FireEye HX-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie mit Bindplane FireEye Endpoint Security (HX)-Protokolle in Google Security Operations erfassen. Der Parser versucht, die Eingabenachricht als JSON zu verarbeiten. Wenn die Nachricht nicht im JSON-Format vorliegt, werden Felder mithilfe von Grok-Mustern extrahiert und dann eine bedingte UDM-Zuordnung basierend auf dem extrahierten Ereignistyp und anderen Kriterien durchgeführt.
Hinweise
- Sie benötigen eine Google Security Operations-Instanz.
- Sie müssen Windows 2016 oder höher oder einen Linux-Host mit
systemdverwenden. - Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
- Sie benötigen Berechtigungen für FireEye Endpoint Security.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profil.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
Bindplane-Agent installieren
Windows-Installation
- Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Weitere Installationsressourcen
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet
Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis/etc/bindplane-agent/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor, z. B.
nano,vioder Notepad.
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'FIREEYE_HX' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsErsetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie
<customer_id>durch die tatsächliche Kundennummer.Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonim Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.
Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden
Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
sudo systemctl restart bindplane-agentSie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
net stop BindPlaneAgent && net start BindPlaneAgent
FireEye HX Event Streamer-Syslog über die Benutzeroberfläche konfigurieren
- Melden Sie sich in der FireEye HX-Verwaltungskonsole an.
- Rufen Sie Event Streamer auf.
- Wählen Sie Event Streamer auf dem Host aktivieren aus.
- Speichern Sie die Richtlinienänderungen.
- Gehen Sie zu Ziele > Servereinstellungen > Syslog-Ziel hinzufügen.
- Geben Sie die folgenden Konfigurationsdetails an:
- Name: Geben Sie einen eindeutigen Namen ein, um den Google SecOps-Log-Collector zu labeln.
- IP-Adresse: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Port: Geben Sie die Portnummer des Bindplane-Agents ein.
- Speichern Sie die Änderungen.
FireEye HX Event Streamer-Syslog mithilfe der Befehlszeile konfigurieren
- Melden Sie sich über die Befehlszeile (Command Line Interface, CLI) in der FireEye HX-Appliance an.
Führen Sie den folgenden Befehl aus, um den Konfigurationsmodus zu aktivieren:
enable configure terminalFühren Sie den folgenden Befehl aus, um ein Remote-Syslog-Serverziel hinzuzufügen:
logging BINDPLANE_IP_ADDRESS port PORT_NUMBER port- Dabei gilt:
BINDPLANE_IP_ADDRESS: die IP-Adresse des Google SecOps-WeiterleitungsdienstsPORT_NUMBER: die Portnummer
- Dabei gilt:
Führen Sie den folgenden Befehl aus, um die Konfigurationsdetails zu speichern:
write mem
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| alert.agent._id | principal.asset.asset_id | Die Kundenservicemitarbeiter-ID aus dem Rohprotokoll mit dem Präfix AGENT ID: |
| alert.agent.url | principal.labels.value | Die Agent-URL aus dem Rohprotokoll. |
| alert.condition._id | additional.fields.value.string_value | Die Bedingungs-ID aus dem Rohprotokoll, aus der = Zeichen entfernt wurden. |
| alert.condition.url | additional.fields.value.string_value | Die Bedingungs-URL aus dem Rohprotokoll, aus der = Zeichen entfernt wurden. |
| alert.decorators[].data.fireeye_report.indicator_verdict.malware_families.0 | security_result.threat_name | Die Malwarefamilie aus dem FireEye-Bericht im Feld „Dekoratoren“ des Rohlogs. |
| alert.decorators[].data.fireeye_report.risk_summary | security_result.description | Die Risikozusammenfassung aus dem FireEye-Bericht im Feld „decorators“ des Rohlogs. |
| alert.decorators[].data.fireeye_verdict | security_result.severity_details | Das FireEye-Urteil aus dem Decorator-Feld des Rohlogs. |
| alert.event_at | read_only_udm.metadata.event_timestamp | Der Zeitstempel des Ereignisses aus dem Rohprotokoll. |
| alert.event_id | read_only_udm.metadata.product_log_id | Die Ereignis-ID aus dem Rohprotokoll. |
| alert.event_type | read_only_udm.metadata.product_event_type | Der Ereignistyp aus dem Rohprotokoll. |
| alert.event_values.fileWriteEvent/fullPath | target.file.full_path | Der vollständige Pfad der Datei, die aus dem Rohprotokoll geschrieben wurde. |
| alert.event_values.fileWriteEvent/md5 | target.file.md5 | Der MD5-Hash der Datei, die aus dem Rohprotokoll geschrieben wurde. |
| alert.event_values.fileWriteEvent/pid | principal.process.pid | Die Prozess-ID, die die Datei aus dem Rohprotokoll geschrieben hat. |
| alert.event_values.fileWriteEvent/processPath | principal.process.file.full_path | Der Pfad des Prozesses, der die Datei aus dem Rohprotokoll geschrieben hat. Wird mit „alert.event_values.fileWriteEvent/process“ kombiniert, um den vollständigen Pfad zu erstellen, wenn das Betriebssystem Windows ist. |
| alert.event_values.fileWriteEvent/size | target.file.size | Die Größe der Datei, die aus dem Rohprotokoll geschrieben wurde. |
| alert.event_values.fileWriteEvent/username | principal.user.userid | Der Nutzer, der die Datei aus dem Rohprotokoll geschrieben hat. |
| alert.event_values.ipv4NetworkEvent/localIP | principal.ip | Die lokale IP-Adresse aus dem Rohprotokoll. |
| alert.event_values.ipv4NetworkEvent/localPort | principal.port | Der lokale Port aus dem Rohprotokoll. |
| alert.event_values.ipv4NetworkEvent/pid | principal.process.pid | Die Prozess-ID aus dem Rohprotokoll. |
| alert.event_values.ipv4NetworkEvent/process | principal.process.file.full_path | Der Prozessname aus dem Rohprotokoll. Wird mit „alert.event_values.ipv4NetworkEvent/processPath“ kombiniert, um den vollständigen Pfad zu erstellen, wenn das Betriebssystem Windows ist. |
| alert.event_values.ipv4NetworkEvent/processPath | principal.process.file.full_path | Der Prozesspfad aus dem Rohprotokoll. Wird mit „alert.event_values.ipv4NetworkEvent/process“ kombiniert, um den vollständigen Pfad zu erstellen, wenn das Betriebssystem Windows ist. |
| alert.event_values.ipv4NetworkEvent/protocol | network.ip_protocol | Das Netzwerkprotokoll aus dem Rohprotokoll. |
| alert.event_values.ipv4NetworkEvent/remoteIP | target.ip | Die Remote-IP-Adresse aus dem Rohprotokoll. |
| alert.event_values.ipv4NetworkEvent/remotePort | target.port | Der Remote-Port aus dem Rohprotokoll. |
| alert.event_values.ipv4NetworkEvent/timestamp | read_only_udm.metadata.event_timestamp | Der Zeitstempel des Ereignisses aus dem Rohprotokoll. |
| alert.event_values.ipv4NetworkEvent/username | principal.user.userid | Der Nutzer aus dem Rohprotokoll. |
| alert.event_values.processEvent/md5 | target.process.file.md5 | Der MD5-Hash des Prozesses aus dem Rohprotokoll. |
| alert.event_values.processEvent/parentPid | principal.process.pid | Die ID des übergeordneten Prozesses aus dem Rohprotokoll. |
| alert.event_values.processEvent/parentProcess | principal.process.file.full_path | Der Name des übergeordneten Prozesses aus dem Rohprotokoll. |
| alert.event_values.processEvent/parentProcessPath | principal.process.file.full_path | Der Pfad des übergeordneten Prozesses aus dem Rohprotokoll. |
| alert.event_values.processEvent/pid | target.process.pid | Die Prozess-ID aus dem Rohprotokoll. |
| alert.event_values.processEvent/process | target.process.file.full_path | Der Prozessname aus dem Rohprotokoll. |
| alert.event_values.processEvent/processCmdLine | target.process.command_line | Die Befehlszeile des Prozesses aus dem Rohprotokoll. |
| alert.event_values.processEvent/processPath | target.process.file.full_path | Der Prozesspfad aus dem Rohprotokoll. |
| alert.event_values.processEvent/timestamp | read_only_udm.metadata.event_timestamp | Der Zeitstempel des Ereignisses aus dem Rohprotokoll. |
| alert.event_values.processEvent/username | principal.user.userid | Der Nutzer aus dem Rohprotokoll. |
| alert.event_values.urlMonitorEvent/hostname | target.hostname | Der Hostname aus dem Rohprotokoll. |
| alert.event_values.urlMonitorEvent/localPort | principal.port | Der lokale Port aus dem Rohprotokoll. |
| alert.event_values.urlMonitorEvent/pid | principal.process.pid | Die Prozess-ID aus dem Rohprotokoll. |
| alert.event_values.urlMonitorEvent/process | principal.process.file.full_path | Der Prozessname aus dem Rohprotokoll. Wird mit „alert.event_values.urlMonitorEvent/processPath“ kombiniert, um den vollständigen Pfad zu erstellen, wenn das Betriebssystem Windows ist. |
| alert.event_values.urlMonitorEvent/processPath | principal.process.file.full_path | Der Prozesspfad aus dem Rohprotokoll. Wird mit „alert.event_values.urlMonitorEvent/process“ kombiniert, um den vollständigen Pfad zu erstellen, wenn das Betriebssystem Windows ist. |
| alert.event_values.urlMonitorEvent/remoteIpAddress | target.ip | Die Remote-IP-Adresse aus dem Rohprotokoll. |
| alert.event_values.urlMonitorEvent/remotePort | target.port | Der Remote-Port aus dem Rohprotokoll. |
| alert.event_values.urlMonitorEvent/requestUrl | target.url | Die angeforderte URL aus dem Rohprotokoll. |
| alert.event_values.urlMonitorEvent/timestamp | read_only_udm.metadata.event_timestamp | Der Zeitstempel des Ereignisses aus dem Rohprotokoll. |
| alert.event_values.urlMonitorEvent/urlMethod | network.http.method | Die HTTP-Methode aus dem Rohprotokoll. |
| alert.event_values.urlMonitorEvent/userAgent | network.http.user_agent | Der User-Agent aus dem Rohprotokoll. |
| alert.event_values.urlMonitorEvent/username | principal.user.userid | Der Nutzer aus dem Rohprotokoll. |
| alert.indicator._id | security_result.about.labels.value | Die Indikator-ID aus dem Rohprotokoll. |
| alert.indicator.name | read_only_udm.security_result.summary | Der Name des Indikators aus dem Rohprotokoll. |
| alert.indicator.url | security_result.about.labels.value | Die Indikator-URL aus dem Rohprotokoll. |
| alert.multiple_match | read_only_udm.metadata.description | Die Nachricht zur Mehrfachübereinstimmung aus dem Rohprotokoll. |
| alert.source | additional.fields.value.string_value | Die Quelle der Benachrichtigung aus dem Rohprotokoll. |
| authmethod | extensions.auth.mechanism | Die Authentifizierungsmethode aus dem Rohprotokoll. Legen Sie den Wert auf LOCAL fest, wenn er local oder LOCAL ist. Andernfalls wird MECHANISM_OTHER festgelegt. |
| authsubmethod | extensions.auth.auth_details | Die Authentifizierungsuntermethode aus dem Rohprotokoll, in Großbuchstaben. |
| Client | principal.ip | Die Client-IP-Adresse aus dem Rohprotokoll. |
| conditions.data.tests[].token | security_result.detection_fields.key | Das Token aus den Bedingungen im Rohprotokoll. |
| conditions.data.tests[].value | security_result.detection_fields.value | Der Wert aus den Bedingungstests im Rohprotokoll. |
| description | read_only_udm.metadata.description | Die Beschreibung aus dem Rohprotokoll. |
| host.agent_version | read_only_udm.metadata.product_version | Die Agentversion aus dem Rohprotokoll. |
| host.containment_state | read_only_udm.principal.containment_state | Der Status der Eindämmung aus dem Rohprotokoll. |
| host.domain | read_only_udm.principal.administrative_domain | Die Domain aus dem Rohprotokoll. |
| host.hostname | read_only_udm.principal.hostname | Der Hostname aus dem Rohprotokoll. |
| host.os.platform | read_only_udm.principal.platform | Die Betriebssystemplattform aus dem Rohprotokoll. |
| host.os.product_name | read_only_udm.principal.platform_version | Der Produktname des Betriebssystems aus dem Rohprotokoll. |
| host.primary_ip_address | read_only_udm.principal.ip | Die primäre IP-Adresse aus dem Rohprotokoll. |
| host.primary_mac | read_only_udm.principal.mac | Die primäre MAC-Adresse aus dem Rohprotokoll, wobei --Zeichen durch : ersetzt wurden. |
| host_ | principal.hostname | Der Hostname aus dem Rohprotokoll. |
| host_details.data.agent_version | read_only_udm.metadata.product_version | Die Agentversion aus dem Rohprotokoll. |
| host_details.data.containment_state | read_only_udm.security_result.severity_details | Der Status der Eindämmung aus dem Rohprotokoll. |
| host_details.data.domain | read_only_udm.principal.administrative_domain | Die Domain aus dem Rohprotokoll. |
| host_details.data.hostname | read_only_udm.principal.hostname | Der Hostname aus dem Rohprotokoll. |
| host_details.data.os.platform | read_only_udm.principal.platform | Die Betriebssystemplattform aus dem Rohprotokoll. |
| host_details.data.os.product_name | read_only_udm.principal.platform_version | Der Produktname des Betriebssystems aus dem Rohprotokoll. |
| host_details.data.primary_ip_address | read_only_udm.principal.ip | Die primäre IP-Adresse aus dem Rohprotokoll. |
| host_details.data.primary_mac | read_only_udm.principal.mac | Die primäre MAC-Adresse aus dem Rohprotokoll, wobei --Zeichen durch : ersetzt wurden. |
| indicators.data.description | read_only_udm.metadata.description | Die Beschreibung des Indikators aus dem Rohprotokoll. |
| Linie | target.application | Die Zeile aus dem Rohprotokoll. |
| localusername | target.user.user_display_name | Der lokale Nutzername aus dem Rohprotokoll. |
| principal_ip | principal.ip | Die Haupt-IP-Adresse aus dem Rohprotokoll. |
| verarbeiten | read_only_udm.principal.application | Der Prozessname aus dem Rohprotokoll. |
| process_id | read_only_udm.principal.process.pid | Die Prozess-ID aus dem Rohprotokoll. |
| referrer | network.http.referral_url | Die Referrer-URL aus dem Rohprotokoll. |
| remoteaddress | principal.ip | Die Remote-Adresse aus dem Rohprotokoll. |
| Anfrage | additional.fields.value.string_value | Die Anfrage aus dem Rohprotokoll. |
| Rolle | target.user.role_name | Die Rolle aus dem Rohlog. |
| Server | target.resource.attribute.labels.value | Der Server aus dem Rohprotokoll. |
| sessionID | network.session_id | Die Sitzungs-ID aus dem Rohprotokoll. |
| die Ausprägung | security_result.severity | Legen Sie LOW, MEDIUM oder HIGH fest, je nach Schweregrad aus dem Rohprotokoll. |
| target_host | read_only_udm.target.hostname | Der Ziel-Hostname aus dem Rohprotokoll. |
| target_ip | target.ip | Die Ziel-IP-Adresse aus dem Rohprotokoll. |
| target_ip1 | target.ip | Die Ziel-IPv6-Adresse aus dem Rohprotokoll. |
| timestamp | timestamp | Der Zeitstempel aus dem Rohprotokoll. |
| Upstream | target.url | Die Upstream-URL aus dem Rohprotokoll. |
| Nutzername | target.user.userid | Der Nutzername aus dem Rohprotokoll. |
Änderungen
2024-12-12
Optimierung:
- Unterstützung für das neue Format von JSON-Protokollen hinzugefügt.
2024-10-23
Optimierung:
cs12wurdeadditional.fieldszugeordnet.cs9wurdetarget.process.file.md5zugeordnet.
2024-10-15
Optimierung:
account_name,UUID,Mitre,host_details.data.sysinfo.url,host_details.route,host_details.data.reported_cloneundhost_details.data.timezonewurdensecurity_result.detection_fieldszugeordnet.Descwurdemetadata.descriptionzugeordnet.Confidencewurdesecurity_result.confidencezugeordnet.alert.appliance._idwurdeadditional.fieldszugeordnet.host_details.data.stats.acqs,host_details.data.stats.alerting_conditions,host_details.data.stats.alerts,host_details.data.stats.exploit_alerts,host_details.data.stats.exploit_blocksundhost_details.data.stats.false_positive_alertswurdensecurity_result.detection_fieldszugeordnet.
2024-09-12
Optimierung:
categoryOutcome,cs13wurdeadditional.fieldszugeordnet.cs6wurdetarget.process.file.sha1zugeordnet.cs9wurdetarget.process.file.md5zugeordnet.
2024-08-28
Optimierung:
host_details.messagewurdesecurity_result.action_detailszugeordnet.alert.md5values,alert.resolution,alert.is_false_positiveundalert.alert_typewurdenadditional.fieldszugeordnet.type.threat_typewurdesecurity_result.threat_namezugeordnet.ent.lms_event_idwurdemetadata.product_log_idzugeordnet.email.smtp.mail_fromwurdenetwork.email.fromzugeordnet.email.headers.subjectwurdenetwork.email.subjectzugeordnet.email.headers.towurdenetwork.email.tozugeordnet.ent.type,ent.id,ent.name,ent.object_source,ent.binaryundent.attributes.scan_idwurdensecurity_result.detection_fieldszugeordnet.
2024-08-13
Optimierung:
cs11Labelwurdeadditional_cs11Label.keyzugeordnet.cs11wurdeadditional_cs11.valuezugeordnet.
2024-04-04
Optimierung:
- Es wurde ein Grok-Muster hinzugefügt, mit dem JSON-Daten abgerufen werden, um nicht geparste Protokolle zu analysieren.
alert.sysinfo.mac_addresswurdeprincipal.maczugeordnet.host_details.data.agent_versionwurdemetadata.product_versionzugeordnet.alert.urlwurdemetadata.url_back_to_productzugeordnet.descriptionwurdemetadata.descriptionzugeordnet.alert.event_typewurdemetadata.product_event_typezugeordnet.alert.agent._idwurdeprincipal.asset.asset_idzugeordnet.alert.event_idwurdemetadata.product_log_idzugeordnet.
2024-04-03
Optimierung:
deviceCustomDate1Labelwurdeadditional_deviceCustomDate1.keyzugeordnet.deviceCustomDate1wurdeadditional_deviceCustomDate1.valuezugeordnet.deviceCustomDate2wurdeadditional_deviceCustomDate2.valuezugeordnet.
2024-04-02
Optimierung:
fileHashwurde eine reguläre Ausdrucksprüfung hinzugefügt, um md5 und sha256 zuzuordnen.
2024-01-04
Optimierung:
- Unterstützung für verlorene Protokolle hinzugefügt.
clientwurdeprincipal.ipzugeordnet.principal_ipwurdeprincipal.ipzugeordnet.remoteaddresswurdeprincipal.ipzugeordnet.host_wurdeprincipal.hostnamezugeordnet.linewurdeprincipal.applicationzugeordnet.usernamewurdeprincipal.user.useridzugeordnet.client_app_typewurdeprincipal.resource.attribute.labelszugeordnet.upstreamwurdetarget.urlzugeordnet.rolewurdetarget.user.role_namezugeordnet.serverwurdetarget.resource.attribute.labelszugeordnet.localusernamewurdetarget.user.user_display_namezugeordnet.requestwurdeadditional.fieldszugeordnet.mlockedwurdeadditional.fieldszugeordnet.kernel_stackwurdeadditional.fieldszugeordnet.sessionIDwurdenetwork.session_idzugeordnet.auth_mechanismwurdeextensions.auth.mechanismzugeordnet.authsubmethodwurdeextensions.auth.auth_detailszugeordnet.
2023-05-08
Optimierung:
- Neuer unterstützter JSON-Logtyp.
client_ipwurdeprincipal.ipzugeordnet.client_src_portwurdeprincipal.portzugeordnet.ssl_versionmappedtonetwork.tls.version_protocol`.ssl_cipherwurdenetwork.tls.cipherzugeordnet.methodwurdenetwork.http.methodzugeordnet.uri_pathwurdenetwork.http.referral_urlzugeordnet.persistent_session_idwurdenetwork.session_idzugeordnet.uri_querywurdeadditional.fieldszugeordnet.rewritten_uri_querywurdeadditional.fieldszugeordnet.virtualservicewurdeadditional.fieldszugeordnet.service_enginewurdeadditional.fieldszugeordnet.etagwurdeadditional.fieldszugeordnet.poolwurdeadditional.fieldszugeordnet.pool_namewurdeadditional.fieldszugeordnet.request_statewurdeadditional.fieldszugeordnet.compressionwurdeadditional.fieldszugeordnet.vs_namewurdeadditional.fieldszugeordnet.request_idwurdeadditional.fieldszugeordnet.headers_received_from_server.Serverwurdeadditional.fieldszugeordnet.headers_received_from_server.X-Request-Idwurdeadditional.fieldszugeordnet.headers_received_from_server.X-Server-Idwurdeadditional.fieldszugeordnet.
2023-04-24
Optimierung:
- Unterstützung für CEF-Format-Protokolle wurde hinzugefügt.
2022-08-19
Fehlerkorrektur:
- Zuordnung von „event_values.ipv4NetworkEvent/localIP“ zu
principal.ip - Das Ereignis wurde aus dem Protokoll in „event1“ umbenannt, um den Fehler „Kein Descriptor“ zu vermeiden.
- Es wurde eine Null-Prüfung für „host_details.data.primary_ip_address“ hinzugefügt, bevor die Zuordnung zu
principal.iperfolgte. - Vor der Zuordnung zu
principal.macwurde in „host_details.data.primary_mac“ eine Null-Prüfung hinzugefügt. - Vor der Zuordnung zu
event.timestampwurde eine Null-Prüfung für „alert.reported_at“ hinzugefügt.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten