Mengumpulkan log General Dynamics Fidelis XPS
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara mengumpulkan log General Dynamics Fidelis XPS dengan menggunakan penerus Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan FIDELIS_NETWORK.
Mengonfigurasi General Dynamics Fidelis XPS
- Login ke CommandPost untuk mengelola perangkat Fidelis XPS Anda.
- Pilih Sistem > Ekspor.
- Klik tab Baru.
- Di daftar Export method, pilih ArcSight.
- Di kolom Destination, masukkan alamat IP dan nomor port server penerusan Google Security Operations, seperti
514. - Di bagian Ekspor pemberitahuan, pilih kotak centang Semua.
- Di bagian Frekuensi ekspor, centang kotak Setiap pemberitahuan.
- Di bagian Transport, centang kotak UDP atau TCP.
- Di kolom Simpan sebagai, masukkan nama untuk konfigurasi ekspor.
Di kotak Daftar kolom, pindahkan entri di Daftar kolom sehingga muncul dalam urutan berikut:
WAKTU
TINDAKAN
ALERTUUID
APPLICATION_USER
KOMPONEN
COMPR
DSTADDR
DSTPORT
FILENAME
DARI
GROUP
NAMA MALWARE
JENIS MALWARE
MD5
KEBIJAKAN
PROTO
REQUEST_METHOD
REQUEST_AGENT
REQUEST_URL
RULE
SENIP
KEPARAHAN
SRCADDR
SRCPORT
RINGKASAN
TARGET
KEPADA
VIOLATION_INFO
VLAN_ID
Fidelis XPS versi 8.1 memperkenalkan data tambahan yang dapat Anda konfigurasi untuk mengekspor data baru. Kolom baru mencakup REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO, dan VLAN_ID.
VIOLATION_INFO mencakup semua data dari bagian Informasi pelanggaran di halaman Detail notifikasi. Data ini mencakup data yang cocok yang memicu pemberitahuan. Kolom ini juga mencakup informasi tambahan yang disertakan dalam data feed saat data tersebut cocok. VIOLATION_INFO dapat berukuran besar. Anda harus mengaktifkan TCP saat menggunakan fitur ini dalam ekspor syslog.
Pilih Sistem > Malware > Deteksi malware.
Centang kotak Mesin deteksi malware dan Kebijakan malware otomatis.
Klik Simpan.
Mengonfigurasi penerusan Google Security Operations untuk menyerap log Jaringan Fidelis
- Pilih Setelan SIEM > Forwarder.
- Klik Tambahkan penerusan baru.
- Masukkan nama unik di kolom Nama penerusan.
- Klik Kirim, lalu klik Konfirmasi. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
- Di kolom Nama pengumpul, masukkan nama unik untuk pengumpul.
- Pilih Fidelis Network sebagai Jenis log.
- Pilih Syslog sebagai Collector type.
- Konfigurasikan parameter input berikut:
- Protokol: tentukan protokol koneksi yang digunakan pengumpul untuk memproses data syslog.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
- Klik Kirim.
Untuk mengetahui informasi selengkapnya tentang penerus Google Security Operations, lihat Mengelola konfigurasi penerus melalui UI Google Security Operations.
Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini memproses log Fidelis Network dalam format SYSLOG, key-value pair, dan JSON, lalu mengubahnya menjadi UDM. Proses ini mengekstrak kolom, menangani berbagai struktur log, memetakan ke kolom UDM.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
aaction |
event.idm.read_only_udm.security_result.action_details |
Dipetakan secara langsung jika bukan "none" atau string kosong. |
alert_threat_score |
event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: nilai alert_threat_score |
Dipetakan langsung sebagai kolom deteksi. |
alert_type |
event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: nilai alert_type |
Dipetakan langsung sebagai kolom deteksi. |
answers |
event.idm.read_only_udm.network.dns.answers[].data |
Dipetakan secara langsung untuk peristiwa DNS. |
application_user |
event.idm.read_only_udm.principal.user.userid |
Dipetakan secara langsung. |
asset_os |
event.idm.read_only_udm.target.platform |
Dinormalisasi ke WINDOWS, LINUX, MAC, atau UNKNOWN_PLATFORM. |
certificate.end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Diuraikan dan dikonversi menjadi stempel waktu. |
certificate.extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Penggunaan Kunci yang Diperluas", event.idm.read_only_udm.additional.fields[].value.string_value: nilai certificate.extended_key_usage |
Dipetakan sebagai kolom tambahan. |
certificate.issuer_name |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Dipetakan secara langsung. |
certificate.key_length |
event.idm.read_only_udm.additional.fields[].key: "Panjang Kunci", event.idm.read_only_udm.additional.fields[].value.string_value: nilai certificate.key_length |
Dipetakan sebagai kolom tambahan. |
certificate.key_usage |
event.idm.read_only_udm.additional.fields[].key: "Penggunaan Kunci", event.idm.read_only_udm.additional.fields[].value.string_value: nilai certificate.key_usage |
Dipetakan sebagai kolom tambahan. |
certificate.start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Diuraikan dan dikonversi menjadi stempel waktu. |
certificate.subject_altname |
event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: nilai certificate.subject_altname |
Dipetakan sebagai kolom tambahan. |
certificate.subject_name |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Dipetakan secara langsung. |
certificate.type |
event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: nilai certificate.type |
Dipetakan sebagai kolom tambahan. |
cipher |
event.idm.read_only_udm.network.tls.cipher |
Dipetakan secara langsung. |
client_asset_name |
event.idm.read_only_udm.principal.application |
Dipetakan secara langsung. |
client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: nilai client_asset_subnet |
Dipetakan sebagai kolom tambahan. |
client_ip |
event.idm.read_only_udm.principal.ip |
Dipetakan secara langsung. |
client_port |
event.idm.read_only_udm.principal.port |
Dipetakan dan dikonversi langsung ke bilangan bulat. |
ClientIP |
event.idm.read_only_udm.principal.ip |
Dipetakan secara langsung. |
ClientPort |
event.idm.read_only_udm.principal.port |
Dipetakan dan dikonversi langsung ke bilangan bulat. |
ClientCountry |
event.idm.read_only_udm.principal.location.country_or_region |
Dipetakan secara langsung jika bukan "UNKNOWN" atau string kosong. |
ClientAssetID |
event.idm.read_only_udm.principal.asset_id |
Diawali dengan "Aset:" jika bukan "0" atau string kosong. |
ClientAssetName |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: nilai ClientAssetName |
Dipetakan sebagai label resource utama. |
ClientAssetRole |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Dipetakan secara langsung. |
ClientAssetServices |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: nilai ClientAssetServices |
Dipetakan sebagai label resource utama. |
Client |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: nilai Client |
Dipetakan sebagai label resource utama. |
Collector |
event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Collector |
Dipetakan sebagai kolom deteksi. |
command |
event.idm.read_only_udm.network.http.method |
Dipetakan langsung untuk peristiwa HTTP. |
Command |
event.idm.read_only_udm.security_result.detection_fields[].key: "Command", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Command |
Dipetakan sebagai kolom deteksi. |
Connection |
event.idm.read_only_udm.security_result.detection_fields[].key: "Connection", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Connection |
Dipetakan sebagai kolom deteksi. |
DecodingPath |
event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: nilai DecodingPath |
Dipetakan sebagai kolom deteksi. |
dest_country |
event.idm.read_only_udm.target.location.country_or_region |
Dipetakan secara langsung. |
dest_domain |
event.idm.read_only_udm.target.hostname |
Dipetakan secara langsung. |
dest_ip |
event.idm.read_only_udm.target.ip |
Dipetakan secara langsung. |
dest_port |
event.idm.read_only_udm.target.port |
Dipetakan dan dikonversi langsung ke bilangan bulat. |
Direction |
event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Direction |
Dipetakan sebagai kolom deteksi. |
dns.host |
event.idm.read_only_udm.network.dns.questions[].name |
Dipetakan secara langsung untuk peristiwa DNS. |
DomainName |
event.idm.read_only_udm.target.administrative_domain |
Dipetakan secara langsung. |
DomainAlexaRank |
event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: nilai DomainAlexaRank |
Dipetakan sebagai kolom deteksi. |
dport |
event.idm.read_only_udm.target.port |
Dipetakan dan dikonversi langsung ke bilangan bulat. |
dnsresolution.server_fqdn |
event.idm.read_only_udm.target.hostname |
Dipetakan secara langsung. |
Duration |
event.idm.read_only_udm.security_result.detection_fields[].key: "Durasi", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Duration |
Dipetakan sebagai kolom deteksi. |
Encrypted |
event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Encrypted |
Dipetakan sebagai kolom deteksi. |
Entropy |
event.idm.read_only_udm.security_result.detection_fields[].key: "Entropi", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Entropy |
Dipetakan sebagai kolom deteksi. |
event.idm.read_only_udm.additional.fields |
event.idm.read_only_udm.additional.fields |
Berisi berbagai kolom tambahan berdasarkan logika parser. |
event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
Dipetakan langsung dari kolom summary. |
event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Ditentukan berdasarkan berbagai kolom log dan logika parser. Dapat berupa GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE, NETWORK_FLOW. |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
Tetapkan ke "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Tetapkan ke "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Tetapkan ke "FIDELIS_NETWORK". |
event.idm.read_only_udm.network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
Ditentukan berdasarkan kolom server_port atau protocol. Dapat berupa HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS, AOLMAIL. |
event.idm.read_only_udm.network.direction |
event.idm.read_only_udm.network.direction |
Ditentukan berdasarkan kolom direction atau kata kunci di summary. Dapat berupa INBOUND atau OUTBOUND. |
event.idm.read_only_udm.network.dns.answers |
event.idm.read_only_udm.network.dns.answers |
Diisi untuk peristiwa DNS. |
event.idm.read_only_udm.network.dns.id |
event.idm.read_only_udm.network.dns.id |
Dipetakan dari kolom number untuk peristiwa DNS. |
event.idm.read_only_udm.network.dns.questions |
event.idm.read_only_udm.network.dns.questions |
Diisi untuk peristiwa DNS. |
event.idm.read_only_udm.network.email.from |
event.idm.read_only_udm.network.email.from |
Dipetakan langsung dari From jika merupakan alamat email yang valid. |
event.idm.read_only_udm.network.email.subject |
event.idm.read_only_udm.network.email.subject |
Dipetakan langsung dari Subject. |
event.idm.read_only_udm.network.email.to |
event.idm.read_only_udm.network.email.to |
Dipetakan langsung dari To. |
event.idm.read_only_udm.network.ftp.command |
event.idm.read_only_udm.network.ftp.command |
Dipetakan langsung dari ftp.command. |
event.idm.read_only_udm.network.http.method |
event.idm.read_only_udm.network.http.method |
Dipetakan langsung dari http.command atau Command. |
event.idm.read_only_udm.network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
Dipetakan langsung dari Referer. |
event.idm.read_only_udm.network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
Dipetakan langsung dari http.status_code atau StatusCode dan dikonversi menjadi bilangan bulat. |
event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Dipetakan langsung dari http.useragent atau UserAgent. |
event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Dipetakan langsung dari tproto jika berupa TCP atau UDP. |
event.idm.read_only_udm.network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
Diganti namanya dari event1.server_packet_count dan dikonversi menjadi bilangan bulat yang tidak bertanda. |
event.idm.read_only_udm.network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Diganti namanya dari event1.client_packet_count dan dikonversi menjadi bilangan bulat yang tidak bertanda. |
event.idm.read_only_udm.network.session_duration.seconds |
event.idm.read_only_udm.network.session_duration.seconds |
Diganti namanya dari event1.session_size dan dikonversi menjadi bilangan bulat. |
event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
Dipetakan langsung dari event1.rel_sesid atau UserSessionID. |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Dipetakan langsung dari event1.certificate_issuer_name. |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Diuraikan dari event1.certificate_end_date dan dikonversi menjadi stempel waktu. |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Diuraikan dari event1.certificate_start_date dan dikonversi menjadi stempel waktu. |
event.idm.read_only_udm.network.tls.client.certificate.subject |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Dipetakan langsung dari event1.certificate_subject_name. |
event.idm.read_only_udm.network.tls.client.ja3 |
event.idm.read_only_udm.network.tls.client.ja3 |
Dipetakan langsung dari event1.ja3digest dan dikonversi menjadi string. |
event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
Dipetakan langsung dari event1.cipher, CipherSuite, cipher, atau event1.tls_ciphersuite. |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Dipetakan langsung dari certificate_issuer_name. |
event.idm.read_only_udm.network.tls.server.certificate.subject |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Dipetakan langsung dari certificate_subject_name. |
event.idm.read_only_udm.network.tls.server.ja3s |
event.idm.read_only_udm.network.tls.server.ja3s |
Dipetakan langsung dari event1.ja3sdigest dan dikonversi menjadi string. |
event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
Dipetakan langsung dari event1.version. |
event.idm.read_only_udm.principal.application |
event.idm.read_only_udm.principal.application |
Dipetakan langsung dari event1.client_asset_name. |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Dipetakan langsung dari ClientAssetRole. |
event.idm.read_only_udm.principal.asset_id |
event.idm.read_only_udm.principal.asset_id |
Dipetakan langsung dari ClientAssetID atau ServerAssetID (diawali dengan "Aset:"). |
event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
Dipetakan langsung dari event1.sld atau src_domain. |
event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
Dipetakan langsung dari event1.src_ip6, client_ip, atau ClientIP. |
event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Dipetakan langsung dari ClientCountry atau src_country jika bukan "UNKNOWN" atau string kosong. |
event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
Dipetakan langsung dari event1.sport atau client_port dan dikonversi menjadi bilangan bulat. |
event.idm.read_only_udm.principal.resource.attribute.labels |
event.idm.read_only_udm.principal.resource.attribute.labels |
Berisi berbagai label berdasarkan logika parser. |
event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Dipetakan langsung dari ftp.user atau AppUser. |
event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
Ditentukan berdasarkan severity. Dapat berupa ALLOW, BLOCK, atau UNKNOWN_ACTION. |
event.idm.read_only_udm.security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
Dipetakan langsung dari Action jika bukan "none" atau string kosong. |
event.idm.read_only_udm.security_result.category |
event.idm.read_only_udm.security_result.category |
Tetapkan ke NETWORK_SUSPICIOUS jika malware_type ada. |
event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
Berisi berbagai kolom deteksi berdasarkan logika parser. |
event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
Dipetakan langsung dari rule_name. |
event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
Ditentukan berdasarkan severity. Dapat berupa INFORMATIONAL, MEDIUM, ERROR, atau CRITICAL. |
event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari label. |
event.idm.read_only_udm.security_result.threat_name |
event.idm.read_only_udm.security_result.threat_name |
Dipetakan langsung dari malware_type atau diuraikan dari summary jika berisi "CVE-". |
event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
Dipetakan langsung dari DomainName. |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
Dipetakan langsung dari ServerAssetRole. |
event.idm.read_only_udm.target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
Dipetakan langsung dari ftp.filename atau Filename. |
event.idm.read_only_udm.target.file.md5 |
event.idm.read_only_udm.target.file.md5 |
Dipetakan langsung dari event1.md5 atau md5. |
event.idm.read_only_udm.target.file.mime_type |
event.idm.read_only_udm.target.file.mime_type |
Dipetakan langsung dari event1.filetype. |
event.idm.read_only_udm.target.file.sha1 |
event.idm.read_only_udm.target.file.sha1 |
Dipetakan langsung dari event1.srvcerthash. |
event.idm.read_only_udm.target.file.sha256 |
event.idm.read_only_udm.target.file.sha256 |
Dipetakan langsung dari event1.sha256 atau sha256. |
event.idm.read_only_udm.target.file.size |
event.idm.read_only_udm.target.file.size |
Diganti namanya dari event1.filesize dan dikonversi menjadi bilangan bulat yang tidak bertanda tangan jika bukan 0. |
event.idm.read_only_udm.target.hostname |
event.idm.read_only_udm.target.hostname |
Dipetakan langsung dari event1.sni, dest_domain, atau Host. |
event.idm.read_only_udm.target.ip |
event.idm.read_only_udm.target.ip |
Dipetakan langsung dari event1.dst_ip6 atau server_ip atau ServerIP. |
event.idm.read_only_udm.target.location.country_or_region |
event.idm.read_only_udm.target.location.country_or_region |
Dipetakan langsung dari dest_country atau ServerCountry. |
event.idm.read_only_udm.target.platform |
event.idm.read_only_udm.target.platform |
Dipetakan dari asset_os setelah normalisasi. |
event.idm.read_only_udm.target.platform_version |
event.idm.read_only_udm.target.platform_version |
Dipetakan langsung dari os_version. |
event.idm.read_only_udm.target.port |
event.idm.read_only_udm.target.port |
Dipetakan langsung dari event1.dport atau server_port dan dikonversi menjadi bilangan bulat. |
event.idm.read_only_udm.target.resource.attribute.labels |
event.idm.read_only_udm.target.resource.attribute.labels |
Berisi berbagai label berdasarkan logika parser. |
event.idm.read_only_udm.target.url |
event.idm.read_only_udm.target.url |
Dipetakan langsung dari url atau URL. |
event.idm.read_only_udm.target.user.product_object_id |
event.idm.read_only_udm.target.user.product_object_id |
Dipetakan langsung dari uuid. |
event1.certificate_end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Diuraikan dan dikonversi menjadi stempel waktu. |
event1.certificate_extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Penggunaan Kunci yang Diperluas", event.idm.read_only_udm.additional.fields[].value.string_value: nilai event1.certificate_extended_key_usage |
Dipetakan sebagai kolom tambahan. |
event1.certificate_issuer_name |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Dipetakan secara langsung. |
event1.certificate_key_length |
event.idm.read_only_udm.additional.fields[].key: "Panjang Kunci", event.idm.read_only_udm.additional.fields[].value.string_value: nilai event1.certificate_key_length |
Dipetakan sebagai kolom tambahan. |
event1.certificate_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Penggunaan Kunci", event.idm.read_only_udm.additional.fields[].value.string_value: nilai event1.certificate_key_usage |
Dipetakan sebagai kolom tambahan. |
event1.certificate_start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Diuraikan dan dikonversi menjadi stempel waktu. |
event1.certificate_subject_altname |
event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: nilai event1.certificate_subject_altname |
Dipetakan sebagai kolom tambahan. |
event1.certificate_subject_name |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Dipetakan secara langsung. |
event1.client_asset_name |
event.idm.read_only_udm.principal.application |
Dipetakan secara langsung. |
event1.client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: nilai event1.client_asset_subnet |
Dipetakan sebagai kolom tambahan. |
event1.client_packet_count |
event.idm.read_only_udm.network.sent_bytes |
Dikonversi menjadi bilangan bulat yang tidak bertanda dan diganti namanya. |
event1.cipher |
event.idm.read_only_udm.network.tls.cipher |
Dipetakan secara langsung. |
event1.direction |
event.idm.read_only_udm.network.direction |
Dipetakan ke INBOUND jika "s2c" atau OUTBOUND jika "c2s". |
event1.d |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.