收集 General Dynamics Fidelis XPS 日志

支持的语言:

本文档介绍了如何使用 Google Security Operations 转发器收集 General Dynamics Fidelis XPS 日志。

如需了解详情,请参阅 Google Security Operations 数据注入概览

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 FIDELIS_NETWORK 注入标签的解析器。

配置 General Dynamics Fidelis XPS

  1. 登录 CommandPost 以管理 Fidelis XPS 设备。
  2. 依次选择系统 > 导出
  3. 点击新建标签页。
  4. 导出方法列表中,选择 ArcSight
  5. 目的地字段中,输入 Google Security Operations 转发器服务器 IP 地址和端口号,例如 514
  6. 导出提醒部分中,选中全部复选框。
  7. 导出频率部分中,选中每次提醒复选框。
  8. 传输部分中,选中 UDPTCP 复选框。
  9. 另存为字段中,输入导出配置的名称。
  10. 列列表框中,移动列列表中的条目,使其按以下顺序显示:

    • TIME

    • 操作

    • ALERTUUID

    • APPLICATION_USER

    • 组件

    • COMPR

    • DSTADDR

    • DSTPORT

    • FILENAME

    • 以前

    • GROUP

    • 恶意软件名称

    • 恶意软件类型

    • MD5

    • 政策

    • PROTO

    • REQUEST_METHOD

    • REQUEST_AGENT

    • REQUEST_URL

    • 规则

    • SENIP

    • 严重程度

    • SRCADDR

    • SRCPORT

    • 总结

    • TARGET

    • 收件人

    • VIOLATION_INFO

    • VLAN_ID

    Fidelis XPS 8.1 版新增了一些数据,您可以配置这些数据以导出新数据。新字段包括 REQUEST_METHODREQUEST_AGENTREQUEST_网址VIOLATION_INFOVLAN_ID

    VIOLATION_INFO 包含提醒详情页面违规信息部分中的所有数据。此类数据包括生成提醒的匹配数据。它还包括 Feed 数据中与匹配数据一起包含的任何其他信息。 VIOLATION_INFO 的大小可能会很大。在 syslog 导出中使用此功能时,您必须启用 TCP。

  11. 依次选择系统 > 恶意软件 > 恶意软件检测

  12. 选中恶意软件检测引擎自动恶意软件政策复选框。

  13. 点击保存

配置 Google Security Operations 转发器以注入 Fidelis Network 日志

  1. 依次选择 SIEM 设置 > 转发器
  2. 点击添加新转发器
  3. 转发器名称字段中输入唯一名称。
  4. 点击提交,然后点击确认。转发器已添加,系统会显示添加收集器配置窗口。
  5. 收集器名称字段中,输入收集器的唯一名称。
  6. 选择 Fidelis Network 作为日志类型
  7. 选择 Syslog 作为收集器类型
  8. 配置以下输入参数:
    • 协议:指定收集器用于监听 syslog 数据的连接协议。
    • 地址:指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
    • 端口:指定收集器所在的目标端口,并监听 syslog 数据。
  9. 点击提交

如需详细了解 Google Security Operations 转发器,请参阅通过 Google Security Operations 界面管理转发器配置

如果您在创建转发器时遇到问题,请与 Google Security Operations 支持团队联系。

字段映射参考

此解析器可处理 SYSLOG、键值对和 JSON 格式的 Fidelis Network 日志,并将其转换为 UDM。它会提取字段、处理各种日志结构,并映射到 UDM 字段。

UDM 映射表

日志字段 UDM 映射 逻辑
aaction event.idm.read_only_udm.security_result.action_details 如果不是“none”或空字符串,则直接映射。
alert_threat_score event.idm.read_only_udm.security_result.detection_fields[].key:“alert_threat_score”,event.idm.read_only_udm.security_result.detection_fields[].valuealert_threat_score 的值 直接映射为检测字段。
alert_type event.idm.read_only_udm.security_result.detection_fields[].key:“alert_type”,event.idm.read_only_udm.security_result.detection_fields[].valuealert_type 的值 直接映射为检测字段。
answers event.idm.read_only_udm.network.dns.answers[].data 直接映射,适用于 DNS 事件。
application_user event.idm.read_only_udm.principal.user.userid 直接映射。
asset_os event.idm.read_only_udm.target.platform 已归一化为 WINDOWS、LINUX、MAC 或 UNKNOWN_PLATFORM。
certificate.end_date event.idm.read_only_udm.network.tls.client.certificate.not_after 已解析并转换为时间戳。
certificate.extended_key_usage event.idm.read_only_udm.additional.fields[].key:“扩展密钥用途”,event.idm.read_only_udm.additional.fields[].value.string_valuecertificate.extended_key_usage 的值 映射为附加字段。
certificate.issuer_name event.idm.read_only_udm.network.tls.server.certificate.issuer 直接映射。
certificate.key_length event.idm.read_only_udm.additional.fields[].key:“密钥长度”,event.idm.read_only_udm.additional.fields[].value.string_valuecertificate.key_length 的值 映射为附加字段。
certificate.key_usage event.idm.read_only_udm.additional.fields[].key:“密钥用途”,event.idm.read_only_udm.additional.fields[].value.string_valuecertificate.key_usage 的值 映射为附加字段。
certificate.start_date event.idm.read_only_udm.network.tls.client.certificate.not_before 已解析并转换为时间戳。
certificate.subject_altname event.idm.read_only_udm.additional.fields[].key:“证书备用名称”,event.idm.read_only_udm.additional.fields[].value.string_valuecertificate.subject_altname 的值 映射为附加字段。
certificate.subject_name event.idm.read_only_udm.network.tls.server.certificate.subject 直接映射。
certificate.type event.idm.read_only_udm.additional.fields[].key:“Certificate_Type”,event.idm.read_only_udm.additional.fields[].value.string_valuecertificate.type 的值 映射为附加字段。
cipher event.idm.read_only_udm.network.tls.cipher 直接映射。
client_asset_name event.idm.read_only_udm.principal.application 直接映射。
client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: client_asset_subnet 的值 映射为附加字段。
client_ip event.idm.read_only_udm.principal.ip 直接映射。
client_port event.idm.read_only_udm.principal.port 直接映射并转换为整数。
ClientIP event.idm.read_only_udm.principal.ip 直接映射。
ClientPort event.idm.read_only_udm.principal.port 直接映射并转换为整数。
ClientCountry event.idm.read_only_udm.principal.location.country_or_region 如果不是“UNKNOWN”或空字符串,则直接映射。
ClientAssetID event.idm.read_only_udm.principal.asset_id 如果不是“0”或空字符串,则以“Asset:”为前缀。
ClientAssetName event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: ClientAssetName 的值 映射为主资源标签。
ClientAssetRole event.idm.read_only_udm.principal.asset.attribute.roles[].name 直接映射。
ClientAssetServices event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: ClientAssetServices 的值 映射为主资源标签。
Client event.idm.read_only_udm.principal.resource.attribute.labels[].key:“客户端”,event.idm.read_only_udm.principal.resource.attribute.labels[].valueClient 的值 映射为主资源标签。
Collector event.idm.read_only_udm.security_result.detection_fields[].key:“收集器”,event.idm.read_only_udm.security_result.detection_fields[].valueCollector 的值 映射为检测字段。
command event.idm.read_only_udm.network.http.method 直接映射到 HTTP 事件。
Command event.idm.read_only_udm.security_result.detection_fields[].key:“命令”,event.idm.read_only_udm.security_result.detection_fields[].valueCommand 的值 映射为检测字段。
Connection event.idm.read_only_udm.security_result.detection_fields[].key:“连接”,event.idm.read_only_udm.security_result.detection_fields[].valueConnection 的值 映射为检测字段。
DecodingPath event.idm.read_only_udm.security_result.detection_fields[].key:“DecodingPath”,event.idm.read_only_udm.security_result.detection_fields[].valueDecodingPath 的值 映射为检测字段。
dest_country event.idm.read_only_udm.target.location.country_or_region 直接映射。
dest_domain event.idm.read_only_udm.target.hostname 直接映射。
dest_ip event.idm.read_only_udm.target.ip 直接映射。
dest_port event.idm.read_only_udm.target.port 直接映射并转换为整数。
Direction event.idm.read_only_udm.security_result.detection_fields[].key:“方向”,event.idm.read_only_udm.security_result.detection_fields[].valueDirection 的值 映射为检测字段。
dns.host event.idm.read_only_udm.network.dns.questions[].name 直接映射,适用于 DNS 事件。
DomainName event.idm.read_only_udm.target.administrative_domain 直接映射。
DomainAlexaRank event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: DomainAlexaRank 的值 映射为检测字段。
dport event.idm.read_only_udm.target.port 直接映射并转换为整数。
dnsresolution.server_fqdn event.idm.read_only_udm.target.hostname 直接映射。
Duration event.idm.read_only_udm.security_result.detection_fields[].key:“时长”,event.idm.read_only_udm.security_result.detection_fields[].valueDuration 的值 映射为检测字段。
Encrypted event.idm.read_only_udm.security_result.detection_fields[].key:“已加密”,event.idm.read_only_udm.security_result.detection_fields[].valueEncrypted 的值 映射为检测字段。
Entropy event.idm.read_only_udm.security_result.detection_fields[].key:“熵”,event.idm.read_only_udm.security_result.detection_fields[].valueEntropy 的值 映射为检测字段。
event.idm.read_only_udm.additional.fields event.idm.read_only_udm.additional.fields 包含基于解析器逻辑的各种其他字段。
event.idm.read_only_udm.metadata.description event.idm.read_only_udm.metadata.description 直接从 summary 字段映射。
event.idm.read_only_udm.metadata.event_type event.idm.read_only_udm.metadata.event_type 根据各种日志字段和解析器逻辑确定。可以是 GENERIC_EVENT、NETWORK_CONNECTION、NETWORK_HTTP、NETWORK_SMTP、NETWORK_DNS、STATUS_UPDATE、NETWORK_FLOW。
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type 设置为“FIDELIS_NETWORK”。
event.idm.read_only_udm.metadata.product_name event.idm.read_only_udm.metadata.product_name 设置为“FIDELIS_NETWORK”。
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name 设置为“FIDELIS_NETWORK”。
event.idm.read_only_udm.network.application_protocol event.idm.read_only_udm.network.application_protocol 根据 server_portprotocol 字段确定。可以是 HTTP、HTTPS、SMTP、SSH、RPC、DNS、NFS、AOLMAIL。
event.idm.read_only_udm.network.direction event.idm.read_only_udm.network.direction 根据 summary 中的 direction 字段或关键字确定。可以是 INBOUND 或 OUTBOUND。
event.idm.read_only_udm.network.dns.answers event.idm.read_only_udm.network.dns.answers 为 DNS 事件填充。
event.idm.read_only_udm.network.dns.id event.idm.read_only_udm.network.dns.id 从 DNS 事件的 number 字段映射。
event.idm.read_only_udm.network.dns.questions event.idm.read_only_udm.network.dns.questions 为 DNS 事件填充。
event.idm.read_only_udm.network.email.from event.idm.read_only_udm.network.email.from 如果 From 是有效的电子邮件地址,则直接映射自该地址。
event.idm.read_only_udm.network.email.subject event.idm.read_only_udm.network.email.subject 直接从 Subject 映射。
event.idm.read_only_udm.network.email.to event.idm.read_only_udm.network.email.to 直接从 To 映射。
event.idm.read_only_udm.network.ftp.command event.idm.read_only_udm.network.ftp.command 直接从 ftp.command 映射。
event.idm.read_only_udm.network.http.method event.idm.read_only_udm.network.http.method 直接从 http.commandCommand 映射。
event.idm.read_only_udm.network.http.referral_url event.idm.read_only_udm.network.http.referral_url 直接从 Referer 映射。
event.idm.read_only_udm.network.http.response_code event.idm.read_only_udm.network.http.response_code 直接从 http.status_codeStatusCode 映射并转换为整数。
event.idm.read_only_udm.network.http.user_agent event.idm.read_only_udm.network.http.user_agent 直接从 http.useragentUserAgent 映射。
event.idm.read_only_udm.network.ip_protocol event.idm.read_only_udm.network.ip_protocol 如果为 TCP 或 UDP,则直接从 tproto 映射。
event.idm.read_only_udm.network.received_bytes event.idm.read_only_udm.network.received_bytes 已从 event1.server_packet_count 重命名,并转换为无符号整数。
event.idm.read_only_udm.network.sent_bytes event.idm.read_only_udm.network.sent_bytes 已从 event1.client_packet_count 重命名,并转换为无符号整数。
event.idm.read_only_udm.network.session_duration.seconds event.idm.read_only_udm.network.session_duration.seconds 已从 event1.session_size 重命名,并转换为整数。
event.idm.read_only_udm.network.session_id event.idm.read_only_udm.network.session_id 直接从 event1.rel_sesidUserSessionID 映射。
event.idm.read_only_udm.network.tls.client.certificate.issuer event.idm.read_only_udm.network.tls.client.certificate.issuer 直接从 event1.certificate_issuer_name 映射。
event.idm.read_only_udm.network.tls.client.certificate.not_after event.idm.read_only_udm.network.tls.client.certificate.not_after event1.certificate_end_date 解析并转换为时间戳。
event.idm.read_only_udm.network.tls.client.certificate.not_before event.idm.read_only_udm.network.tls.client.certificate.not_before event1.certificate_start_date 解析并转换为时间戳。
event.idm.read_only_udm.network.tls.client.certificate.subject event.idm.read_only_udm.network.tls.client.certificate.subject 直接从 event1.certificate_subject_name 映射。
event.idm.read_only_udm.network.tls.client.ja3 event.idm.read_only_udm.network.tls.client.ja3 直接从 event1.ja3digest 映射并转换为字符串。
event.idm.read_only_udm.network.tls.cipher event.idm.read_only_udm.network.tls.cipher 直接从 event1.cipherCipherSuitecipherevent1.tls_ciphersuite 映射。
event.idm.read_only_udm.network.tls.server.certificate.issuer event.idm.read_only_udm.network.tls.server.certificate.issuer 直接从 certificate_issuer_name 映射。
event.idm.read_only_udm.network.tls.server.certificate.subject event.idm.read_only_udm.network.tls.server.certificate.subject 直接从 certificate_subject_name 映射。
event.idm.read_only_udm.network.tls.server.ja3s event.idm.read_only_udm.network.tls.server.ja3s 直接从 event1.ja3sdigest 映射并转换为字符串。
event.idm.read_only_udm.network.tls.version event.idm.read_only_udm.network.tls.version 直接从 event1.version 映射。
event.idm.read_only_udm.principal.application event.idm.read_only_udm.principal.application 直接从 event1.client_asset_name 映射。
event.idm.read_only_udm.principal.asset.attribute.roles[].name event.idm.read_only_udm.principal.asset.attribute.roles[].name 直接从 ClientAssetRole 映射。
event.idm.read_only_udm.principal.asset_id event.idm.read_only_udm.principal.asset_id 直接从 ClientAssetIDServerAssetID 映射(带有“Asset:”前缀)。
event.idm.read_only_udm.principal.hostname event.idm.read_only_udm.principal.hostname 直接从 event1.sldsrc_domain 映射。
event.idm.read_only_udm.principal.ip event.idm.read_only_udm.principal.ip 直接从 event1.src_ip6client_ipClientIP 映射。
event.idm.read_only_udm.principal.location.country_or_region event.idm.read_only_udm.principal.location.country_or_region 如果不是“UNKNOWN”或空字符串,则直接从 ClientCountrysrc_country 映射。
event.idm.read_only_udm.principal.port event.idm.read_only_udm.principal.port 直接从 event1.sportclient_port 映射并转换为整数。
event.idm.read_only_udm.principal.resource.attribute.labels event.idm.read_only_udm.principal.resource.attribute.labels 包含基于解析器逻辑的各种标签。
event.idm.read_only_udm.principal.user.userid event.idm.read_only_udm.principal.user.userid 直接从 ftp.userAppUser 映射。
event.idm.read_only_udm.security_result.action event.idm.read_only_udm.security_result.action 根据 severity 确定。可以是 ALLOW、BLOCK 或 UNKNOWN_ACTION。
event.idm.read_only_udm.security_result.action_details event.idm.read_only_udm.security_result.action_details 如果不是“none”或空字符串,则直接从 Action 映射。
event.idm.read_only_udm.security_result.category event.idm.read_only_udm.security_result.category 如果存在 malware_type,则设置为 NETWORK_SUSPICIOUS。
event.idm.read_only_udm.security_result.detection_fields event.idm.read_only_udm.security_result.detection_fields 包含基于解析器逻辑的各种检测字段。
event.idm.read_only_udm.security_result.rule_name event.idm.read_only_udm.security_result.rule_name 直接从 rule_name 映射。
event.idm.read_only_udm.security_result.severity event.idm.read_only_udm.security_result.severity 根据 severity 确定。可以是 INFORMATIONAL、MEDIUM、ERROR 或 CRITICAL。
event.idm.read_only_udm.security_result.summary event.idm.read_only_udm.security_result.summary 直接从 label 映射。
event.idm.read_only_udm.security_result.threat_name event.idm.read_only_udm.security_result.threat_name 直接从 malware_type 映射,或者从 summary 解析(如果其中包含“CVE-”)。
event.idm.read_only_udm.target.administrative_domain event.idm.read_only_udm.target.administrative_domain 直接从 DomainName 映射。
event.idm.read_only_udm.target.asset.attribute.roles[].name event.idm.read_only_udm.target.asset.attribute.roles[].name 直接从 ServerAssetRole 映射。
event.idm.read_only_udm.target.file.full_path event.idm.read_only_udm.target.file.full_path 直接从 ftp.filenameFilename 映射。
event.idm.read_only_udm.target.file.md5 event.idm.read_only_udm.target.file.md5 直接从 event1.md5md5 映射。
event.idm.read_only_udm.target.file.mime_type event.idm.read_only_udm.target.file.mime_type 直接从 event1.filetype 映射。
event.idm.read_only_udm.target.file.sha1 event.idm.read_only_udm.target.file.sha1 直接从 event1.srvcerthash 映射。
event.idm.read_only_udm.target.file.sha256 event.idm.read_only_udm.target.file.sha256 直接从 event1.sha256sha256 映射。
event.idm.read_only_udm.target.file.size event.idm.read_only_udm.target.file.size 已从 event1.filesize 重命名,如果不是 0,则转换为无符号整数。
event.idm.read_only_udm.target.hostname event.idm.read_only_udm.target.hostname 直接从 event1.snidest_domainHost 映射。
event.idm.read_only_udm.target.ip event.idm.read_only_udm.target.ip 直接从 event1.dst_ip6server_ipServerIP 映射。
event.idm.read_only_udm.target.location.country_or_region event.idm.read_only_udm.target.location.country_or_region 直接从 dest_countryServerCountry 映射。
event.idm.read_only_udm.target.platform event.idm.read_only_udm.target.platform 归一化后从 asset_os 映射。
event.idm.read_only_udm.target.platform_version event.idm.read_only_udm.target.platform_version 直接从 os_version 映射。
event.idm.read_only_udm.target.port event.idm.read_only_udm.target.port 直接从 event1.dportserver_port 映射并转换为整数。
event.idm.read_only_udm.target.resource.attribute.labels event.idm.read_only_udm.target.resource.attribute.labels 包含基于解析器逻辑的各种标签。
event.idm.read_only_udm.target.url event.idm.read_only_udm.target.url 直接从 urlURL 映射。
event.idm.read_only_udm.target.user.product_object_id event.idm.read_only_udm.target.user.product_object_id 直接从 uuid 映射。
event1.certificate_end_date event.idm.read_only_udm.network.tls.client.certificate.not_after 已解析并转换为时间戳。
event1.certificate_extended_key_usage event.idm.read_only_udm.additional.fields[].key:“扩展密钥用途”,event.idm.read_only_udm.additional.fields[].value.string_valueevent1.certificate_extended_key_usage 的值 映射为附加字段。
event1.certificate_issuer_name event.idm.read_only_udm.network.tls.client.certificate.issuer 直接映射。
event1.certificate_key_length event.idm.read_only_udm.additional.fields[].key:“密钥长度”,event.idm.read_only_udm.additional.fields[].value.string_valueevent1.certificate_key_length 的值 映射为附加字段。
event1.certificate_key_usage event.idm.read_only_udm.additional.fields[].key:“密钥用途”,event.idm.read_only_udm.additional.fields[].value.string_valueevent1.certificate_key_usage 的值 映射为附加字段。
event1.certificate_start_date event.idm.read_only_udm.network.tls.client.certificate.not_before 已解析并转换为时间戳。
event1.certificate_subject_altname event.idm.read_only_udm.additional.fields[].key:“证书备用名称”,event.idm.read_only_udm.additional.fields[].value.string_valueevent1.certificate_subject_altname 的值 映射为附加字段。
event1.certificate_subject_name event.idm.read_only_udm.network.tls.client.certificate.subject 直接映射。
event1.client_asset_name event.idm.read_only_udm.principal.application 直接映射。
event1.client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: event1.client_asset_subnet 的值 映射为附加字段。
event1.client_packet_count event.idm.read_only_udm.network.sent_bytes 转换为无符号整数并重命名。
event1.cipher event.idm.read_only_udm.network.tls.cipher 直接映射。
event1.direction event.idm.read_only_udm.network.direction 如果为“s2c”,则映射到 INBOUND;如果为“c2s”,则映射到 OUTBOUND。
event1.d

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。