Mengumpulkan log General Dynamics Fidelis XPS

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log General Dynamics Fidelis XPS dengan menggunakan forwarder Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer FIDELIS_NETWORK.

Mengonfigurasi General Dynamics Fidelis XPS

  1. Login ke CommandPost untuk mengelola appliance Fidelis XPS Anda.
  2. Pilih Sistem > Ekspor.
  3. Klik tab Baru.
  4. Dalam daftar Export method, pilih ArcSight.
  5. Di kolom Tujuan, masukkan alamat IP dan nomor port server penerusan Google Security Operations, seperti 514.
  6. Di bagian Ekspor pemberitahuan, centang kotak Semua.
  7. Di bagian Frekuensi ekspor, centang kotak Setiap pemberitahuan.
  8. Di bagian Transport, centang kotak UDP atau TCP.
  9. Di kolom Save as, masukkan nama untuk konfigurasi ekspor.

  10. Di kotak Daftar kolom, pindahkan entri di Daftar kolom sehingga muncul dalam urutan berikut:

    • WAKTU

    • TINDAKAN

    • ALERTUUID

    • APPLICATION_USER

    • KOMPONEN

    • COMPR

    • DSTADDR

    • DSTPORT

    • FILENAME

    • FROM

    • GROUP

    • MALWARE NAME

    • JENIS MALWARE

    • MD5

    • POLICY

    • PROTO

    • REQUEST_METHOD

    • REQUEST_AGENT

    • REQUEST_URL

    • RULE

    • SENIP

    • KEPARAHAN

    • SRCADDR

    • SRCPORT

    • RINGKASAN

    • TARGET

    • KEPADA

    • VIOLATION_INFO

    • VLAN_ID

    Fidelis XPS versi 8.1 memperkenalkan data tambahan yang dapat Anda konfigurasikan untuk mengekspor data baru. Kolom baru mencakup REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO, dan VLAN_ID.

    VIOLATION_INFO mencakup semua data dari bagian Violation information di halaman Alert detail. Data ini mencakup data pencocokan yang menghasilkan pemberitahuan. Laporan ini juga menyertakan informasi tambahan yang disertakan dalam data feed saat data tersebut cocok. VIOLATION_INFO dapat berukuran besar. Anda harus mengaktifkan TCP saat menggunakan fitur ini dalam ekspor syslog.

  11. Pilih Sistem > Malware > Deteksi malware.

  12. Centang kotak Mesin deteksi malware dan Kebijakan malware otomatis.

  13. Klik Simpan.

Mengonfigurasi penerusan Google Security Operations untuk menyerap log Fidelis Network

  1. Pilih Setelan SIEM > Penerima.
  2. Klik Tambahkan penerusan baru.
  3. Masukkan nama unik di kolom Nama pengirim.
  4. Klik Kirim, lalu klik Konfirmasi. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
  5. Di kolom Nama kolektor, masukkan nama unik untuk kolektor.
  6. Pilih Fidelis Network sebagai Jenis log.
  7. Pilih Syslog sebagai Jenis kolektor.
  8. Konfigurasikan parameter input berikut:
    • Protokol: menentukan protokol koneksi yang digunakan kolektor untuk memproses data syslog.
    • Address: tentukan alamat IP atau nama host target tempat kolektor berada dan memproses data syslog.
    • Port: menentukan port target tempat kolektor berada dan memproses data syslog.
  9. Klik Kirim.

Untuk informasi selengkapnya tentang penerusan Google Security Operations, lihat Mengelola konfigurasi penerusan melalui UI Google Security Operations.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini memproses log Fidelis Network dalam format SYSLOG, pasangan nilai kunci, dan JSON, yang mengubahnya menjadi UDM. Fungsi ini mengekstrak kolom, menangani berbagai struktur log, memetakan ke kolom UDM, dan memperkaya peristiwa dengan label seperti _is_alert dan _is_significant berdasarkan indikator ancaman dan tingkat keparahan.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
aaction event.idm.read_only_udm.security_result.action_details Dipetakan langsung jika bukan "none" atau string kosong.
alert_threat_score event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: nilai alert_threat_score Dipetakan langsung sebagai kolom deteksi.
alert_type event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: nilai alert_type Dipetakan langsung sebagai kolom deteksi.
answers event.idm.read_only_udm.network.dns.answers[].data Dipetakan langsung untuk peristiwa DNS.
application_user event.idm.read_only_udm.principal.user.userid Dipetakan secara langsung.
asset_os event.idm.read_only_udm.target.platform Dinormalisasi ke WINDOWS, LINUX, MAC, atau UNKNOWN_PLATFORM.
certificate.end_date event.idm.read_only_udm.network.tls.client.certificate.not_after Diurai dan dikonversi menjadi stempel waktu.
certificate.extended_key_usage event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: nilai certificate.extended_key_usage Dipetakan sebagai kolom tambahan.
certificate.issuer_name event.idm.read_only_udm.network.tls.server.certificate.issuer Dipetakan secara langsung.
certificate.key_length event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: nilai certificate.key_length Dipetakan sebagai kolom tambahan.
certificate.key_usage event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: nilai certificate.key_usage Dipetakan sebagai kolom tambahan.
certificate.start_date event.idm.read_only_udm.network.tls.client.certificate.not_before Diurai dan dikonversi menjadi stempel waktu.
certificate.subject_altname event.idm.read_only_udm.additional.fields[].key: "Nama Alternatif Sertifikat", event.idm.read_only_udm.additional.fields[].value.string_value: nilai certificate.subject_altname Dipetakan sebagai kolom tambahan.
certificate.subject_name event.idm.read_only_udm.network.tls.server.certificate.subject Dipetakan secara langsung.
certificate.type event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: nilai certificate.type Dipetakan sebagai kolom tambahan.
cipher event.idm.read_only_udm.network.tls.cipher Dipetakan secara langsung.
client_asset_name event.idm.read_only_udm.principal.application Dipetakan secara langsung.
client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: nilai client_asset_subnet Dipetakan sebagai kolom tambahan.
client_ip event.idm.read_only_udm.principal.ip Dipetakan secara langsung.
client_port event.idm.read_only_udm.principal.port Dipetakan dan dikonversi langsung menjadi bilangan bulat.
ClientIP event.idm.read_only_udm.principal.ip Dipetakan secara langsung.
ClientPort event.idm.read_only_udm.principal.port Dipetakan dan dikonversi langsung menjadi bilangan bulat.
ClientCountry event.idm.read_only_udm.principal.location.country_or_region Dipetakan langsung jika bukan "UNKNOWN" atau string kosong.
ClientAssetID event.idm.read_only_udm.principal.asset_id Diawali dengan "Aset:" jika bukan "0" atau string kosong.
ClientAssetName event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: nilai ClientAssetName Dipetakan sebagai label resource utama.
ClientAssetRole event.idm.read_only_udm.principal.asset.attribute.roles[].name Dipetakan secara langsung.
ClientAssetServices event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: nilai ClientAssetServices Dipetakan sebagai label resource utama.
Client event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: nilai Client Dipetakan sebagai label resource utama.
Collector event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Collector Dipetakan sebagai kolom deteksi.
command event.idm.read_only_udm.network.http.method Dipetakan langsung untuk peristiwa HTTP.
Command event.idm.read_only_udm.security_result.detection_fields[].key: "Command", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Command Dipetakan sebagai kolom deteksi.
Connection event.idm.read_only_udm.security_result.detection_fields[].key: "Connection", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Connection Dipetakan sebagai kolom deteksi.
DecodingPath event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: nilai DecodingPath Dipetakan sebagai kolom deteksi.
dest_country event.idm.read_only_udm.target.location.country_or_region Dipetakan secara langsung.
dest_domain event.idm.read_only_udm.target.hostname Dipetakan secara langsung.
dest_ip event.idm.read_only_udm.target.ip Dipetakan secara langsung.
dest_port event.idm.read_only_udm.target.port Dipetakan dan dikonversi langsung menjadi bilangan bulat.
Direction event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Direction Dipetakan sebagai kolom deteksi.
dns.host event.idm.read_only_udm.network.dns.questions[].name Dipetakan langsung untuk peristiwa DNS.
DomainName event.idm.read_only_udm.target.administrative_domain Dipetakan secara langsung.
DomainAlexaRank event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: nilai DomainAlexaRank Dipetakan sebagai kolom deteksi.
dport event.idm.read_only_udm.target.port Dipetakan dan dikonversi langsung menjadi bilangan bulat.
dnsresolution.server_fqdn event.idm.read_only_udm.target.hostname Dipetakan secara langsung.
Duration event.idm.read_only_udm.security_result.detection_fields[].key: "Duration", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Duration Dipetakan sebagai kolom deteksi.
Encrypted event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Encrypted Dipetakan sebagai kolom deteksi.
Entropy event.idm.read_only_udm.security_result.detection_fields[].key: "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value: nilai Entropy Dipetakan sebagai kolom deteksi.
event.idm.is_alert event.idm.is_alert Tetapkan ke true jika tingkat keparahannya adalah Kritis atau malware_type ada (kecuali untuk label "Threat Hunt").
event.idm.is_significant event.idm.is_significant Tetapkan ke true jika tingkat keparahan adalah Kritis atau malware_type ada (kecuali untuk label "Threat Hunt").
event.idm.read_only_udm.additional.fields event.idm.read_only_udm.additional.fields Berisi berbagai kolom tambahan berdasarkan logika parser.
event.idm.read_only_udm.metadata.description event.idm.read_only_udm.metadata.description Dipetakan langsung dari kolom summary.
event.idm.read_only_udm.metadata.event_type event.idm.read_only_udm.metadata.event_type Ditentukan berdasarkan berbagai kolom log dan logika parser. Dapat berupa GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE, NETWORK_FLOW.
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type Tetapkan ke "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.product_name event.idm.read_only_udm.metadata.product_name Tetapkan ke "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Tetapkan ke "FIDELIS_NETWORK".
event.idm.read_only_udm.network.application_protocol event.idm.read_only_udm.network.application_protocol Ditentukan berdasarkan kolom server_port atau protocol. Dapat berupa HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS, AOLMAIL.
event.idm.read_only_udm.network.direction event.idm.read_only_udm.network.direction Ditentukan berdasarkan kolom direction atau kata kunci di summary. Dapat berupa MASUK atau KELUAR.
event.idm.read_only_udm.network.dns.answers event.idm.read_only_udm.network.dns.answers Diisi untuk peristiwa DNS.
event.idm.read_only_udm.network.dns.id event.idm.read_only_udm.network.dns.id Dipetakan dari kolom number untuk peristiwa DNS.
event.idm.read_only_udm.network.dns.questions event.idm.read_only_udm.network.dns.questions Diisi untuk peristiwa DNS.
event.idm.read_only_udm.network.email.from event.idm.read_only_udm.network.email.from Dipetakan langsung dari From jika merupakan alamat email yang valid.
event.idm.read_only_udm.network.email.subject event.idm.read_only_udm.network.email.subject Dipetakan langsung dari Subject.
event.idm.read_only_udm.network.email.to event.idm.read_only_udm.network.email.to Dipetakan langsung dari To.
event.idm.read_only_udm.network.ftp.command event.idm.read_only_udm.network.ftp.command Dipetakan langsung dari ftp.command.
event.idm.read_only_udm.network.http.method event.idm.read_only_udm.network.http.method Dipetakan langsung dari http.command atau Command.
event.idm.read_only_udm.network.http.referral_url event.idm.read_only_udm.network.http.referral_url Dipetakan langsung dari Referer.
event.idm.read_only_udm.network.http.response_code event.idm.read_only_udm.network.http.response_code Dipetakan langsung dari http.status_code atau StatusCode dan dikonversi menjadi bilangan bulat.
event.idm.read_only_udm.network.http.user_agent event.idm.read_only_udm.network.http.user_agent Dipetakan langsung dari http.useragent atau UserAgent.
event.idm.read_only_udm.network.ip_protocol event.idm.read_only_udm.network.ip_protocol Dipetakan langsung dari tproto jika berupa TCP atau UDP.
event.idm.read_only_udm.network.received_bytes event.idm.read_only_udm.network.received_bytes Mengganti nama dari event1.server_packet_count dan mengonversinya menjadi bilangan bulat tanpa tanda tangan.
event.idm.read_only_udm.network.sent_bytes event.idm.read_only_udm.network.sent_bytes Mengganti nama dari event1.client_packet_count dan mengonversinya menjadi bilangan bulat tanpa tanda tangan.
event.idm.read_only_udm.network.session_duration.seconds event.idm.read_only_udm.network.session_duration.seconds Diganti namanya dari event1.session_size dan dikonversi menjadi bilangan bulat.
event.idm.read_only_udm.network.session_id event.idm.read_only_udm.network.session_id Dipetakan langsung dari event1.rel_sesid atau UserSessionID.
event.idm.read_only_udm.network.tls.client.certificate.issuer event.idm.read_only_udm.network.tls.client.certificate.issuer Dipetakan langsung dari event1.certificate_issuer_name.
event.idm.read_only_udm.network.tls.client.certificate.not_after event.idm.read_only_udm.network.tls.client.certificate.not_after Diurai dari event1.certificate_end_date dan dikonversi menjadi stempel waktu.
event.idm.read_only_udm.network.tls.client.certificate.not_before event.idm.read_only_udm.network.tls.client.certificate.not_before Diurai dari event1.certificate_start_date dan dikonversi menjadi stempel waktu.
event.idm.read_only_udm.network.tls.client.certificate.subject event.idm.read_only_udm.network.tls.client.certificate.subject Dipetakan langsung dari event1.certificate_subject_name.
event.idm.read_only_udm.network.tls.client.ja3 event.idm.read_only_udm.network.tls.client.ja3 Dipetakan langsung dari event1.ja3digest dan dikonversi menjadi string.
event.idm.read_only_udm.network.tls.cipher event.idm.read_only_udm.network.tls.cipher Dipetakan langsung dari event1.cipher, CipherSuite, cipher, atau event1.tls_ciphersuite.
event.idm.read_only_udm.network.tls.server.certificate.issuer event.idm.read_only_udm.network.tls.server.certificate.issuer Dipetakan langsung dari certificate_issuer_name.
event.idm.read_only_udm.network.tls.server.certificate.subject event.idm.read_only_udm.network.tls.server.certificate.subject Dipetakan langsung dari certificate_subject_name.
event.idm.read_only_udm.network.tls.server.ja3s event.idm.read_only_udm.network.tls.server.ja3s Dipetakan langsung dari event1.ja3sdigest dan dikonversi menjadi string.
event.idm.read_only_udm.network.tls.version event.idm.read_only_udm.network.tls.version Dipetakan langsung dari event1.version.
event.idm.read_only_udm.principal.application event.idm.read_only_udm.principal.application Dipetakan langsung dari event1.client_asset_name.
event.idm.read_only_udm.principal.asset.attribute.roles[].name event.idm.read_only_udm.principal.asset.attribute.roles[].name Dipetakan langsung dari ClientAssetRole.
event.idm.read_only_udm.principal.asset_id event.idm.read_only_udm.principal.asset_id Dipetakan langsung dari ClientAssetID atau ServerAssetID (diawali dengan "Aset:").
event.idm.read_only_udm.principal.hostname event.idm.read_only_udm.principal.hostname Dipetakan langsung dari event1.sld atau src_domain.
event.idm.read_only_udm.principal.ip event.idm.read_only_udm.principal.ip Dipetakan langsung dari event1.src_ip6, client_ip, atau ClientIP.
event.idm.read_only_udm.principal.location.country_or_region event.idm.read_only_udm.principal.location.country_or_region Dipetakan langsung dari ClientCountry atau src_country jika bukan "UNKNOWN" atau string kosong.
event.idm.read_only_udm.principal.port event.idm.read_only_udm.principal.port Dipetakan langsung dari event1.sport atau client_port dan dikonversi menjadi bilangan bulat.
event.idm.read_only_udm.principal.resource.attribute.labels event.idm.read_only_udm.principal.resource.attribute.labels Berisi berbagai label berdasarkan logika parser.
event.idm.read_only_udm.principal.user.userid event.idm.read_only_udm.principal.user.userid Dipetakan langsung dari ftp.user atau AppUser.
event.idm.read_only_udm.security_result.action event.idm.read_only_udm.security_result.action Ditentukan berdasarkan severity. Dapat berupa ALLOW, BLOCK, atau UNKNOWN_ACTION.
event.idm.read_only_udm.security_result.action_details event.idm.read_only_udm.security_result.action_details Dipetakan langsung dari Action jika bukan "none" atau string kosong.
event.idm.read_only_udm.security_result.category event.idm.read_only_udm.security_result.category Tetapkan ke NETWORK_SUSPICIOUS jika malware_type ada.
event.idm.read_only_udm.security_result.detection_fields event.idm.read_only_udm.security_result.detection_fields Berisi berbagai kolom deteksi berdasarkan logika parser.
event.idm.read_only_udm.security_result.rule_name event.idm.read_only_udm.security_result.rule_name Dipetakan langsung dari rule_name.
event.idm.read_only_udm.security_result.severity event.idm.read_only_udm.security_result.severity Ditentukan berdasarkan severity. Dapat berupa INFORMASI, SEDANG, ERROR, atau KRITIS.
event.idm.read_only_udm.security_result.summary event.idm.read_only_udm.security_result.summary Dipetakan langsung dari label.
event.idm.read_only_udm.security_result.threat_name event.idm.read_only_udm.security_result.threat_name Dipetakan langsung dari malware_type atau diuraikan dari summary jika berisi "CVE-".
event.idm.read_only_udm.target.administrative_domain event.idm.read_only_udm.target.administrative_domain Dipetakan langsung dari DomainName.
event.idm.read_only_udm.target.asset.attribute.roles[].name event.idm.read_only_udm.target.asset.attribute.roles[].name Dipetakan langsung dari ServerAssetRole.
event.idm.read_only_udm.target.file.full_path event.idm.read_only_udm.target.file.full_path Dipetakan langsung dari ftp.filename atau Filename.
event.idm.read_only_udm.target.file.md5 event.idm.read_only_udm.target.file.md5 Dipetakan langsung dari event1.md5 atau md5.
event.idm.read_only_udm.target.file.mime_type event.idm.read_only_udm.target.file.mime_type Dipetakan langsung dari event1.filetype.
event.idm.read_only_udm.target.file.sha1 event.idm.read_only_udm.target.file.sha1 Dipetakan langsung dari event1.srvcerthash.
event.idm.read_only_udm.target.file.sha256 event.idm.read_only_udm.target.file.sha256 Dipetakan langsung dari event1.sha256 atau sha256.
event.idm.read_only_udm.target.file.size event.idm.read_only_udm.target.file.size Diganti namanya dari event1.filesize dan dikonversi menjadi bilangan bulat tanpa tanda tangan jika bukan 0.
event.idm.read_only_udm.target.hostname event.idm.read_only_udm.target.hostname Dipetakan langsung dari event1.sni, dest_domain, atau Host.
event.idm.read_only_udm.target.ip event.idm.read_only_udm.target.ip Dipetakan langsung dari event1.dst_ip6 atau server_ip atau ServerIP.
event.idm.read_only_udm.target.location.country_or_region event.idm.read_only_udm.target.location.country_or_region Dipetakan langsung dari dest_country atau ServerCountry.
event.idm.read_only_udm.target.platform event.idm.read_only_udm.target.platform Dipetakan dari asset_os setelah normalisasi.
event.idm.read_only_udm.target.platform_version event.idm.read_only_udm.target.platform_version Dipetakan langsung dari os_version.
event.idm.read_only_udm.target.port event.idm.read_only_udm.target.port Dipetakan langsung dari event1.dport atau server_port dan dikonversi menjadi bilangan bulat.
event.idm.read_only_udm.target.resource.attribute.labels event.idm.read_only_udm.target.resource.attribute.labels Berisi berbagai label berdasarkan logika parser.
event.idm.read_only_udm.target.url event.idm.read_only_udm.target.url Dipetakan langsung dari url atau URL.
event.idm.read_only_udm.target.user.product_object_id event.idm.read_only_udm.target.user.product_object_id Dipetakan langsung dari uuid.
event1.certificate_end_date event.idm.read_only_udm.network.tls.client.certificate.not_after Diurai dan dikonversi menjadi stempel waktu.
event1.certificate_extended_key_usage event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: nilai event1.certificate_extended_key_usage Dipetakan sebagai kolom tambahan.
event1.certificate_issuer_name event.idm.read_only_udm.network.tls.client.certificate.issuer Dipetakan secara langsung.
event1.certificate_key_length event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: nilai event1.certificate_key_length Dipetakan sebagai kolom tambahan.
event1.certificate_key_usage event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: nilai event1.certificate_key_usage Dipetakan sebagai kolom tambahan.
event1.certificate_start_date event.idm.read_only_udm.network.tls.client.certificate.not_before Diurai dan dikonversi menjadi stempel waktu.
event1.certificate_subject_altname event.idm.read_only_udm.additional.fields[].key: "Nama Alternatif Sertifikat", event.idm.read_only_udm.additional.fields[].value.string_value: nilai event1.certificate_subject_altname Dipetakan sebagai kolom tambahan.
event1.certificate_subject_name event.idm.read_only_udm.network.tls.client.certificate.subject Dipetakan secara langsung.
event1.client_asset_name event.idm.read_only_udm.principal.application Dipetakan secara langsung.
event1.client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: nilai event1.client_asset_subnet Dipetakan sebagai kolom tambahan.
event1.client_packet_count event.idm.read_only_udm.network.sent_bytes Dikonversi menjadi bilangan bulat tanpa tanda tangan dan diganti namanya.
event1.cipher event.idm.read_only_udm.network.tls.cipher Dipetakan secara langsung.
event1.direction event.idm.read_only_udm.network.direction Dipetakan ke INBOUND jika "s2c" atau OUTBOUND jika "c2s".
`event1.d

Perubahan

2024-06-04

  • Menambahkan dukungan untuk pola log JSON baru.
  • Memetakan "protocol" ke "network.application_protocol".
  • Memetakan "alert_type" ke "security_result.detection_fields".

2023-09-04

  • Peningkatan -
  • Memetakan "event1.sld" ke "principal.hostname".
  • Memetakan "event1.sni" ke "target.hostname".
  • Memetakan "event1.src_ip6" ke "principal.ip".
  • Memetakan "event1.dst_ip6" ke "target.ip".
  • Memetakan "event1.sport" ke "principal.port".
  • Memetakan "event1.dport" ke "target.port".
  • Memetakan "event1.cipher" ke "network.tls.cipher".
  • Memetakan "event1.tproto" ke "network.ip_protocol".
  • Memetakan "event1.client_asset_name" ke "principal.application".
  • Memetakan "event1.direction" ke "network.direction".
  • Memetakan "event1.rel_sesid" ke "network.session_id".
  • Memetakan "event1.tls_ciphersuite" ke "network.tls.cipher".
  • Memetakan "event1.ja3sdigest" ke "network.tls.server.ja3s".
  • Memetakan "event1.ja3digest" ke "network.tls.client.ja3".
  • Memetakan "event1.srvcerthash" ke "target.file.sha1".
  • Memetakan "event1.sha256" ke "target.file.sha256".
  • Memetakan "event1.md5" ke "target.file.md5".
  • Memetakan "event1.filetype" ke "target.file.mime_type".
  • Memetakan "event1.filesize" ke "target.file.size".
  • Memetakan "event1.certificate_issuer_name" ke "network.tls.client.certificate.issuer".
  • Memetakan "event1.certificate_subject_name" ke "network.tls.client.certificate.subject".
  • Memetakan "event1.certificate_start_date" ke "network.tls.client.certificate.not_before".
  • Memetakan "event1.certificate_end_date" ke "network.tls.client.certificate.not_after".
  • Memetakan "event1.client_packet_count" ke "network.sent_bytes".
  • Memetakan "event1.server_packet_count" ke "network.received_bytes".
  • Memetakan "event1.session_size" ke "network.session_duration.seconds".
  • Memetakan "event1.server_asset_subnet" ke "read_only_udm.additional.fields".
  • Memetakan "event1.client_asset_subnet" ke "read_only_udm.additional.fields".
  • Memetakan "event1.sha1hash" ke "read_only_udm.additional.fields".
  • Memetakan "event1.type" ke "read_only_udm.additional.fields".
  • Memetakan "event1.histbuf" ke "read_only_udm.additional.fields".
  • Memetakan "event1.sen_name" ke "read_only_udm.additional.fields".
  • Memetakan "event1.certificate_subject_altname" ke "read_only_udm.additional.fields".
  • Memetakan "event1.certificate_key_usage" ke "read_only_udm.additional.fields".
  • Memetakan "event1.certificate_key_length" ke "read_only_udm.additional.fields".
  • Memetakan "event1.certificate_extended_key_usage" ke "read_only_udm.additional.fields".
  • Memetakan "event1.version" ke "network.tls.version".

2023-05-19

  • Peningkatan -
  • Memetakan "exe_richsignaturehash", "exe_richsignaturepvhash", "alert_threat_score" ke "security_result.detection_fields".