Recolha os registos do General Dynamics Fidelis XPS
Compatível com:
Google secops
SIEM
Este documento descreve como pode recolher os registos do General Dynamics Fidelis XPS através de um encaminhador do Google Security Operations.
Para mais informações, consulte o artigo Vista geral da ingestão de dados no Google Security Operations.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados
para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento FIDELIS_NETWORK.
Configure o General Dynamics Fidelis XPS
- Inicie sessão no CommandPost para gerir o seu dispositivo Fidelis XPS.
- Selecione Sistema > Exportar.
- Clique no separador Novo.
- Na lista Método de exportação, selecione ArcSight.
- No campo Destino, introduza o endereço IP do servidor encaminhador do Google Security Operations e o número da porta, como
514. - Na secção Exportar alertas, selecione a caixa de verificação Todos.
- Na secção Frequência de exportação, selecione a caixa de verificação Todos os alertas.
- Na secção Transporte, selecione a caixa de verificação UDP ou TCP.
- No campo Guardar como, introduza um nome para a configuração de exportação.
Na caixa Lista de colunas, mova as entradas na Lista de colunas para que apareçam pela seguinte ordem:
HORA
ACTION
ALERTUUID
APPLICATION_USER
COMPONENTE
COMPR
DSTADDR
DSTPORT
FILENAME
DE
GROUP
MALWARE NAME
MALWARE TYPE
MD5
POLÍTICA
PROTO
REQUEST_METHOD
REQUEST_AGENT
REQUEST_URL
REGRA
SENIP
SEVERITY
SRCADDR
SRCPORT
RESUMO
TARGET
PARA
VIOLATION_INFO
VLAN_ID
A versão 8.1 do Fidelis XPS introduz dados adicionais que pode configurar para exportar novos dados. Os novos campos incluem REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO e VLAN_ID.
VIOLATION_INFO inclui todos os dados da secção Informações sobre a violação da página Detalhes do alerta. Estes dados incluem dados correspondentes que geram um alerta. Também inclui quaisquer informações adicionais incluídas nos dados do feed quando esses dados correspondem. O VIOLATION_INFO pode ter um tamanho grande. Tem de ativar o TCP quando usar esta funcionalidade em exportações de syslog.
Selecione Sistema > Software malicioso > Deteção de software malicioso.
Selecione as caixas de verificação Motor de deteção de software malicioso e Política de software malicioso automática.
Clique em Guardar.
Configure o encaminhador do Google Security Operations para carregar registos da rede Fidelis
- Selecione Definições do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- Introduza um nome exclusivo no campo Nome do encaminhador.
- Clique em Enviar e, de seguida, em Confirmar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
- No campo Nome do coletor, introduza um nome exclusivo para o coletor.
- Selecione Fidelis Network como o Tipo de registo.
- Selecione Syslog como o tipo de coletor.
- Configure os seguintes parâmetros de entrada:
- Protocolo: especifique o protocolo de ligação que o coletor usa para ouvir os dados do syslog.
- Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
- Porta: especifique a porta de destino onde o coletor reside e ouve os dados do syslog.
- Clique em Enviar.
Para mais informações acerca dos encaminhadores do Google Security Operations, consulte o artigo Faça a gestão das configurações de encaminhadores através da IU do Google Security Operations.
Se tiver problemas ao criar encaminhadores, contacte o apoio técnico das Operações de segurança da Google.
Referência de mapeamento de campos
Este analisador processa registos da rede Fidelis nos formatos SYSLOG, par de chave-valor e JSON, transformando-os em UDM. Extrai campos, processa várias estruturas de registos e mapeia para campos UDM.
Tabela de mapeamento do UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
aaction |
event.idm.read_only_udm.security_result.action_details |
Mapeado diretamente se não for "none" ou uma string vazia. |
alert_threat_score |
event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: valor de alert_threat_score |
Mapeado diretamente como um campo de deteção. |
alert_type |
event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: valor de alert_type |
Mapeado diretamente como um campo de deteção. |
answers |
event.idm.read_only_udm.network.dns.answers[].data |
Mapeado diretamente para eventos DNS. |
application_user |
event.idm.read_only_udm.principal.user.userid |
Mapeado diretamente. |
asset_os |
event.idm.read_only_udm.target.platform |
Normalizado para WINDOWS, LINUX, MAC ou UNKNOWN_PLATFORM. |
certificate.end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Analisado e convertido em indicação de tempo. |
certificate.extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.extended_key_usage |
Mapeado como um campo adicional. |
certificate.issuer_name |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Mapeado diretamente. |
certificate.key_length |
event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_length |
Mapeado como um campo adicional. |
certificate.key_usage |
event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.key_usage |
Mapeado como um campo adicional. |
certificate.start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Analisado e convertido em indicação de tempo. |
certificate.subject_altname |
event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of certificate.subject_altname |
Mapeado como um campo adicional. |
certificate.subject_name |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Mapeado diretamente. |
certificate.type |
event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.type |
Mapeado como um campo adicional. |
cipher |
event.idm.read_only_udm.network.tls.cipher |
Mapeado diretamente. |
client_asset_name |
event.idm.read_only_udm.principal.application |
Mapeado diretamente. |
client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: valor de client_asset_subnet |
Mapeado como um campo adicional. |
client_ip |
event.idm.read_only_udm.principal.ip |
Mapeado diretamente. |
client_port |
event.idm.read_only_udm.principal.port |
Mapeado diretamente e convertido em número inteiro. |
ClientIP |
event.idm.read_only_udm.principal.ip |
Mapeado diretamente. |
ClientPort |
event.idm.read_only_udm.principal.port |
Mapeado diretamente e convertido em número inteiro. |
ClientCountry |
event.idm.read_only_udm.principal.location.country_or_region |
Mapeado diretamente se não for "UNKNOWN" ou uma string vazia. |
ClientAssetID |
event.idm.read_only_udm.principal.asset_id |
Precedido de "Asset:" se não for "0" ou uma string vazia. |
ClientAssetName |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de ClientAssetName |
Mapeado como uma etiqueta de recurso principal. |
ClientAssetRole |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Mapeado diretamente. |
ClientAssetServices |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de ClientAssetServices |
Mapeado como uma etiqueta de recurso principal. |
Client |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de Client |
Mapeado como uma etiqueta de recurso principal. |
Collector |
event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: value of Collector |
Mapeado como um campo de deteção. |
command |
event.idm.read_only_udm.network.http.method |
Mapeado diretamente para eventos HTTP. |
Command |
event.idm.read_only_udm.security_result.detection_fields[].key: "Command", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Command |
Mapeado como um campo de deteção. |
Connection |
event.idm.read_only_udm.security_result.detection_fields[].key: "Connection", event.idm.read_only_udm.security_result.detection_fields[].value: value of Connection |
Mapeado como um campo de deteção. |
DecodingPath |
event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: valor de DecodingPath |
Mapeado como um campo de deteção. |
dest_country |
event.idm.read_only_udm.target.location.country_or_region |
Mapeado diretamente. |
dest_domain |
event.idm.read_only_udm.target.hostname |
Mapeado diretamente. |
dest_ip |
event.idm.read_only_udm.target.ip |
Mapeado diretamente. |
dest_port |
event.idm.read_only_udm.target.port |
Mapeado diretamente e convertido em número inteiro. |
Direction |
event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Direction |
Mapeado como um campo de deteção. |
dns.host |
event.idm.read_only_udm.network.dns.questions[].name |
Mapeado diretamente para eventos DNS. |
DomainName |
event.idm.read_only_udm.target.administrative_domain |
Mapeado diretamente. |
DomainAlexaRank |
event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: valor de DomainAlexaRank |
Mapeado como um campo de deteção. |
dport |
event.idm.read_only_udm.target.port |
Mapeado diretamente e convertido em número inteiro. |
dnsresolution.server_fqdn |
event.idm.read_only_udm.target.hostname |
Mapeado diretamente. |
Duration |
event.idm.read_only_udm.security_result.detection_fields[].key: "Duração", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Duration |
Mapeado como um campo de deteção. |
Encrypted |
event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: value of Encrypted |
Mapeado como um campo de deteção. |
Entropy |
event.idm.read_only_udm.security_result.detection_fields[].key: "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Entropy |
Mapeado como um campo de deteção. |
event.idm.read_only_udm.additional.fields |
event.idm.read_only_udm.additional.fields |
Contém vários campos adicionais com base na lógica do analisador. |
event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
Mapeado diretamente a partir do campo summary. |
event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Determinado com base em vários campos de registo e na lógica do analisador. Pode ser GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE ou NETWORK_FLOW. |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
Definido como "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Definido como "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Definido como "FIDELIS_NETWORK". |
event.idm.read_only_udm.network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
Determinado com base no campo server_port ou protocol. Pode ser HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS ou AOLMAIL. |
event.idm.read_only_udm.network.direction |
event.idm.read_only_udm.network.direction |
Determinado com base no campo direction ou nas palavras-chave em summary. Pode ser INBOUND ou OUTBOUND. |
event.idm.read_only_udm.network.dns.answers |
event.idm.read_only_udm.network.dns.answers |
Preenchido para eventos DNS. |
event.idm.read_only_udm.network.dns.id |
event.idm.read_only_udm.network.dns.id |
Mapeado a partir do campo number para eventos de DNS. |
event.idm.read_only_udm.network.dns.questions |
event.idm.read_only_udm.network.dns.questions |
Preenchido para eventos DNS. |
event.idm.read_only_udm.network.email.from |
event.idm.read_only_udm.network.email.from |
Mapeado diretamente a partir de From, se for um endereço de email válido. |
event.idm.read_only_udm.network.email.subject |
event.idm.read_only_udm.network.email.subject |
Mapeado diretamente a partir de Subject. |
event.idm.read_only_udm.network.email.to |
event.idm.read_only_udm.network.email.to |
Mapeado diretamente a partir de To. |
event.idm.read_only_udm.network.ftp.command |
event.idm.read_only_udm.network.ftp.command |
Mapeado diretamente a partir de ftp.command. |
event.idm.read_only_udm.network.http.method |
event.idm.read_only_udm.network.http.method |
Mapeado diretamente a partir de http.command ou Command. |
event.idm.read_only_udm.network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
Mapeado diretamente a partir de Referer. |
event.idm.read_only_udm.network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
Mapeado diretamente a partir de http.status_code ou StatusCode e convertido em número inteiro. |
event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Mapeado diretamente a partir de http.useragent ou UserAgent. |
event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Mapeado diretamente a partir de tproto se for TCP ou UDP. |
event.idm.read_only_udm.network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
O nome foi alterado de event1.server_packet_count e o tipo foi convertido em número inteiro não assinado. |
event.idm.read_only_udm.network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
O nome foi alterado de event1.client_packet_count e o tipo foi convertido em número inteiro não assinado. |
event.idm.read_only_udm.network.session_duration.seconds |
event.idm.read_only_udm.network.session_duration.seconds |
O nome foi alterado de event1.session_size e o tipo foi convertido em número inteiro. |
event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
Mapeado diretamente a partir de event1.rel_sesid ou UserSessionID. |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Mapeado diretamente a partir de event1.certificate_issuer_name. |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Analisado a partir de event1.certificate_end_date e convertido em data/hora. |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Analisado a partir de event1.certificate_start_date e convertido em data/hora. |
event.idm.read_only_udm.network.tls.client.certificate.subject |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Mapeado diretamente a partir de event1.certificate_subject_name. |
event.idm.read_only_udm.network.tls.client.ja3 |
event.idm.read_only_udm.network.tls.client.ja3 |
Mapeado diretamente a partir de event1.ja3digest e convertido em string. |
event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
Mapeado diretamente a partir de event1.cipher, CipherSuite, cipher ou event1.tls_ciphersuite. |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Mapeado diretamente a partir de certificate_issuer_name. |
event.idm.read_only_udm.network.tls.server.certificate.subject |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Mapeado diretamente a partir de certificate_subject_name. |
event.idm.read_only_udm.network.tls.server.ja3s |
event.idm.read_only_udm.network.tls.server.ja3s |
Mapeado diretamente a partir de event1.ja3sdigest e convertido em string. |
event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
Mapeado diretamente a partir de event1.version. |
event.idm.read_only_udm.principal.application |
event.idm.read_only_udm.principal.application |
Mapeado diretamente a partir de event1.client_asset_name. |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Mapeado diretamente a partir de ClientAssetRole. |
event.idm.read_only_udm.principal.asset_id |
event.idm.read_only_udm.principal.asset_id |
Mapeado diretamente a partir de ClientAssetID ou ServerAssetID (com o prefixo "Recurso:"). |
event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
Mapeado diretamente a partir de event1.sld ou src_domain. |
event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
Mapeado diretamente a partir de event1.src_ip6, client_ip ou ClientIP. |
event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Mapeado diretamente a partir de ClientCountry ou src_country se não for "UNKNOWN" ou uma string vazia. |
event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
Mapeado diretamente a partir de event1.sport ou client_port e convertido em número inteiro. |
event.idm.read_only_udm.principal.resource.attribute.labels |
event.idm.read_only_udm.principal.resource.attribute.labels |
Contém várias etiquetas com base na lógica do analisador. |
event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Mapeado diretamente a partir de ftp.user ou AppUser. |
event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
Determinado com base em severity. Pode ser ALLOW, BLOCK ou UNKNOWN_ACTION. |
event.idm.read_only_udm.security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
Mapeado diretamente a partir de Action se não for "none" ou uma string vazia. |
event.idm.read_only_udm.security_result.category |
event.idm.read_only_udm.security_result.category |
Definido como NETWORK_SUSPICIOUS se malware_type estiver presente. |
event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
Contém vários campos de deteção com base na lógica do analisador. |
event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
Mapeado diretamente a partir de rule_name. |
event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
Determinado com base em severity. Pode ser INFORMATIONAL, MEDIUM, ERROR ou CRITICAL. |
event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente a partir de label. |
event.idm.read_only_udm.security_result.threat_name |
event.idm.read_only_udm.security_result.threat_name |
Mapeado diretamente a partir de malware_type ou analisado a partir de summary se contiver "CVE-". |
event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
Mapeado diretamente a partir de DomainName. |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
Mapeado diretamente a partir de ServerAssetRole. |
event.idm.read_only_udm.target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
Mapeado diretamente a partir de ftp.filename ou Filename. |
event.idm.read_only_udm.target.file.md5 |
event.idm.read_only_udm.target.file.md5 |
Mapeado diretamente a partir de event1.md5 ou md5. |
event.idm.read_only_udm.target.file.mime_type |
event.idm.read_only_udm.target.file.mime_type |
Mapeado diretamente a partir de event1.filetype. |
event.idm.read_only_udm.target.file.sha1 |
event.idm.read_only_udm.target.file.sha1 |
Mapeado diretamente a partir de event1.srvcerthash. |
event.idm.read_only_udm.target.file.sha256 |
event.idm.read_only_udm.target.file.sha256 |
Mapeado diretamente a partir de event1.sha256 ou sha256. |
event.idm.read_only_udm.target.file.size |
event.idm.read_only_udm.target.file.size |
O nome foi alterado de event1.filesize e convertido em número inteiro não assinado se não for 0. |
event.idm.read_only_udm.target.hostname |
event.idm.read_only_udm.target.hostname |
Mapeado diretamente a partir de event1.sni, dest_domain ou Host. |
event.idm.read_only_udm.target.ip |
event.idm.read_only_udm.target.ip |
Mapeado diretamente a partir de event1.dst_ip6, server_ip ou ServerIP. |
event.idm.read_only_udm.target.location.country_or_region |
event.idm.read_only_udm.target.location.country_or_region |
Mapeado diretamente a partir de dest_country ou ServerCountry. |
event.idm.read_only_udm.target.platform |
event.idm.read_only_udm.target.platform |
Mapeado a partir de asset_os após a normalização. |
event.idm.read_only_udm.target.platform_version |
event.idm.read_only_udm.target.platform_version |
Mapeado diretamente a partir de os_version. |
event.idm.read_only_udm.target.port |
event.idm.read_only_udm.target.port |
Mapeado diretamente a partir de event1.dport ou server_port e convertido em número inteiro. |
event.idm.read_only_udm.target.resource.attribute.labels |
event.idm.read_only_udm.target.resource.attribute.labels |
Contém várias etiquetas com base na lógica do analisador. |
event.idm.read_only_udm.target.url |
event.idm.read_only_udm.target.url |
Mapeado diretamente a partir de url ou URL. |
event.idm.read_only_udm.target.user.product_object_id |
event.idm.read_only_udm.target.user.product_object_id |
Mapeado diretamente a partir de uuid. |
event1.certificate_end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Analisado e convertido em indicação de tempo. |
event1.certificate_extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_extended_key_usage |
Mapeado como um campo adicional. |
event1.certificate_issuer_name |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Mapeado diretamente. |
event1.certificate_key_length |
event.idm.read_only_udm.additional.fields[].key: "Key Length", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_key_length |
Mapeado como um campo adicional. |
event1.certificate_key_usage |
event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_key_usage |
Mapeado como um campo adicional. |
event1.certificate_start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Analisado e convertido em indicação de tempo. |
event1.certificate_subject_altname |
event.idm.read_only_udm.additional.fields[].key: "Certificate Alternate Name", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.certificate_subject_altname |
Mapeado como um campo adicional. |
event1.certificate_subject_name |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Mapeado diretamente. |
event1.client_asset_name |
event.idm.read_only_udm.principal.application |
Mapeado diretamente. |
event1.client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.client_asset_subnet |
Mapeado como um campo adicional. |
event1.client_packet_count |
event.idm.read_only_udm.network.sent_bytes |
Convertido em número inteiro sem sinal e mudado o nome. |
event1.cipher |
event.idm.read_only_udm.network.tls.cipher |
Mapeado diretamente. |
event1.direction |
event.idm.read_only_udm.network.direction |
Mapeado para INBOUND se for "s2c" ou OUTBOUND se for "c2s". |
event1.d |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.