Collecter les journaux General Dynamics Fidelis XPS
Compatible avec :
Google SecOps
SIEM
Ce document explique comment collecter les journaux General Dynamics Fidelis XPS à l'aide d'un transmetteur Google Security Operations.
Pour en savoir plus, consultez la présentation de l'ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion FIDELIS_NETWORK.
Configurer General Dynamics Fidelis XPS
- Connectez-vous à CommandPost pour gérer votre appliance Fidelis XPS.
- Sélectionnez Système > Exporter.
- Cliquez sur l'onglet Nouveau.
- Dans la liste Méthode d'exportation, sélectionnez ArcSight.
- Dans le champ Destination, saisissez l'adresse IP et le numéro de port du serveur de transfert Google Security Operations, par exemple
514. - Dans la section Exporter les alertes, cochez la case Toutes.
- Dans la section Fréquence d'exportation, cochez la case Chaque alerte.
- Dans la section Transport, cochez la case UDP ou TCP.
- Dans le champ Enregistrer sous, saisissez un nom pour la configuration d'exportation.
Dans la zone Liste des colonnes, déplacez les entrées de la Liste des colonnes pour qu'elles apparaissent dans l'ordre suivant :
TIME
ACTION
ALERTUUID
APPLICATION_USER
COMPOSANT
COMPR
DSTADDR
DSTPORT
FILENAME
FROM
GROUP
NOM DU LOGICIEL MALVEILLANT
TYPE DE LOGICIEL MALVEILLANT
MD5
RÈGLEMENT
PROTO
REQUEST_METHOD
REQUEST_AGENT
REQUEST_URL
RULE
SENIP
GRAVITÉ
SRCADDR
SRCPORT
RÉSUMÉ
CIBLE
À
VIOLATION_INFO
VLAN_ID
La version 8.1 de Fidelis XPS introduit des données supplémentaires que vous pouvez configurer pour exporter de nouvelles données. Les nouveaux champs incluent REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO et VLAN_ID.
VIOLATION_INFO inclut toutes les données de la section Informations sur l'infraction de la page Détails de l'alerte. Ces données incluent les données correspondantes qui génèrent une alerte. Elle inclut également toutes les informations supplémentaires incluses dans les données du flux lorsque ces données correspondent. La taille de VIOLATION_INFO peut être importante. Vous devez activer le protocole TCP lorsque vous utilisez cette fonctionnalité dans les exportations Syslog.
Sélectionnez Système > Logiciel malveillant > Détection de logiciels malveillants.
Cochez les cases Moteur de détection des logiciels malveillants et Règle automatique concernant les logiciels malveillants.
Cliquez sur Enregistrer.
Configurer le transmetteur Google Security Operations pour ingérer les journaux Fidelis Network
- Sélectionnez Paramètres SIEM > Transmetteurs.
- Cliquez sur Ajouter un nouveau transfert.
- Saisissez un nom unique dans le champ Nom du transitaire.
- Cliquez sur Envoyer, puis sur Confirmer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
- Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
- Sélectionnez Fidelis Network comme type de journal.
- Sélectionnez Syslog comme type de collecteur.
- Configurez les paramètres d'entrée suivants :
- Protocole : spécifiez le protocole de connexion utilisé par le collecteur pour écouter les données syslog.
- Adresse : spécifiez l'adresse IP ou le nom d'hôte cibles où le collecteur réside et écoute les données syslog.
- Port : spécifiez le port cible sur lequel le collecteur réside et écoute les données syslog.
- Cliquez sur Envoyer.
Pour en savoir plus sur les répartiteurs Google Security Operations, consultez Gérer les configurations des répartiteurs dans l'interface utilisateur Google Security Operations.
Si vous rencontrez des problèmes lors de la création de redirecteurs, contactez l'assistance Google Security Operations.
Référence du mappage de champs
Ce parseur traite les journaux Fidelis Network aux formats SYSLOG, paire clé/valeur et JSON, et les transforme en UDM. Il extrait les champs, gère différentes structures de journaux et les mappe aux champs UDM.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
aaction |
event.idm.read_only_udm.security_result.action_details |
Directement mappé si la valeur n'est pas "none" ni une chaîne vide. |
alert_threat_score |
event.idm.read_only_udm.security_result.detection_fields[].key : "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value : valeur de alert_threat_score |
Mappé directement en tant que champ de détection. |
alert_type |
event.idm.read_only_udm.security_result.detection_fields[].key : "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value : valeur de alert_type |
Mappé directement en tant que champ de détection. |
answers |
event.idm.read_only_udm.network.dns.answers[].data |
Mappé directement pour les événements DNS. |
application_user |
event.idm.read_only_udm.principal.user.userid |
Mappé directement. |
asset_os |
event.idm.read_only_udm.target.platform |
Normalisé sur WINDOWS, LINUX, MAC ou UNKNOWN_PLATFORM. |
certificate.end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Analysé et converti en code temporel. |
certificate.extended_key_usage |
event.idm.read_only_udm.additional.fields[].key : "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value : valeur de certificate.extended_key_usage |
Mappé en tant que champ supplémentaire. |
certificate.issuer_name |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Mappé directement. |
certificate.key_length |
event.idm.read_only_udm.additional.fields[].key : "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value : valeur de certificate.key_length |
Mappé en tant que champ supplémentaire. |
certificate.key_usage |
event.idm.read_only_udm.additional.fields[].key : "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value : valeur de certificate.key_usage |
Mappé en tant que champ supplémentaire. |
certificate.start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Analysé et converti en code temporel. |
certificate.subject_altname |
event.idm.read_only_udm.additional.fields[].key : "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value : valeur de certificate.subject_altname |
Mappé en tant que champ supplémentaire. |
certificate.subject_name |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Mappé directement. |
certificate.type |
event.idm.read_only_udm.additional.fields[].key : "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value : valeur de certificate.type |
Mappé en tant que champ supplémentaire. |
cipher |
event.idm.read_only_udm.network.tls.cipher |
Mappé directement. |
client_asset_name |
event.idm.read_only_udm.principal.application |
Mappé directement. |
client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: valeur de client_asset_subnet |
Mappé en tant que champ supplémentaire. |
client_ip |
event.idm.read_only_udm.principal.ip |
Mappé directement. |
client_port |
event.idm.read_only_udm.principal.port |
Mappé directement et converti en entier. |
ClientIP |
event.idm.read_only_udm.principal.ip |
Mappé directement. |
ClientPort |
event.idm.read_only_udm.principal.port |
Mappé directement et converti en entier. |
ClientCountry |
event.idm.read_only_udm.principal.location.country_or_region |
Directement mappé s'il n'est pas "UNKNOWN" ni une chaîne vide. |
ClientAssetID |
event.idm.read_only_udm.principal.asset_id |
Préfixé par "Asset:" si la valeur n'est pas "0" ni une chaîne vide. |
ClientAssetName |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valeur de ClientAssetName |
Mappé en tant que libellé de ressource principal. |
ClientAssetRole |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Mappé directement. |
ClientAssetServices |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valeur de ClientAssetServices |
Mappé en tant que libellé de ressource principal. |
Client |
event.idm.read_only_udm.principal.resource.attribute.labels[].key : "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value : valeur de Client |
Mappé en tant que libellé de ressource principal. |
Collector |
event.idm.read_only_udm.security_result.detection_fields[].key : "Collector", event.idm.read_only_udm.security_result.detection_fields[].value : valeur de Collector |
Mappé en tant que champ de détection. |
command |
event.idm.read_only_udm.network.http.method |
Directement mappé pour les événements HTTP. |
Command |
event.idm.read_only_udm.security_result.detection_fields[].key : "Command", event.idm.read_only_udm.security_result.detection_fields[].value : valeur de Command |
Mappé en tant que champ de détection. |
Connection |
event.idm.read_only_udm.security_result.detection_fields[].key : "Connection", event.idm.read_only_udm.security_result.detection_fields[].value : valeur de Connection |
Mappé en tant que champ de détection. |
DecodingPath |
event.idm.read_only_udm.security_result.detection_fields[].key : "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value : valeur de DecodingPath |
Mappé en tant que champ de détection. |
dest_country |
event.idm.read_only_udm.target.location.country_or_region |
Mappé directement. |
dest_domain |
event.idm.read_only_udm.target.hostname |
Mappé directement. |
dest_ip |
event.idm.read_only_udm.target.ip |
Mappé directement. |
dest_port |
event.idm.read_only_udm.target.port |
Mappé directement et converti en entier. |
Direction |
event.idm.read_only_udm.security_result.detection_fields[].key : "Direction", event.idm.read_only_udm.security_result.detection_fields[].value : valeur de Direction |
Mappé en tant que champ de détection. |
dns.host |
event.idm.read_only_udm.network.dns.questions[].name |
Mappé directement pour les événements DNS. |
DomainName |
event.idm.read_only_udm.target.administrative_domain |
Mappé directement. |
DomainAlexaRank |
event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: valeur de DomainAlexaRank |
Mappé en tant que champ de détection. |
dport |
event.idm.read_only_udm.target.port |
Mappé directement et converti en entier. |
dnsresolution.server_fqdn |
event.idm.read_only_udm.target.hostname |
Mappé directement. |
Duration |
event.idm.read_only_udm.security_result.detection_fields[].key : "Duration", event.idm.read_only_udm.security_result.detection_fields[].value : valeur de Duration |
Mappé en tant que champ de détection. |
Encrypted |
event.idm.read_only_udm.security_result.detection_fields[].key : "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value : valeur de Encrypted |
Mappé en tant que champ de détection. |
Entropy |
event.idm.read_only_udm.security_result.detection_fields[].key : "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value : valeur de Entropy |
Mappé en tant que champ de détection. |
event.idm.read_only_udm.additional.fields |
event.idm.read_only_udm.additional.fields |
Contient divers champs supplémentaires basés sur la logique de l'analyseur. |
event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
Mappé directement à partir du champ summary. |
event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Déterminé en fonction de divers champs de journaux et de la logique de l'analyseur. Il peut s'agir de GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE ou NETWORK_FLOW. |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
Définissez-le sur "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Définissez-le sur "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Définissez-le sur "FIDELIS_NETWORK". |
event.idm.read_only_udm.network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
Déterminé en fonction du champ server_port ou protocol. Il peut s'agir de HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS ou AOLMAIL. |
event.idm.read_only_udm.network.direction |
event.idm.read_only_udm.network.direction |
Déterminé en fonction du champ direction ou des mots clés dans summary. Il peut s'agir de "INBOUND" ou de "OUTBOUND". |
event.idm.read_only_udm.network.dns.answers |
event.idm.read_only_udm.network.dns.answers |
Valeur renseignée pour les événements DNS. |
event.idm.read_only_udm.network.dns.id |
event.idm.read_only_udm.network.dns.id |
Mappé à partir du champ number pour les événements DNS. |
event.idm.read_only_udm.network.dns.questions |
event.idm.read_only_udm.network.dns.questions |
Valeur renseignée pour les événements DNS. |
event.idm.read_only_udm.network.email.from |
event.idm.read_only_udm.network.email.from |
Mappé directement à partir de From s'il s'agit d'une adresse e-mail valide. |
event.idm.read_only_udm.network.email.subject |
event.idm.read_only_udm.network.email.subject |
Mappé directement à partir de Subject. |
event.idm.read_only_udm.network.email.to |
event.idm.read_only_udm.network.email.to |
Mappé directement à partir de To. |
event.idm.read_only_udm.network.ftp.command |
event.idm.read_only_udm.network.ftp.command |
Mappé directement à partir de ftp.command. |
event.idm.read_only_udm.network.http.method |
event.idm.read_only_udm.network.http.method |
Directement mappé à partir de http.command ou Command. |
event.idm.read_only_udm.network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
Mappé directement à partir de Referer. |
event.idm.read_only_udm.network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
Mappé directement à partir de http.status_code ou StatusCode et converti en entier. |
event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Directement mappé à partir de http.useragent ou UserAgent. |
event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Directement mappé à partir de tproto s'il s'agit de TCP ou d'UDP. |
event.idm.read_only_udm.network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
Le nom event1.server_packet_count a été remplacé et la valeur a été convertie en entier non signé. |
event.idm.read_only_udm.network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Le nom event1.client_packet_count a été remplacé et la valeur a été convertie en entier non signé. |
event.idm.read_only_udm.network.session_duration.seconds |
event.idm.read_only_udm.network.session_duration.seconds |
Le nom event1.session_size a été remplacé et la valeur a été convertie en entier. |
event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
Directement mappé à partir de event1.rel_sesid ou UserSessionID. |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Mappé directement à partir de event1.certificate_issuer_name. |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Analysé à partir de event1.certificate_end_date et converti en code temporel. |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Analysé à partir de event1.certificate_start_date et converti en code temporel. |
event.idm.read_only_udm.network.tls.client.certificate.subject |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Mappé directement à partir de event1.certificate_subject_name. |
event.idm.read_only_udm.network.tls.client.ja3 |
event.idm.read_only_udm.network.tls.client.ja3 |
Mappé directement à partir de event1.ja3digest et converti en chaîne. |
event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
Directement mappé à partir de event1.cipher, CipherSuite, cipher ou event1.tls_ciphersuite. |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Mappé directement à partir de certificate_issuer_name. |
event.idm.read_only_udm.network.tls.server.certificate.subject |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Mappé directement à partir de certificate_subject_name. |
event.idm.read_only_udm.network.tls.server.ja3s |
event.idm.read_only_udm.network.tls.server.ja3s |
Mappé directement à partir de event1.ja3sdigest et converti en chaîne. |
event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
Mappé directement à partir de event1.version. |
event.idm.read_only_udm.principal.application |
event.idm.read_only_udm.principal.application |
Mappé directement à partir de event1.client_asset_name. |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Mappé directement à partir de ClientAssetRole. |
event.idm.read_only_udm.principal.asset_id |
event.idm.read_only_udm.principal.asset_id |
Mappé directement à partir de ClientAssetID ou ServerAssetID (préfixé par "Asset:"). |
event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
Directement mappé à partir de event1.sld ou src_domain. |
event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
Directement mappé à partir de event1.src_ip6, client_ip ou ClientIP. |
event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Directement mappé à partir de ClientCountry ou src_country s'il ne s'agit pas de "UNKNOWN" ni d'une chaîne vide. |
event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
Mappé directement à partir de event1.sport ou client_port et converti en entier. |
event.idm.read_only_udm.principal.resource.attribute.labels |
event.idm.read_only_udm.principal.resource.attribute.labels |
Contient différents libellés basés sur la logique de l'analyseur. |
event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Directement mappé à partir de ftp.user ou AppUser. |
event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
Déterminé en fonction de severity. Les valeurs possibles sont ALLOW, BLOCK ou UNKNOWN_ACTION. |
event.idm.read_only_udm.security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
Directement mappé à partir de Action s'il n'est pas défini sur "none" ou sur une chaîne vide. |
event.idm.read_only_udm.security_result.category |
event.idm.read_only_udm.security_result.category |
Définissez sur NETWORK_SUSPICIOUS si malware_type est présent. |
event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
Contient différents champs de détection basés sur la logique de l'analyseur. |
event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
Mappé directement à partir de rule_name. |
event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
Déterminé en fonction de severity. Les valeurs possibles sont INFORMATIONAL, MEDIUM, ERROR ou CRITICAL. |
event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
Mappé directement à partir de label. |
event.idm.read_only_udm.security_result.threat_name |
event.idm.read_only_udm.security_result.threat_name |
Mappé directement à partir de malware_type ou analysé à partir de summary s'il contient "CVE-". |
event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
Mappé directement à partir de DomainName. |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
Mappé directement à partir de ServerAssetRole. |
event.idm.read_only_udm.target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
Directement mappé à partir de ftp.filename ou Filename. |
event.idm.read_only_udm.target.file.md5 |
event.idm.read_only_udm.target.file.md5 |
Directement mappé à partir de event1.md5 ou md5. |
event.idm.read_only_udm.target.file.mime_type |
event.idm.read_only_udm.target.file.mime_type |
Mappé directement à partir de event1.filetype. |
event.idm.read_only_udm.target.file.sha1 |
event.idm.read_only_udm.target.file.sha1 |
Mappé directement à partir de event1.srvcerthash. |
event.idm.read_only_udm.target.file.sha256 |
event.idm.read_only_udm.target.file.sha256 |
Directement mappé à partir de event1.sha256 ou sha256. |
event.idm.read_only_udm.target.file.size |
event.idm.read_only_udm.target.file.size |
Renommée event1.filesize et convertie en entier non signé si elle n'est pas égale à 0. |
event.idm.read_only_udm.target.hostname |
event.idm.read_only_udm.target.hostname |
Directement mappé à partir de event1.sni, dest_domain ou Host. |
event.idm.read_only_udm.target.ip |
event.idm.read_only_udm.target.ip |
Directement mappé à partir de event1.dst_ip6, server_ip ou ServerIP. |
event.idm.read_only_udm.target.location.country_or_region |
event.idm.read_only_udm.target.location.country_or_region |
Directement mappé à partir de dest_country ou ServerCountry. |
event.idm.read_only_udm.target.platform |
event.idm.read_only_udm.target.platform |
Mappé à partir de asset_os après normalisation. |
event.idm.read_only_udm.target.platform_version |
event.idm.read_only_udm.target.platform_version |
Mappé directement à partir de os_version. |
event.idm.read_only_udm.target.port |
event.idm.read_only_udm.target.port |
Mappé directement à partir de event1.dport ou server_port et converti en entier. |
event.idm.read_only_udm.target.resource.attribute.labels |
event.idm.read_only_udm.target.resource.attribute.labels |
Contient différents libellés basés sur la logique de l'analyseur. |
event.idm.read_only_udm.target.url |
event.idm.read_only_udm.target.url |
Directement mappé à partir de url ou URL. |
event.idm.read_only_udm.target.user.product_object_id |
event.idm.read_only_udm.target.user.product_object_id |
Mappé directement à partir de uuid. |
event1.certificate_end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Analysé et converti en code temporel. |
event1.certificate_extended_key_usage |
event.idm.read_only_udm.additional.fields[].key : "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value : valeur de event1.certificate_extended_key_usage |
Mappé en tant que champ supplémentaire. |
event1.certificate_issuer_name |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Mappé directement. |
event1.certificate_key_length |
event.idm.read_only_udm.additional.fields[].key : "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value : valeur de event1.certificate_key_length |
Mappé en tant que champ supplémentaire. |
event1.certificate_key_usage |
event.idm.read_only_udm.additional.fields[].key : "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value : valeur de event1.certificate_key_usage |
Mappé en tant que champ supplémentaire. |
event1.certificate_start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Analysé et converti en code temporel. |
event1.certificate_subject_altname |
event.idm.read_only_udm.additional.fields[].key : "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value : valeur de event1.certificate_subject_altname |
Mappé en tant que champ supplémentaire. |
event1.certificate_subject_name |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Mappé directement. |
event1.client_asset_name |
event.idm.read_only_udm.principal.application |
Mappé directement. |
event1.client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: valeur de event1.client_asset_subnet |
Mappé en tant que champ supplémentaire. |
event1.client_packet_count |
event.idm.read_only_udm.network.sent_bytes |
Converti en entier non signé et renommé. |
event1.cipher |
event.idm.read_only_udm.network.tls.cipher |
Mappé directement. |
event1.direction |
event.idm.read_only_udm.network.direction |
Correspond à INBOUND si la valeur est "s2c" ou à OUTBOUND si la valeur est "c2s". |
event1.d |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.