Raccogliere i log di General Dynamics Fidelis XPS
Supportato in:
Google secops
SIEM
Questo documento descrive come raccogliere i log di General Dynamics Fidelis XPS utilizzando un forwarder Google Security Operations.
Per saperne di più, consulta la Panoramica sull'importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione FIDELIS_NETWORK.
Configurare General Dynamics Fidelis XPS
- Accedi a CommandPost per gestire l'appliance Fidelis XPS.
- Seleziona Sistema > Esporta.
- Fai clic sulla scheda Nuovo.
- Nell'elenco Metodo di esportazione, seleziona ArcSight.
- Nel campo Destinazione, inserisci l'indirizzo IP e il numero di porta del server di inoltro di Google Security Operations, ad esempio
514. - Nella sezione Esporta avvisi, seleziona la casella di controllo Tutti.
- Nella sezione Frequenza di esportazione, seleziona la casella di controllo Ogni avviso.
- Nella sezione Trasporto, seleziona la casella di controllo UDP o TCP.
- Nel campo Salva come, inserisci un nome per la configurazione di esportazione.
Nella casella Elenco colonne, sposta le voci in modo che vengano visualizzate nel seguente ordine:
ORARIO
ACTION
ALERTUUID
APPLICATION_USER
COMPONENT
COMPR
DSTADDR
DSTPORT
FILENAME
FROM
GROUP
NOME DEL MALWARE
MALWARE TYPE
MD5
NORME
PROTO
REQUEST_METHOD
REQUEST_AGENT
REQUEST_URL
RULE
SENIP
GRAVITÀ
SRCADDR
SRCPORT
RIEPILOGO
TARGET
A
VIOLATION_INFO
VLAN_ID
Fidelis XPS versione 8.1 introduce dati aggiuntivi che puoi configurare per esportare nuovi dati. I nuovi campi includono REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO e VLAN_ID.
VIOLATION_INFO include tutti i dati della sezione Informazioni sulla violazione della pagina Dettagli avviso. Questi dati includono i dati corrispondenti che generano l'avviso. Include anche eventuali informazioni aggiuntive incluse nei dati del feed quando questi dati corrispondono. VIOLATION_INFO può avere dimensioni elevate. Quando utilizzi questa funzionalità nelle esportazioni syslog, devi abilitare TCP.
Seleziona Sistema > Malware > Rilevamento malware.
Seleziona le caselle di controllo Motore di rilevamento del malware e Norme automatiche relative al malware.
Fai clic su Salva.
Configura il forwarder Google Security Operations per l'importazione dei log di Fidelis Network
- Seleziona Impostazioni SIEM > Forwarder.
- Fai clic su Aggiungi nuovo inoltro.
- Inserisci un nome univoco nel campo Nome inoltro.
- Fai clic su Invia e poi su Conferma. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
- Nel campo Nome del raccoglitore, inserisci un nome univoco per il raccoglitore.
- Seleziona Fidelis Network come Tipo di log.
- Seleziona Syslog come Tipo di raccoglitore.
- Configura i seguenti parametri di input:
- Protocollo: specifica il protocollo di connessione utilizzato dal raccoglitore per ascoltare i dati syslog.
- Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui si trova il raccoglitore e ascolta i dati syslog.
- Porta: specifica la porta di destinazione in cui si trova il raccoglitore e ascolta i dati syslog.
- Fai clic su Invia.
Per ulteriori informazioni sui forwarder di Google Security Operations, consulta Gestire le configurazioni dei forwarder tramite la UI di Google Security Operations.
Se riscontri problemi durante la creazione degli inoltri, contatta l'assistenza Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser elabora i log di Fidelis Network nei formati SYSLOG, coppia chiave-valore e JSON, trasformandoli in UDM. Estrae i campi, gestisce varie strutture di log e li mappa ai campi UDM.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
aaction |
event.idm.read_only_udm.security_result.action_details |
Mappato direttamente se non è "nessuno" o una stringa vuota. |
alert_threat_score |
event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: valore di alert_threat_score |
Mappato direttamente come campo di rilevamento. |
alert_type |
event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: valore di alert_type |
Mappato direttamente come campo di rilevamento. |
answers |
event.idm.read_only_udm.network.dns.answers[].data |
Mappato direttamente per gli eventi DNS. |
application_user |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente. |
asset_os |
event.idm.read_only_udm.target.platform |
Normalizzato su WINDOWS, LINUX, MAC o UNKNOWN_PLATFORM. |
certificate.end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Analizzato e convertito in timestamp. |
certificate.extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: valore di certificate.extended_key_usage |
Mappato come campo aggiuntivo. |
certificate.issuer_name |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Mappato direttamente. |
certificate.key_length |
event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_length |
Mappato come campo aggiuntivo. |
certificate.key_usage |
event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_usage |
Mappato come campo aggiuntivo. |
certificate.start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Analizzato e convertito in timestamp. |
certificate.subject_altname |
event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.subject_altname |
Mappato come campo aggiuntivo. |
certificate.subject_name |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Mappato direttamente. |
certificate.type |
event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.type |
Mappato come campo aggiuntivo. |
cipher |
event.idm.read_only_udm.network.tls.cipher |
Mappato direttamente. |
client_asset_name |
event.idm.read_only_udm.principal.application |
Mappato direttamente. |
client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: value of client_asset_subnet |
Mappato come campo aggiuntivo. |
client_ip |
event.idm.read_only_udm.principal.ip |
Mappato direttamente. |
client_port |
event.idm.read_only_udm.principal.port |
Mappato e convertito direttamente in un numero intero. |
ClientIP |
event.idm.read_only_udm.principal.ip |
Mappato direttamente. |
ClientPort |
event.idm.read_only_udm.principal.port |
Mappato e convertito direttamente in un numero intero. |
ClientCountry |
event.idm.read_only_udm.principal.location.country_or_region |
Mappato direttamente se non è "UNKNOWN" o una stringa vuota. |
ClientAssetID |
event.idm.read_only_udm.principal.asset_id |
Con il prefisso "Asset:" se non è "0" o una stringa vuota. |
ClientAssetName |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valore di ClientAssetName |
Mappato come etichetta della risorsa principale. |
ClientAssetRole |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Mappato direttamente. |
ClientAssetServices |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valore di ClientAssetServices |
Mappato come etichetta della risorsa principale. |
Client |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valore di Client |
Mappato come etichetta della risorsa principale. |
Collector |
event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: valore di Collector |
Mappato come campo di rilevamento. |
command |
event.idm.read_only_udm.network.http.method |
Mappato direttamente per gli eventi HTTP. |
Command |
event.idm.read_only_udm.security_result.detection_fields[].key: "Command", event.idm.read_only_udm.security_result.detection_fields[].value: valore di Command |
Mappato come campo di rilevamento. |
Connection |
event.idm.read_only_udm.security_result.detection_fields[].key: "Connection", event.idm.read_only_udm.security_result.detection_fields[].value: value of Connection |
Mappato come campo di rilevamento. |
DecodingPath |
event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: valore di DecodingPath |
Mappato come campo di rilevamento. |
dest_country |
event.idm.read_only_udm.target.location.country_or_region |
Mappato direttamente. |
dest_domain |
event.idm.read_only_udm.target.hostname |
Mappato direttamente. |
dest_ip |
event.idm.read_only_udm.target.ip |
Mappato direttamente. |
dest_port |
event.idm.read_only_udm.target.port |
Mappato e convertito direttamente in un numero intero. |
Direction |
event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: value of Direction |
Mappato come campo di rilevamento. |
dns.host |
event.idm.read_only_udm.network.dns.questions[].name |
Mappato direttamente per gli eventi DNS. |
DomainName |
event.idm.read_only_udm.target.administrative_domain |
Mappato direttamente. |
DomainAlexaRank |
event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: value of DomainAlexaRank |
Mappato come campo di rilevamento. |
dport |
event.idm.read_only_udm.target.port |
Mappato e convertito direttamente in un numero intero. |
dnsresolution.server_fqdn |
event.idm.read_only_udm.target.hostname |
Mappato direttamente. |
Duration |
event.idm.read_only_udm.security_result.detection_fields[].key: "Duration", event.idm.read_only_udm.security_result.detection_fields[].value: value of Duration |
Mappato come campo di rilevamento. |
Encrypted |
event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: valore di Encrypted |
Mappato come campo di rilevamento. |
Entropy |
event.idm.read_only_udm.security_result.detection_fields[].key: "Entropia", event.idm.read_only_udm.security_result.detection_fields[].value: valore di Entropy |
Mappato come campo di rilevamento. |
event.idm.read_only_udm.additional.fields |
event.idm.read_only_udm.additional.fields |
Contiene vari campi aggiuntivi in base alla logica del parser. |
event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo summary. |
event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Determinato in base a vari campi di log e alla logica del parser. Può essere GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE, NETWORK_FLOW. |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
Imposta "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Imposta "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Imposta "FIDELIS_NETWORK". |
event.idm.read_only_udm.network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
Determinato in base al campo server_port o protocol. Può essere HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS, AOLMAIL. |
event.idm.read_only_udm.network.direction |
event.idm.read_only_udm.network.direction |
Determinato in base al campo direction o alle parole chiave in summary. Può essere INBOUND o OUTBOUND. |
event.idm.read_only_udm.network.dns.answers |
event.idm.read_only_udm.network.dns.answers |
Questo campo viene compilato per gli eventi DNS. |
event.idm.read_only_udm.network.dns.id |
event.idm.read_only_udm.network.dns.id |
Mappato dal campo number per gli eventi DNS. |
event.idm.read_only_udm.network.dns.questions |
event.idm.read_only_udm.network.dns.questions |
Questo campo viene compilato per gli eventi DNS. |
event.idm.read_only_udm.network.email.from |
event.idm.read_only_udm.network.email.from |
Mappato direttamente da From se è un indirizzo email valido. |
event.idm.read_only_udm.network.email.subject |
event.idm.read_only_udm.network.email.subject |
Mappato direttamente da Subject. |
event.idm.read_only_udm.network.email.to |
event.idm.read_only_udm.network.email.to |
Mappato direttamente da To. |
event.idm.read_only_udm.network.ftp.command |
event.idm.read_only_udm.network.ftp.command |
Mappato direttamente da ftp.command. |
event.idm.read_only_udm.network.http.method |
event.idm.read_only_udm.network.http.method |
Mappato direttamente da http.command o Command. |
event.idm.read_only_udm.network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
Mappato direttamente da Referer. |
event.idm.read_only_udm.network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
Mappato direttamente da http.status_code o StatusCode e convertito in numero intero. |
event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Mappato direttamente da http.useragent o UserAgent. |
event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Mappato direttamente da tproto se è TCP o UDP. |
event.idm.read_only_udm.network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
Ridenominato da event1.server_packet_count e convertito in numero intero senza segno. |
event.idm.read_only_udm.network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Ridenominato da event1.client_packet_count e convertito in numero intero senza segno. |
event.idm.read_only_udm.network.session_duration.seconds |
event.idm.read_only_udm.network.session_duration.seconds |
Rinominato da event1.session_size e convertito in numero intero. |
event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
Mappato direttamente da event1.rel_sesid o UserSessionID. |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Mappato direttamente da event1.certificate_issuer_name. |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Analizzato da event1.certificate_end_date e convertito in timestamp. |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Analizzato da event1.certificate_start_date e convertito in timestamp. |
event.idm.read_only_udm.network.tls.client.certificate.subject |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Mappato direttamente da event1.certificate_subject_name. |
event.idm.read_only_udm.network.tls.client.ja3 |
event.idm.read_only_udm.network.tls.client.ja3 |
Mappato direttamente da event1.ja3digest e convertito in stringa. |
event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
Mappato direttamente da event1.cipher, CipherSuite, cipher o event1.tls_ciphersuite. |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Mappato direttamente da certificate_issuer_name. |
event.idm.read_only_udm.network.tls.server.certificate.subject |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Mappato direttamente da certificate_subject_name. |
event.idm.read_only_udm.network.tls.server.ja3s |
event.idm.read_only_udm.network.tls.server.ja3s |
Mappato direttamente da event1.ja3sdigest e convertito in stringa. |
event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
Mappato direttamente da event1.version. |
event.idm.read_only_udm.principal.application |
event.idm.read_only_udm.principal.application |
Mappato direttamente da event1.client_asset_name. |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Mappato direttamente da ClientAssetRole. |
event.idm.read_only_udm.principal.asset_id |
event.idm.read_only_udm.principal.asset_id |
Mappato direttamente da ClientAssetID o ServerAssetID (con il prefisso "Asset:"). |
event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
Mappato direttamente da event1.sld o src_domain. |
event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
Mappato direttamente da event1.src_ip6, client_ip o ClientIP. |
event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Mappato direttamente da ClientCountry o src_country se non è "UNKNOWN" o una stringa vuota. |
event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
Mappato direttamente da event1.sport o client_port e convertito in numero intero. |
event.idm.read_only_udm.principal.resource.attribute.labels |
event.idm.read_only_udm.principal.resource.attribute.labels |
Contiene varie etichette in base alla logica del parser. |
event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente da ftp.user o AppUser. |
event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
Determinato in base a severity. Può essere ALLOW, BLOCK o UNKNOWN_ACTION. |
event.idm.read_only_udm.security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
Mappato direttamente da Action se non è "none" o una stringa vuota. |
event.idm.read_only_udm.security_result.category |
event.idm.read_only_udm.security_result.category |
Imposta su NETWORK_SUSPICIOUS se è presente malware_type. |
event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
Contiene vari campi di rilevamento basati sulla logica del parser. |
event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
Mappato direttamente da rule_name. |
event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
Determinato in base a severity. Può essere INFORMATIONAL, MEDIUM, ERROR o CRITICAL. |
event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente da label. |
event.idm.read_only_udm.security_result.threat_name |
event.idm.read_only_udm.security_result.threat_name |
Mappato direttamente da malware_type o analizzato da summary se contiene "CVE-". |
event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
Mappato direttamente da DomainName. |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
Mappato direttamente da ServerAssetRole. |
event.idm.read_only_udm.target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
Mappato direttamente da ftp.filename o Filename. |
event.idm.read_only_udm.target.file.md5 |
event.idm.read_only_udm.target.file.md5 |
Mappato direttamente da event1.md5 o md5. |
event.idm.read_only_udm.target.file.mime_type |
event.idm.read_only_udm.target.file.mime_type |
Mappato direttamente da event1.filetype. |
event.idm.read_only_udm.target.file.sha1 |
event.idm.read_only_udm.target.file.sha1 |
Mappato direttamente da event1.srvcerthash. |
event.idm.read_only_udm.target.file.sha256 |
event.idm.read_only_udm.target.file.sha256 |
Mappato direttamente da event1.sha256 o sha256. |
event.idm.read_only_udm.target.file.size |
event.idm.read_only_udm.target.file.size |
Ridenominato da event1.filesize e convertito in numero intero senza segno se non è 0. |
event.idm.read_only_udm.target.hostname |
event.idm.read_only_udm.target.hostname |
Mappato direttamente da event1.sni, dest_domain o Host. |
event.idm.read_only_udm.target.ip |
event.idm.read_only_udm.target.ip |
Mappato direttamente da event1.dst_ip6 o server_ip o ServerIP. |
event.idm.read_only_udm.target.location.country_or_region |
event.idm.read_only_udm.target.location.country_or_region |
Mappato direttamente da dest_country o ServerCountry. |
event.idm.read_only_udm.target.platform |
event.idm.read_only_udm.target.platform |
Mappato da asset_os dopo la normalizzazione. |
event.idm.read_only_udm.target.platform_version |
event.idm.read_only_udm.target.platform_version |
Mappato direttamente da os_version. |
event.idm.read_only_udm.target.port |
event.idm.read_only_udm.target.port |
Mappato direttamente da event1.dport o server_port e convertito in numero intero. |
event.idm.read_only_udm.target.resource.attribute.labels |
event.idm.read_only_udm.target.resource.attribute.labels |
Contiene varie etichette in base alla logica del parser. |
event.idm.read_only_udm.target.url |
event.idm.read_only_udm.target.url |
Mappato direttamente da url o URL. |
event.idm.read_only_udm.target.user.product_object_id |
event.idm.read_only_udm.target.user.product_object_id |
Mappato direttamente da uuid. |
event1.certificate_end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Analizzato e convertito in timestamp. |
event1.certificate_extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: valore di event1.certificate_extended_key_usage |
Mappato come campo aggiuntivo. |
event1.certificate_issuer_name |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Mappato direttamente. |
event1.certificate_key_length |
event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_key_length |
Mappato come campo aggiuntivo. |
event1.certificate_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_key_usage |
Mappato come campo aggiuntivo. |
event1.certificate_start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Analizzato e convertito in timestamp. |
event1.certificate_subject_altname |
event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_subject_altname |
Mappato come campo aggiuntivo. |
event1.certificate_subject_name |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Mappato direttamente. |
event1.client_asset_name |
event.idm.read_only_udm.principal.application |
Mappato direttamente. |
event1.client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.client_asset_subnet |
Mappato come campo aggiuntivo. |
event1.client_packet_count |
event.idm.read_only_udm.network.sent_bytes |
Convertito in numero intero senza segno e rinominato. |
event1.cipher |
event.idm.read_only_udm.network.tls.cipher |
Mappato direttamente. |
event1.direction |
event.idm.read_only_udm.network.direction |
Mappato su IN ENTRATA se "s2c" o IN USCITA se "c2s". |
event1.d |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.