Recopila los registros de General Dynamics Fidelis XPS
Compatible con:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar los registros de General Dynamics Fidelis XPS con un reenvíador de Google Security Operations.
Para obtener más información, consulta la descripción general de la transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia FIDELIS_NETWORK.
Configura General Dynamics Fidelis XPS
- Accede a CommandPost para administrar tu dispositivo Fidelis XPS.
- Selecciona Sistema > Exportar.
- Haz clic en la pestaña Nuevo.
- En la lista Método de exportación, selecciona ArcSight.
- En el campo Destino, ingresa la dirección IP y el número de puerto del servidor de reenvío de Google Security Operations, como
514. - En la sección Export alerts, selecciona la casilla de verificación All.
- En la sección Frecuencia de exportación, selecciona la casilla de verificación Cada alerta.
- En la sección Transporte, selecciona la casilla de verificación UDP o TCP.
- En el campo Guardar como, ingresa un nombre para la configuración de exportación.
En el cuadro Lista de columnas, mueve las entradas de la Lista de columnas para que aparezcan en el siguiente orden:
TIME
ACTION
ALERTUUID
APPLICATION_USER
COMPONENTE
COMPR
DSTADDR
DSTPORT
FILENAME
FROM
GROUP
NOMBRE DEL SOFTWARE MALICIOSO
TIPO DE SOFTWARE MALICIOSO
MD5
POLÍTICA
PROTO
REQUEST_METHOD
REQUEST_AGENT
REQUEST_URL
RULE
SENIP
GRAVEDAD
SRCADDR
SRCPORT
RESUMEN
TARGET
PARA
VIOLATION_INFO
VLAN_ID
La versión 8.1 de Fidelis XPS presenta datos adicionales que puedes configurar para exportar datos nuevos. Los nuevos campos incluyen REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO y VLAN_ID.
VIOLATION_INFO incluye todos los datos de la sección Violation information de la página Alert detail. Estos datos incluyen los datos de coincidencia que generan la alerta. También incluye cualquier información adicional que se incluya en los datos del feed cuando coinciden esos datos. El objeto VIOLATION_INFO puede ser grande. Debes habilitar TCP cuando uses esta función en las exportaciones de syslog.
Selecciona Sistema > Software malicioso > Detección de software malicioso.
Selecciona las casillas de verificación Motor de detección de software malicioso y Política automática sobre software malicioso.
Haz clic en Guardar.
Configura el reenvío de Google Security Operations para transferir los registros de Fidelis Network
- Selecciona SIEM Settings > Forwarders.
- Haz clic en Agregar un nuevo reenvío.
- Ingresa un nombre único en el campo Nombre del reenvío.
- Haz clic en Enviar y, luego, en Confirmar. Se agregará el reenvío y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, ingresa un nombre único para el recopilador.
- Selecciona Fidelis Network como el Tipo de registro.
- Selecciona Syslog como el Tipo de recopilador.
- Configura los siguientes parámetros de entrada:
- Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenvíadores de Google Security Operations, consulta Administra la configuración de los reenvíadores a través de la IU de Google Security Operations.
Si tienes problemas para crear reenvíos, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador procesa los registros de Fidelis Network en formatos SYSLOG, par clave-valor y JSON, y los transforma en UDM. Extrae campos, controla varias estructuras de registros y asigna campos al UDM.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
aaction |
event.idm.read_only_udm.security_result.action_details |
Se asigna directamente si no es "none" o una cadena vacía. |
alert_threat_score |
event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: valor de alert_threat_score |
Se asigna directamente como un campo de detección. |
alert_type |
event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: valor de alert_type |
Se asigna directamente como un campo de detección. |
answers |
event.idm.read_only_udm.network.dns.answers[].data |
Se asigna directamente para los eventos de DNS. |
application_user |
event.idm.read_only_udm.principal.user.userid |
Se asigna directamente. |
asset_os |
event.idm.read_only_udm.target.platform |
Se normaliza a WINDOWS, LINUX, MAC o UNKNOWN_PLATFORM. |
certificate.end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Se analiza y convierte en una marca de tiempo. |
certificate.extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.extended_key_usage |
Se asigna como un campo adicional. |
certificate.issuer_name |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Se asigna directamente. |
certificate.key_length |
event.idm.read_only_udm.additional.fields[].key: "Longitud de clave", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.key_length |
Se asigna como un campo adicional. |
certificate.key_usage |
event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.key_usage |
Se asigna como un campo adicional. |
certificate.start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Se analiza y convierte en una marca de tiempo. |
certificate.subject_altname |
event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.subject_altname |
Se asigna como un campo adicional. |
certificate.subject_name |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Se asigna directamente. |
certificate.type |
event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.type |
Se asigna como un campo adicional. |
cipher |
event.idm.read_only_udm.network.tls.cipher |
Se asigna directamente. |
client_asset_name |
event.idm.read_only_udm.principal.application |
Se asigna directamente. |
client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: valor de client_asset_subnet |
Se asigna como un campo adicional. |
client_ip |
event.idm.read_only_udm.principal.ip |
Se asigna directamente. |
client_port |
event.idm.read_only_udm.principal.port |
Se asigna y convierte directamente en un número entero. |
ClientIP |
event.idm.read_only_udm.principal.ip |
Se asigna directamente. |
ClientPort |
event.idm.read_only_udm.principal.port |
Se asigna y convierte directamente en un número entero. |
ClientCountry |
event.idm.read_only_udm.principal.location.country_or_region |
Se asigna directamente si no es "UNKNOWN" o una cadena vacía. |
ClientAssetID |
event.idm.read_only_udm.principal.asset_id |
Se antepone "Asset:" si no es "0" o una cadena vacía. |
ClientAssetName |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de ClientAssetName |
Se asigna como una etiqueta de recurso principal. |
ClientAssetRole |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Se asigna directamente. |
ClientAssetServices |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de ClientAssetServices |
Se asigna como una etiqueta de recurso principal. |
Client |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de Client |
Se asigna como una etiqueta de recurso principal. |
Collector |
event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Collector |
Se asigna como un campo de detección. |
command |
event.idm.read_only_udm.network.http.method |
Se asigna directamente para los eventos HTTP. |
Command |
event.idm.read_only_udm.security_result.detection_fields[].key: "Command", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Command |
Se asigna como un campo de detección. |
Connection |
event.idm.read_only_udm.security_result.detection_fields[].key: "Connection", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Connection |
Se asigna como un campo de detección. |
DecodingPath |
event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: valor de DecodingPath |
Se asigna como un campo de detección. |
dest_country |
event.idm.read_only_udm.target.location.country_or_region |
Se asigna directamente. |
dest_domain |
event.idm.read_only_udm.target.hostname |
Se asigna directamente. |
dest_ip |
event.idm.read_only_udm.target.ip |
Se asigna directamente. |
dest_port |
event.idm.read_only_udm.target.port |
Se asigna y convierte directamente en un número entero. |
Direction |
event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Direction |
Se asigna como un campo de detección. |
dns.host |
event.idm.read_only_udm.network.dns.questions[].name |
Se asigna directamente para los eventos de DNS. |
DomainName |
event.idm.read_only_udm.target.administrative_domain |
Se asigna directamente. |
DomainAlexaRank |
event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: valor de DomainAlexaRank |
Se asigna como un campo de detección. |
dport |
event.idm.read_only_udm.target.port |
Se asigna y convierte directamente en un número entero. |
dnsresolution.server_fqdn |
event.idm.read_only_udm.target.hostname |
Se asigna directamente. |
Duration |
event.idm.read_only_udm.security_result.detection_fields[].key: "Duration", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Duration |
Se asigna como un campo de detección. |
Encrypted |
event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Encrypted |
Se asigna como un campo de detección. |
Entropy |
event.idm.read_only_udm.security_result.detection_fields[].key: "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Entropy |
Se asigna como un campo de detección. |
event.idm.read_only_udm.additional.fields |
event.idm.read_only_udm.additional.fields |
Contiene varios campos adicionales basados en la lógica del analizador. |
event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
Se asigna directamente desde el campo summary. |
event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Se determina en función de varios campos de registro y la lógica del analizador. Puede ser GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE o NETWORK_FLOW. |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
Se debe establecer en "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Se debe establecer en "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Se debe establecer en "FIDELIS_NETWORK". |
event.idm.read_only_udm.network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
Se determina según el campo server_port o protocol. Puede ser HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS o AOLMAIL. |
event.idm.read_only_udm.network.direction |
event.idm.read_only_udm.network.direction |
Se determina según el campo direction o las palabras clave en summary. Puede ser INBOUND o OUTBOUND. |
event.idm.read_only_udm.network.dns.answers |
event.idm.read_only_udm.network.dns.answers |
Se propaga para los eventos de DNS. |
event.idm.read_only_udm.network.dns.id |
event.idm.read_only_udm.network.dns.id |
Se asigna desde el campo number para los eventos de DNS. |
event.idm.read_only_udm.network.dns.questions |
event.idm.read_only_udm.network.dns.questions |
Se propaga para los eventos de DNS. |
event.idm.read_only_udm.network.email.from |
event.idm.read_only_udm.network.email.from |
Se asigna directamente desde From si es una dirección de correo electrónico válida. |
event.idm.read_only_udm.network.email.subject |
event.idm.read_only_udm.network.email.subject |
Se asigna directamente desde Subject. |
event.idm.read_only_udm.network.email.to |
event.idm.read_only_udm.network.email.to |
Se asigna directamente desde To. |
event.idm.read_only_udm.network.ftp.command |
event.idm.read_only_udm.network.ftp.command |
Se asigna directamente desde ftp.command. |
event.idm.read_only_udm.network.http.method |
event.idm.read_only_udm.network.http.method |
Se asigna directamente desde http.command o Command. |
event.idm.read_only_udm.network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
Se asigna directamente desde Referer. |
event.idm.read_only_udm.network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
Se asigna directamente desde http.status_code o StatusCode y se convierte en un número entero. |
event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Se asigna directamente desde http.useragent o UserAgent. |
event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Se asigna directamente desde tproto si es TCP o UDP. |
event.idm.read_only_udm.network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
Se cambió el nombre de event1.server_packet_count y se convirtió en un número entero sin signo. |
event.idm.read_only_udm.network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Se cambió el nombre de event1.client_packet_count y se convirtió en un número entero sin signo. |
event.idm.read_only_udm.network.session_duration.seconds |
event.idm.read_only_udm.network.session_duration.seconds |
Se cambió el nombre de event1.session_size y se convirtió en un número entero. |
event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
Se asigna directamente desde event1.rel_sesid o UserSessionID. |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Se asigna directamente desde event1.certificate_issuer_name. |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Se analizó a partir de event1.certificate_end_date y se convirtió a una marca de tiempo. |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Se analizó a partir de event1.certificate_start_date y se convirtió a una marca de tiempo. |
event.idm.read_only_udm.network.tls.client.certificate.subject |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Se asigna directamente desde event1.certificate_subject_name. |
event.idm.read_only_udm.network.tls.client.ja3 |
event.idm.read_only_udm.network.tls.client.ja3 |
Se asigna directamente desde event1.ja3digest y se convierte en una cadena. |
event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
Se asigna directamente desde event1.cipher, CipherSuite, cipher o event1.tls_ciphersuite. |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Se asigna directamente desde certificate_issuer_name. |
event.idm.read_only_udm.network.tls.server.certificate.subject |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Se asigna directamente desde certificate_subject_name. |
event.idm.read_only_udm.network.tls.server.ja3s |
event.idm.read_only_udm.network.tls.server.ja3s |
Se asigna directamente desde event1.ja3sdigest y se convierte en una cadena. |
event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
Se asigna directamente desde event1.version. |
event.idm.read_only_udm.principal.application |
event.idm.read_only_udm.principal.application |
Se asigna directamente desde event1.client_asset_name. |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Se asigna directamente desde ClientAssetRole. |
event.idm.read_only_udm.principal.asset_id |
event.idm.read_only_udm.principal.asset_id |
Se asigna directamente desde ClientAssetID o ServerAssetID (con el prefijo "Asset:"). |
event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
Se asigna directamente desde event1.sld o src_domain. |
event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
Se asigna directamente desde event1.src_ip6, client_ip o ClientIP. |
event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Se asigna directamente desde ClientCountry o src_country si no es "UNKNOWN" o una cadena vacía. |
event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
Se asigna directamente desde event1.sport o client_port y se convierte en un número entero. |
event.idm.read_only_udm.principal.resource.attribute.labels |
event.idm.read_only_udm.principal.resource.attribute.labels |
Contiene varias etiquetas basadas en la lógica del analizador. |
event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Se asigna directamente desde ftp.user o AppUser. |
event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
Se determina según severity. Puede ser ALLOW, BLOCK o UNKNOWN_ACTION. |
event.idm.read_only_udm.security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
Se asigna directamente desde Action si no es "none" o una cadena vacía. |
event.idm.read_only_udm.security_result.category |
event.idm.read_only_udm.security_result.category |
Se establece en NETWORK_SUSPICIOUS si malware_type está presente. |
event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
Contiene varios campos de detección basados en la lógica del analizador. |
event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
Se asigna directamente desde rule_name. |
event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
Se determina según severity. Puede ser INFORMATIONAL, MEDIUM, ERROR o CRITICAL. |
event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
Se asigna directamente desde label. |
event.idm.read_only_udm.security_result.threat_name |
event.idm.read_only_udm.security_result.threat_name |
Se asigna directamente desde malware_type o se analiza desde summary si contiene "CVE-". |
event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
Se asigna directamente desde DomainName. |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
Se asigna directamente desde ServerAssetRole. |
event.idm.read_only_udm.target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
Se asigna directamente desde ftp.filename o Filename. |
event.idm.read_only_udm.target.file.md5 |
event.idm.read_only_udm.target.file.md5 |
Se asigna directamente desde event1.md5 o md5. |
event.idm.read_only_udm.target.file.mime_type |
event.idm.read_only_udm.target.file.mime_type |
Se asigna directamente desde event1.filetype. |
event.idm.read_only_udm.target.file.sha1 |
event.idm.read_only_udm.target.file.sha1 |
Se asigna directamente desde event1.srvcerthash. |
event.idm.read_only_udm.target.file.sha256 |
event.idm.read_only_udm.target.file.sha256 |
Se asigna directamente desde event1.sha256 o sha256. |
event.idm.read_only_udm.target.file.size |
event.idm.read_only_udm.target.file.size |
Se cambió el nombre de event1.filesize y se convirtió en un número entero sin signo si no es 0. |
event.idm.read_only_udm.target.hostname |
event.idm.read_only_udm.target.hostname |
Se asigna directamente desde event1.sni, dest_domain o Host. |
event.idm.read_only_udm.target.ip |
event.idm.read_only_udm.target.ip |
Se asigna directamente desde event1.dst_ip6, server_ip o ServerIP. |
event.idm.read_only_udm.target.location.country_or_region |
event.idm.read_only_udm.target.location.country_or_region |
Se asigna directamente desde dest_country o ServerCountry. |
event.idm.read_only_udm.target.platform |
event.idm.read_only_udm.target.platform |
Se asigna desde asset_os después de la normalización. |
event.idm.read_only_udm.target.platform_version |
event.idm.read_only_udm.target.platform_version |
Se asigna directamente desde os_version. |
event.idm.read_only_udm.target.port |
event.idm.read_only_udm.target.port |
Se asigna directamente desde event1.dport o server_port y se convierte en un número entero. |
event.idm.read_only_udm.target.resource.attribute.labels |
event.idm.read_only_udm.target.resource.attribute.labels |
Contiene varias etiquetas basadas en la lógica del analizador. |
event.idm.read_only_udm.target.url |
event.idm.read_only_udm.target.url |
Se asigna directamente desde url o URL. |
event.idm.read_only_udm.target.user.product_object_id |
event.idm.read_only_udm.target.user.product_object_id |
Se asigna directamente desde uuid. |
event1.certificate_end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Se analiza y convierte en una marca de tiempo. |
event1.certificate_extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_extended_key_usage |
Se asigna como un campo adicional. |
event1.certificate_issuer_name |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Se asigna directamente. |
event1.certificate_key_length |
event.idm.read_only_udm.additional.fields[].key: "Longitud de clave", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_key_length |
Se asigna como un campo adicional. |
event1.certificate_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_key_usage |
Se asigna como un campo adicional. |
event1.certificate_start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Se analiza y convierte en una marca de tiempo. |
event1.certificate_subject_altname |
event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_subject_altname |
Se asigna como un campo adicional. |
event1.certificate_subject_name |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Se asigna directamente. |
event1.client_asset_name |
event.idm.read_only_udm.principal.application |
Se asigna directamente. |
event1.client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.client_asset_subnet |
Se asigna como un campo adicional. |
event1.client_packet_count |
event.idm.read_only_udm.network.sent_bytes |
Se convirtió en un número entero sin signo y se cambió el nombre. |
event1.cipher |
event.idm.read_only_udm.network.tls.cipher |
Se asigna directamente. |
event1.direction |
event.idm.read_only_udm.network.direction |
Se asigna a INBOUND si es "s2c" o a OUTBOUND si es "c2s". |
event1.d |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.