Recopila los registros de General Dynamics Fidelis XPS
Se admite en los siguientes países:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar los registros de General Dynamics Fidelis XPS con un reenviador de operaciones de seguridad de Google.
Para obtener más información, consulta la descripción general de la transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia FIDELIS_NETWORK.
Configura General Dynamics Fidelis XPS
- Accede a CommandPost para administrar tu dispositivo Fidelis XPS.
- Selecciona Sistema > Exportar.
- Haz clic en la pestaña New.
- En la lista Método de exportación, selecciona ArcSight.
- En el campo Destino, ingresa la dirección IP y el número de puerto del servidor de reenvío de Google Security Operations, como
514. - En la sección Exportar alertas, selecciona la casilla de verificación Todas.
- En la sección Frecuencia de exportación, selecciona la casilla de verificación Cada alerta.
- En la sección Transporte, selecciona la casilla de verificación UDP o TCP.
- En el campo Guardar como, ingresa un nombre para la configuración de exportación.
En el cuadro Column list, mueve las entradas de la Column list para que aparezcan en el siguiente orden:
TIME
ACCIÓN
ALERTUUID
APPLICATION_USER
COMPONENTE
COMPR
DSTADDR
DSTPORT
FILENAME
FROM
GROUP
NOMBRE DEL SOFTWARE MALICIOSO
TIPO DE SOFTWARE MALICIOSO
MD5
POLICY
PROTO
REQUEST_METHOD
REQUEST_AGENT
REQUEST_URL
RULE
SENIP
GRAVEDAD
SRCADDR
SRCPORT
RESUMEN
TARGET
PARA
VIOLATION_INFO
VLAN_ID
La versión 8.1 de Fidelis XPS presenta datos adicionales que puedes configurar para exportar datos nuevos. Los campos nuevos incluyen REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO y VLAN_ID.
VIOLATION_INFO incluye todos los datos de la sección Información de incumplimiento de la página Detalles de la alerta. Estos datos incluyen los datos coincidentes que generan la alerta. También incluye cualquier información adicional que se incluya en los datos del feed cuando estos coincidan. VIOLATION_INFO puede tener un tamaño grande. Debes habilitar TCP cuando uses esta función en las exportaciones de syslog.
Selecciona Sistema > Software malicioso > Detección de software malicioso.
Selecciona las casillas de verificación Motor de detección de software malicioso y Política automática de software malicioso.
Haz clic en Guardar.
Configura el reenviador de Google Security Operations para transferir los registros de Fidelis Network
- Selecciona Configuración de SIEM > Redireccionamientos.
- Haz clic en Agregar nuevo remitente.
- Ingresa un nombre único en el campo Nombre del remitente.
- Haz clic en Enviar y, luego, en Confirmar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, ingresa un nombre único para el recopilador.
- Selecciona Fidelis Network como el Tipo de registro.
- Selecciona Syslog como el tipo de recopilador.
- Configura los siguientes parámetros de entrada:
- Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenvíos de Google Security Operations, consulta Cómo administrar las configuraciones de reenvío a través de la IU de Google Security Operations.
Si tienes problemas cuando creas reenvío de correo, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador procesa los registros de Fidelis Network en los formatos SYSLOG, par clave-valor y JSON, y los transforma en UDM. Extrae campos, controla varias estructuras de registro, asigna campos de la UDM y enriquece eventos con etiquetas como _is_alert y _is_significant en función de indicadores de gravedad y amenaza.
Tabla de asignación de la UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
aaction |
event.idm.read_only_udm.security_result.action_details |
Se asigna directamente si no es “ninguno” o una cadena vacía. |
alert_threat_score |
event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: valor de alert_threat_score |
Se asigna directamente como un campo de detección. |
alert_type |
event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: valor de alert_type |
Se asigna directamente como un campo de detección. |
answers |
event.idm.read_only_udm.network.dns.answers[].data |
Se asignan directamente para los eventos de DNS. |
application_user |
event.idm.read_only_udm.principal.user.userid |
Se asignan directamente. |
asset_os |
event.idm.read_only_udm.target.platform |
Se normaliza a WINDOWS, LINUX, MAC o UNKNOWN_PLATFORM. |
certificate.end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Se analiza y se convierte en una marca de tiempo. |
certificate.extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: “Uso extendido de claves”, event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.extended_key_usage |
Se asigna como un campo adicional. |
certificate.issuer_name |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Se asignan directamente. |
certificate.key_length |
event.idm.read_only_udm.additional.fields[].key: “Longitud de la clave”, event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.key_length |
Se asigna como un campo adicional. |
certificate.key_usage |
event.idm.read_only_udm.additional.fields[].key: “Key Usage”, event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.key_usage |
Se asigna como un campo adicional. |
certificate.start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Se analiza y se convierte en una marca de tiempo. |
certificate.subject_altname |
event.idm.read_only_udm.additional.fields[].key: "Nombre alternativo del certificado", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.subject_altname |
Se asigna como un campo adicional. |
certificate.subject_name |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Se asignan directamente. |
certificate.type |
event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.type |
Se asigna como un campo adicional. |
cipher |
event.idm.read_only_udm.network.tls.cipher |
Se asignan directamente. |
client_asset_name |
event.idm.read_only_udm.principal.application |
Se asignan directamente. |
client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: valor de client_asset_subnet |
Se asigna como un campo adicional. |
client_ip |
event.idm.read_only_udm.principal.ip |
Se asignan directamente. |
client_port |
event.idm.read_only_udm.principal.port |
Se asignan directamente y se convierten en números enteros. |
ClientIP |
event.idm.read_only_udm.principal.ip |
Se asignan directamente. |
ClientPort |
event.idm.read_only_udm.principal.port |
Se asignan directamente y se convierten en números enteros. |
ClientCountry |
event.idm.read_only_udm.principal.location.country_or_region |
Se asigna directamente si no es "UNKNOWN" o una cadena vacía. |
ClientAssetID |
event.idm.read_only_udm.principal.asset_id |
Se antepone "Asset:" si no es "0" o una cadena vacía. |
ClientAssetName |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de ClientAssetName |
Se asigna como una etiqueta de recurso principal. |
ClientAssetRole |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Se asignan directamente. |
ClientAssetServices |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de ClientAssetServices |
Se asigna como una etiqueta de recurso principal. |
Client |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de Client |
Se asigna como una etiqueta de recurso principal. |
Collector |
event.idm.read_only_udm.security_result.detection_fields[].key: “Collector”, event.idm.read_only_udm.security_result.detection_fields[].value: valor de Collector |
Se asigna como un campo de detección. |
command |
event.idm.read_only_udm.network.http.method |
Se asignan directamente a los eventos HTTP. |
Command |
event.idm.read_only_udm.security_result.detection_fields[].key: "Command", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Command |
Se asigna como un campo de detección. |
Connection |
event.idm.read_only_udm.security_result.detection_fields[].key: “Conexión”, event.idm.read_only_udm.security_result.detection_fields[].value: valor de Connection |
Se asignan como campos de detección. |
DecodingPath |
event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: valor de DecodingPath |
Se asignó como un campo de detección. |
dest_country |
event.idm.read_only_udm.target.location.country_or_region |
Se asignan directamente. |
dest_domain |
event.idm.read_only_udm.target.hostname |
Se asignan directamente. |
dest_ip |
event.idm.read_only_udm.target.ip |
Se asignan directamente. |
dest_port |
event.idm.read_only_udm.target.port |
Se asignan directamente y se convierten en números enteros. |
Direction |
event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Direction |
Se asigna como un campo de detección. |
dns.host |
event.idm.read_only_udm.network.dns.questions[].name |
Se asignan directamente para los eventos de DNS. |
DomainName |
event.idm.read_only_udm.target.administrative_domain |
Se asignan directamente. |
DomainAlexaRank |
event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: valor de DomainAlexaRank |
Se asignó como un campo de detección. |
dport |
event.idm.read_only_udm.target.port |
Se asignan directamente y se convierten en números enteros. |
dnsresolution.server_fqdn |
event.idm.read_only_udm.target.hostname |
Se asignan directamente. |
Duration |
event.idm.read_only_udm.security_result.detection_fields[].key: "Duration", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Duration |
Se asignó como un campo de detección. |
Encrypted |
event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Encrypted |
Se asigna como un campo de detección. |
Entropy |
event.idm.read_only_udm.security_result.detection_fields[].key: "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Entropy |
Se asigna como un campo de detección. |
event.idm.is_alert |
event.idm.is_alert |
Establece este valor en verdadero si la gravedad es crítica o si está presente malware_type (excepto para la etiqueta "Búsqueda de amenazas"). |
event.idm.is_significant |
event.idm.is_significant |
Establece este valor en verdadero si la gravedad es crítica o si está presente malware_type (excepto para la etiqueta "Búsqueda de amenazas"). |
event.idm.read_only_udm.additional.fields |
event.idm.read_only_udm.additional.fields |
Contiene varios campos adicionales basados en la lógica del analizador. |
event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
Se asigna directamente desde el campo summary. |
event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Se determina en función de varios campos de registro y la lógica del analizador. Puede ser GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE o NETWORK_FLOW. |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
Establece el valor en "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Establece el valor en "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Establece el valor en "FIDELIS_NETWORK". |
event.idm.read_only_udm.network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
Se determina según el campo server_port o protocol. Puede ser HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS o AOLMAIL. |
event.idm.read_only_udm.network.direction |
event.idm.read_only_udm.network.direction |
Se determina en función del campo direction o de las palabras clave en summary. Puede ser INBOUND o OUTBOUND. |
event.idm.read_only_udm.network.dns.answers |
event.idm.read_only_udm.network.dns.answers |
Se propaga para los eventos de DNS. |
event.idm.read_only_udm.network.dns.id |
event.idm.read_only_udm.network.dns.id |
Se asigna desde el campo number para los eventos de DNS. |
event.idm.read_only_udm.network.dns.questions |
event.idm.read_only_udm.network.dns.questions |
Se propaga para los eventos de DNS. |
event.idm.read_only_udm.network.email.from |
event.idm.read_only_udm.network.email.from |
Se asigna directamente desde From si es una dirección de correo electrónico válida. |
event.idm.read_only_udm.network.email.subject |
event.idm.read_only_udm.network.email.subject |
Se asigna directamente desde Subject. |
event.idm.read_only_udm.network.email.to |
event.idm.read_only_udm.network.email.to |
Se asigna directamente desde To. |
event.idm.read_only_udm.network.ftp.command |
event.idm.read_only_udm.network.ftp.command |
Se asigna directamente desde ftp.command. |
event.idm.read_only_udm.network.http.method |
event.idm.read_only_udm.network.http.method |
Se asignan directamente desde http.command o Command. |
event.idm.read_only_udm.network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
Se asigna directamente desde Referer. |
event.idm.read_only_udm.network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
Se asignan directamente desde http.status_code o StatusCode y se convierten en números enteros. |
event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Se asignan directamente desde http.useragent o UserAgent. |
event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Se asigna directamente desde tproto si es TCP o UDP. |
event.idm.read_only_udm.network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
Se cambió el nombre de event1.server_packet_count y se convirtió en número entero sin firma. |
event.idm.read_only_udm.network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Se cambió el nombre de event1.client_packet_count y se convirtió en número entero sin firma. |
event.idm.read_only_udm.network.session_duration.seconds |
event.idm.read_only_udm.network.session_duration.seconds |
Se cambió el nombre de event1.session_size y se convirtió en número entero. |
event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
Se asignan directamente desde event1.rel_sesid o UserSessionID. |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Se asigna directamente desde event1.certificate_issuer_name. |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Se analiza desde event1.certificate_end_date y se convierte en marca de tiempo. |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Se analiza desde event1.certificate_start_date y se convierte en marca de tiempo. |
event.idm.read_only_udm.network.tls.client.certificate.subject |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Se asigna directamente desde event1.certificate_subject_name. |
event.idm.read_only_udm.network.tls.client.ja3 |
event.idm.read_only_udm.network.tls.client.ja3 |
Se asignan directamente desde event1.ja3digest y se convierten en cadenas. |
event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
Se asignan directamente desde event1.cipher, CipherSuite, cipher o event1.tls_ciphersuite. |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Se asigna directamente desde certificate_issuer_name. |
event.idm.read_only_udm.network.tls.server.certificate.subject |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Se asigna directamente desde certificate_subject_name. |
event.idm.read_only_udm.network.tls.server.ja3s |
event.idm.read_only_udm.network.tls.server.ja3s |
Se asignan directamente desde event1.ja3sdigest y se convierten en cadenas. |
event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
Se asigna directamente desde event1.version. |
event.idm.read_only_udm.principal.application |
event.idm.read_only_udm.principal.application |
Se asigna directamente desde event1.client_asset_name. |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Se asigna directamente desde ClientAssetRole. |
event.idm.read_only_udm.principal.asset_id |
event.idm.read_only_udm.principal.asset_id |
Se asignan directamente desde ClientAssetID o ServerAssetID (con el prefijo "Recurso:"). |
event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
Se asignan directamente desde event1.sld o src_domain. |
event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
Se asignan directamente desde event1.src_ip6, client_ip o ClientIP. |
event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Se asigna directamente desde ClientCountry o src_country si no es “UNKNOWN” o una cadena vacía. |
event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
Se asignan directamente desde event1.sport o client_port y se convierten en números enteros. |
event.idm.read_only_udm.principal.resource.attribute.labels |
event.idm.read_only_udm.principal.resource.attribute.labels |
Contiene varias etiquetas basadas en la lógica del analizador. |
event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Se asignan directamente desde ftp.user o AppUser. |
event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
Se determina en función de severity. Puede ser ALLOW, BLOCK o UNKNOWN_ACTION. |
event.idm.read_only_udm.security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
Se asigna directamente desde Action si no es “none” o una cadena vacía. |
event.idm.read_only_udm.security_result.category |
event.idm.read_only_udm.security_result.category |
Se establece en NETWORK_SUSPICIOUS si malware_type está presente. |
event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
Contiene varios campos de detección basados en la lógica del analizador. |
event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
Se asigna directamente desde rule_name. |
event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
Se determina en función de severity. Puede ser INFORMATIONAL, MEDIUM, ERROR o CRITICAL. |
event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
Se asigna directamente desde label. |
event.idm.read_only_udm.security_result.threat_name |
event.idm.read_only_udm.security_result.threat_name |
Se asigna directamente desde malware_type o se analiza desde summary si contiene "CVE-". |
event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
Se asigna directamente desde DomainName. |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
Se asigna directamente desde ServerAssetRole. |
event.idm.read_only_udm.target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
Se asignan directamente desde ftp.filename o Filename. |
event.idm.read_only_udm.target.file.md5 |
event.idm.read_only_udm.target.file.md5 |
Se asignan directamente desde event1.md5 o md5. |
event.idm.read_only_udm.target.file.mime_type |
event.idm.read_only_udm.target.file.mime_type |
Se asigna directamente desde event1.filetype. |
event.idm.read_only_udm.target.file.sha1 |
event.idm.read_only_udm.target.file.sha1 |
Se asigna directamente desde event1.srvcerthash. |
event.idm.read_only_udm.target.file.sha256 |
event.idm.read_only_udm.target.file.sha256 |
Se asignan directamente desde event1.sha256 o sha256. |
event.idm.read_only_udm.target.file.size |
event.idm.read_only_udm.target.file.size |
Se cambió el nombre de event1.filesize y se convirtió en número entero sin signo si no es 0. |
event.idm.read_only_udm.target.hostname |
event.idm.read_only_udm.target.hostname |
Se asignan directamente desde event1.sni, dest_domain o Host. |
event.idm.read_only_udm.target.ip |
event.idm.read_only_udm.target.ip |
Se asignan directamente desde event1.dst_ip6, server_ip o ServerIP. |
event.idm.read_only_udm.target.location.country_or_region |
event.idm.read_only_udm.target.location.country_or_region |
Se asignan directamente desde dest_country o ServerCountry. |
event.idm.read_only_udm.target.platform |
event.idm.read_only_udm.target.platform |
Se asigna desde asset_os después de la normalización. |
event.idm.read_only_udm.target.platform_version |
event.idm.read_only_udm.target.platform_version |
Se asigna directamente desde os_version. |
event.idm.read_only_udm.target.port |
event.idm.read_only_udm.target.port |
Se asignan directamente desde event1.dport o server_port y se convierten en números enteros. |
event.idm.read_only_udm.target.resource.attribute.labels |
event.idm.read_only_udm.target.resource.attribute.labels |
Contiene varias etiquetas basadas en la lógica del analizador. |
event.idm.read_only_udm.target.url |
event.idm.read_only_udm.target.url |
Se asignan directamente desde url o URL. |
event.idm.read_only_udm.target.user.product_object_id |
event.idm.read_only_udm.target.user.product_object_id |
Se asigna directamente desde uuid. |
event1.certificate_end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Se analiza y se convierte en una marca de tiempo. |
event1.certificate_extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: “Uso extendido de claves”, event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_extended_key_usage |
Se asigna como un campo adicional. |
event1.certificate_issuer_name |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Se asignan directamente. |
event1.certificate_key_length |
event.idm.read_only_udm.additional.fields[].key: “Longitud de la clave”, event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_key_length |
Se asigna como un campo adicional. |
event1.certificate_key_usage |
event.idm.read_only_udm.additional.fields[].key: “Key Usage”, event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_key_usage |
Se asigna como un campo adicional. |
event1.certificate_start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Se analiza y se convierte en una marca de tiempo. |
event1.certificate_subject_altname |
event.idm.read_only_udm.additional.fields[].key: "Nombre alternativo del certificado", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_subject_altname |
Se asigna como un campo adicional. |
event1.certificate_subject_name |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Se asignan directamente. |
event1.client_asset_name |
event.idm.read_only_udm.principal.application |
Se asignan directamente. |
event1.client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.client_asset_subnet |
Se asigna como un campo adicional. |
event1.client_packet_count |
event.idm.read_only_udm.network.sent_bytes |
Se convirtió en un número entero sin firma y se le cambió el nombre. |
event1.cipher |
event.idm.read_only_udm.network.tls.cipher |
Se asignan directamente. |
event1.direction |
event.idm.read_only_udm.network.direction |
Se asigna a INBOUND si es "s2c" o OUTBOUND si es "c2s". |
| "event1.d |
Cambios
2024-06-04
- Se agregó compatibilidad con un nuevo patrón de registros JSON.
- Se asignó "protocolo" a "network.application_protocol".
- Se asignó "alert_type" a "security_result.detection_fields".
2023-09-04
- Mejora:
- Se asignó "event1.sld" a "principal.hostname".
- Se asignó "event1.sni" a "target.hostname".
- Se asignó "event1.src_ip6" a "principal.ip".
- Se asignó "event1.dst_ip6" a "target.ip".
- Se asignó "event1.sport" a "principal.port".
- Se asignó "event1.dport" a "target.port".
- Se asignó "event1.cipher" a "network.tls.cipher".
- Se asignó "event1.tproto" a "network.ip_protocol".
- Se asignó "event1.client_asset_name" a "principal.application".
- Se asignó "event1.direction" a "network.direction".
- Se asignó "event1.rel_sesid" a "network.session_id".
- Se asignó "event1.tls_ciphersuite" a "network.tls.cipher".
- Se asignó "event1.ja3sdigest" a "network.tls.server.ja3s".
- Se asignó "event1.ja3digest" a "network.tls.client.ja3".
- Se asignó “event1.srvcerthash” a “target.file.sha1”.
- Se asignó "event1.sha256" a "target.file.sha256".
- Se asignó "event1.md5" a "target.file.md5".
- Se asignó "event1.filetype" a "target.file.mime_type".
- Se asignó "event1.filesize" a "target.file.size".
- Se asignó "event1.certificate_issuer_name" a "network.tls.client.certificate.issuer".
- Se asignó "event1.certificate_subject_name" a "network.tls.client.certificate.subject".
- Se asignó "event1.certificate_start_date" a "network.tls.client.certificate.not_before".
- Se asignó "event1.certificate_end_date" a "network.tls.client.certificate.not_after".
- Se asignó "event1.client_packet_count" a "network.sent_bytes".
- Se asignó "event1.server_packet_count" a "network.received_bytes".
- Se asignó "event1.session_size" a "network.session_duration.seconds".
- Se asignó "event1.server_asset_subnet" a "read_only_udm.additional.fields".
- Se asignó "event1.client_asset_subnet" a "read_only_udm.additional.fields".
- Se asignó "event1.sha1hash" a "read_only_udm.additional.fields".
- Se asignó "event1.type" a "read_only_udm.additional.fields".
- Se asignó "event1.histbuf" a "read_only_udm.additional.fields".
- Se asignó "event1.sen_name" a "read_only_udm.additional.fields".
- Se asignó "event1.certificate_subject_altname" a "read_only_udm.additional.fields".
- Se asignó "event1.certificate_key_usage" a "read_only_udm.additional.fields".
- Se asignó "event1.certificate_key_length" a "read_only_udm.additional.fields".
- Se asignó "event1.certificate_extended_key_usage" a "read_only_udm.additional.fields".
- Se asignó "event1.version" a "network.tls.version".
2023-05-19
- Mejora:
- Se asignaron "exe_richsignaturehash", "exe_richsignaturepvhash" y "alert_threat_score" a "security_result.detection_fields".