client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: valor de client_asset_subnet |
Se asigna como campo adicional. |
client_ip |
event.idm.read_only_udm.principal.ip |
Asignación directa. |
client_port |
event.idm.read_only_udm.principal.port |
Se asigna y se convierte directamente en un número entero. |
ClientIP |
event.idm.read_only_udm.principal.ip |
Asignación directa. |
ClientPort |
event.idm.read_only_udm.principal.port |
Se asigna y se convierte directamente en un número entero. |
ClientCountry |
event.idm.read_only_udm.principal.location.country_or_region |
Se asigna directamente si no es "UNKNOWN" o una cadena vacía. |
ClientAssetID |
event.idm.read_only_udm.principal.asset_id |
Se le añade el prefijo "Asset:" si no es "0" o una cadena vacía. |
ClientAssetName |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de ClientAssetName |
Se ha asignado como etiqueta de recurso principal. |
ClientAssetRole |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Asignación directa. |
ClientAssetServices |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de ClientAssetServices |
Se ha asignado como etiqueta de recurso principal. |
Client |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de Client |
Se ha asignado como etiqueta de recurso principal. |
Collector |
event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Collector |
Se ha asignado como campo de detección. |
command |
event.idm.read_only_udm.network.http.method |
Se asigna directamente a los eventos HTTP. |
Command |
event.idm.read_only_udm.security_result.detection_fields[].key: "Command", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Command |
Se ha asignado como campo de detección. |
Connection |
event.idm.read_only_udm.security_result.detection_fields[].key: "Connection", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Connection |
Se ha asignado como campo de detección. |
DecodingPath |
event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: valor de DecodingPath |
Se ha asignado como campo de detección. |
dest_country |
event.idm.read_only_udm.target.location.country_or_region |
Asignación directa. |
dest_domain |
event.idm.read_only_udm.target.hostname |
Asignación directa. |
dest_ip |
event.idm.read_only_udm.target.ip |
Asignación directa. |
dest_port |
event.idm.read_only_udm.target.port |
Se asigna y se convierte directamente en un número entero. |
Direction |
event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Direction |
Se ha asignado como campo de detección. |
dns.host |
event.idm.read_only_udm.network.dns.questions[].name |
Se asigna directamente a los eventos de DNS. |
DomainName |
event.idm.read_only_udm.target.administrative_domain |
Asignación directa. |
DomainAlexaRank |
event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: valor de DomainAlexaRank |
Se ha asignado como campo de detección. |
dport |
event.idm.read_only_udm.target.port |
Se asigna y se convierte directamente en un número entero. |
dnsresolution.server_fqdn |
event.idm.read_only_udm.target.hostname |
Asignación directa. |
Duration |
event.idm.read_only_udm.security_result.detection_fields[].key: "Duration" (Duración), event.idm.read_only_udm.security_result.detection_fields[].value: valor de Duration |
Se ha asignado como campo de detección. |
Encrypted |
event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Encrypted |
Se ha asignado como campo de detección. |
Entropy |
event.idm.read_only_udm.security_result.detection_fields[].key: "Entropía", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Entropy |
Se ha asignado como campo de detección. |
event.idm.read_only_udm.additional.fields |
event.idm.read_only_udm.additional.fields |
Contiene varios campos adicionales basados en la lógica del analizador. |
event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
Se asigna directamente desde el campo summary. |
event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Se determina en función de varios campos de registro y de la lógica del analizador. Puede ser GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE o NETWORK_FLOW. |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
Se ha definido como "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Se ha definido como "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Se ha definido como "FIDELIS_NETWORK". |
event.idm.read_only_udm.network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
Se determina en función del campo server_port o protocol. Puede ser HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS o AOLMAIL. |
event.idm.read_only_udm.network.direction |
event.idm.read_only_udm.network.direction |
Se determina en función del campo direction o de las palabras clave de summary. Puede ser INBOUND u OUTBOUND. |
event.idm.read_only_udm.network.dns.answers |
event.idm.read_only_udm.network.dns.answers |
Se rellena en los eventos de DNS. |
event.idm.read_only_udm.network.dns.id |
event.idm.read_only_udm.network.dns.id |
Asignado desde el campo number para eventos DNS. |
event.idm.read_only_udm.network.dns.questions |
event.idm.read_only_udm.network.dns.questions |
Se rellena en los eventos de DNS. |
event.idm.read_only_udm.network.email.from |
event.idm.read_only_udm.network.email.from |
Se asigna directamente desde From si es una dirección de correo válida. |
event.idm.read_only_udm.network.email.subject |
event.idm.read_only_udm.network.email.subject |
Asignado directamente desde Subject. |
event.idm.read_only_udm.network.email.to |
event.idm.read_only_udm.network.email.to |
Asignado directamente desde To. |
event.idm.read_only_udm.network.ftp.command |
event.idm.read_only_udm.network.ftp.command |
Asignado directamente desde ftp.command. |
event.idm.read_only_udm.network.http.method |
event.idm.read_only_udm.network.http.method |
Se ha asignado directamente desde http.command o Command. |
event.idm.read_only_udm.network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
Asignado directamente desde Referer. |
event.idm.read_only_udm.network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
Se asigna directamente desde http.status_code o StatusCode y se convierte en un número entero. |
event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Se ha asignado directamente desde http.useragent o UserAgent. |
event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Se asigna directamente desde tproto si es TCP o UDP. |
event.idm.read_only_udm.network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
Se ha cambiado el nombre de event1.server_packet_count y se ha convertido en un entero sin signo. |
event.idm.read_only_udm.network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Se ha cambiado el nombre de event1.client_packet_count y se ha convertido en un entero sin signo. |
event.idm.read_only_udm.network.session_duration.seconds |
event.idm.read_only_udm.network.session_duration.seconds |
Se ha cambiado el nombre de event1.session_size y se ha convertido en un número entero. |
event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
Se ha asignado directamente desde event1.rel_sesid o UserSessionID. |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Asignado directamente desde event1.certificate_issuer_name. |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Se ha analizado a partir de event1.certificate_end_date y se ha convertido en una marca de tiempo. |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Se ha analizado a partir de event1.certificate_start_date y se ha convertido en una marca de tiempo. |
event.idm.read_only_udm.network.tls.client.certificate.subject |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Asignado directamente desde event1.certificate_subject_name. |
event.idm.read_only_udm.network.tls.client.ja3 |
event.idm.read_only_udm.network.tls.client.ja3 |
Se ha asignado directamente desde event1.ja3digest y se ha convertido en una cadena. |
event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
Se asigna directamente desde event1.cipher, CipherSuite, cipher o event1.tls_ciphersuite. |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Asignado directamente desde certificate_issuer_name. |
event.idm.read_only_udm.network.tls.server.certificate.subject |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Asignado directamente desde certificate_subject_name. |
event.idm.read_only_udm.network.tls.server.ja3s |
event.idm.read_only_udm.network.tls.server.ja3s |
Se ha asignado directamente desde event1.ja3sdigest y se ha convertido en una cadena. |
event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
Asignado directamente desde event1.version. |
event.idm.read_only_udm.principal.application |
event.idm.read_only_udm.principal.application |
Asignado directamente desde event1.client_asset_name. |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Asignado directamente desde ClientAssetRole. |
event.idm.read_only_udm.principal.asset_id |
event.idm.read_only_udm.principal.asset_id |
Se asignan directamente desde ClientAssetID o ServerAssetID (con el prefijo "Asset:"). |
event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
Se ha asignado directamente desde event1.sld o src_domain. |
event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
Se asigna directamente desde event1.src_ip6, client_ip o ClientIP. |
event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Se asigna directamente desde ClientCountry o src_country si no es "UNKNOWN" o una cadena vacía. |
event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
Se asigna directamente desde event1.sport o client_port y se convierte en un número entero. |
event.idm.read_only_udm.principal.resource.attribute.labels |
event.idm.read_only_udm.principal.resource.attribute.labels |
Contiene varias etiquetas basadas en la lógica del analizador. |
event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Se ha asignado directamente desde ftp.user o AppUser. |
event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
Determinado en función de severity. Puede ser ALLOW, BLOCK o UNKNOWN_ACTION. |
event.idm.read_only_udm.security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
Se asigna directamente desde Action si no es "none" o una cadena vacía. |
event.idm.read_only_udm.security_result.category |
event.idm.read_only_udm.security_result.category |
Se define como NETWORK_SUSPICIOUS si malware_type está presente. |
event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
Contiene varios campos de detección basados en la lógica del analizador. |
event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
Asignado directamente desde rule_name. |
event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
Determinado en función de severity. Puede ser INFORMATIONAL, MEDIUM, ERROR o CRITICAL. |
event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
Asignado directamente desde label. |
event.idm.read_only_udm.security_result.threat_name |
event.idm.read_only_udm.security_result.threat_name |
Se asigna directamente desde malware_type o se analiza desde summary si contiene "CVE-". |
event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
Asignado directamente desde DomainName. |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
Asignado directamente desde ServerAssetRole. |
event.idm.read_only_udm.target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
Se ha asignado directamente desde ftp.filename o Filename. |
event.idm.read_only_udm.target.file.md5 |
event.idm.read_only_udm.target.file.md5 |
Se ha asignado directamente desde event1.md5 o md5. |
event.idm.read_only_udm.target.file.mime_type |
event.idm.read_only_udm.target.file.mime_type |
Asignado directamente desde event1.filetype. |
event.idm.read_only_udm.target.file.sha1 |
event.idm.read_only_udm.target.file.sha1 |
Asignado directamente desde event1.srvcerthash. |
event.idm.read_only_udm.target.file.sha256 |
event.idm.read_only_udm.target.file.sha256 |
Se ha asignado directamente desde event1.sha256 o sha256. |
event.idm.read_only_udm.target.file.size |
event.idm.read_only_udm.target.file.size |
Se ha cambiado el nombre de event1.filesize y se ha convertido en un entero sin signo si no es 0. |
event.idm.read_only_udm.target.hostname |
event.idm.read_only_udm.target.hostname |
Se asigna directamente desde event1.sni, dest_domain o Host. |
event.idm.read_only_udm.target.ip |
event.idm.read_only_udm.target.ip |
Se ha asignado directamente desde event1.dst_ip6, server_ip o ServerIP. |
event.idm.read_only_udm.target.location.country_or_region |
event.idm.read_only_udm.target.location.country_or_region |
Se ha asignado directamente desde dest_country o ServerCountry. |
event.idm.read_only_udm.target.platform |
event.idm.read_only_udm.target.platform |
Asignado desde asset_os después de la normalización. |
event.idm.read_only_udm.target.platform_version |
event.idm.read_only_udm.target.platform_version |
Asignado directamente desde os_version. |
event.idm.read_only_udm.target.port |
event.idm.read_only_udm.target.port |
Se asigna directamente desde event1.dport o server_port y se convierte en un número entero. |
event.idm.read_only_udm.target.resource.attribute.labels |
event.idm.read_only_udm.target.resource.attribute.labels |
Contiene varias etiquetas basadas en la lógica del analizador. |
event.idm.read_only_udm.target.url |
event.idm.read_only_udm.target.url |
Se ha asignado directamente desde url o URL. |
event.idm.read_only_udm.target.user.product_object_id |
event.idm.read_only_udm.target.user.product_object_id |
Asignado directamente desde uuid. |
event1.certificate_end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Analizado y convertido a marca de tiempo. |
event1.certificate_extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_extended_key_usage |
Se asigna como campo adicional. |
event1.certificate_issuer_name |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Asignación directa. |
event1.certificate_key_length |
event.idm.read_only_udm.additional.fields[].key: "Longitud de la clave", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_key_length |
Se asigna como campo adicional. |
event1.certificate_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Key Usage" (Uso de la clave), event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_key_usage |
Se asigna como campo adicional. |
event1.certificate_start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Analizado y convertido a marca de tiempo. |
event1.certificate_subject_altname |
event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_subject_altname |
Se asigna como campo adicional. |
event1.certificate_subject_name |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Asignación directa. |
event1.client_asset_name |
event.idm.read_only_udm.principal.application |
Asignación directa. |
event1.client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.client_asset_subnet |
Se asigna como campo adicional. |
event1.client_packet_count |
event.idm.read_only_udm.network.sent_bytes |
Se ha convertido en un número entero sin signo y se le ha cambiado el nombre. |
event1.cipher |
event.idm.read_only_udm.network.tls.cipher |
Asignación directa. |
event1.direction |
event.idm.read_only_udm.network.direction |
Se asigna a INBOUND si es "s2c" o a OUTBOUND si es "c2s". |
event1.d |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.