Fortinet FortiAnalyzer-Protokolle erfassen

In diesem Dokument wird beschrieben, wie Sie mit Bindplane Fortinet FortiAnalyzer-Logs erfassen und in Google Security Operations aufnehmen. Der Parser wandelt die Protokolle in das UDM-Format um. Er verarbeitet sowohl CEF- als auch Schlüssel/Wert-formatierte Nachrichten, extrahiert Felder, führt Datentransformationen durch (z. B. Zeitstempel konvertieren und IP-Protokolle ergänzen) und ordnet sie basierend auf Ereignistyp und ‑untertyp den entsprechenden UDM-Feldern zu. Der Parser enthält auch eine spezielle Logik für die Verarbeitung von Netzwerkverbindungen, DNS-Abfragen, HTTP-Anfragen und verschiedenen Sicherheitsereignissen. So wird das UDM um Details wie Anwendungsprotokolle, Nutzerinformationen und Sicherheitsergebnisse ergänzt.

Hinweise

• Sie benötigen eine Google Security Operations-Instanz.
• Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
• Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
• Sie benötigen Berechtigungen für Fortinet FortiAnalyzer.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Profil.
3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Windows-Installation

1. Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

2. Führen Sie dazu diesen Befehl aus:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux-Installation

1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

2. Führen Sie dazu diesen Befehl aus:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Weitere Installationsressourcen

• Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

1. Rufen Sie die Konfigurationsdatei auf:

   1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
   2. Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

2. Bearbeiten Sie die Datei config.yamlso:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: FORTINET_FORTIANALYZER
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

4. Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.

5. Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

• Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:

  sudo systemctl restart bindplane-agent
  

• Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Syslog auf Fortinet FortiAnalyzer konfigurieren

1. Melden Sie sich in FortiAnalyzer an.
2. Aktivieren Sie den CLI.

3. Führen Sie folgende Befehle aus:

   config system syslog
     edit NAME
       set ip IP_ADDRESS
       set port PORT
       set reliable enable or disable
     next
   end
   

4. Aktualisieren Sie die folgenden Felder:

   • NAME: der Name des syslog-Servers.
   • IP_ADDRESS: Geben Sie die IPv4-Adresse des Bindplane-Agents ein.
   • PORT: Geben Sie die Portnummer für den Bindplane-Agenten ein, z. B. 514.
   • enable or disable: Wenn Sie den Wert „reliable“ auf „enable“ setzen, wird die Übertragung als TCP ausgeführt. Wenn Sie den Wert „reliable“ auf „disable“ setzen, wird die Übertragung als UDP ausgeführt.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
act	security_result.action_details	Wert aus dem Feld act, wenn das Protokoll im CEF-Format vorliegt.
action	security_result.action_details	Wert aus dem Feld action, wenn das Protokoll nicht im CEF-Format ist. Wird verwendet, um security_result.action und security_result.description abzuleiten.
action	security_result.action	Abgeleitet Wenn action accept, passthrough, pass, permit, detected oder login ist, dann ALLOW. Wenn deny, dropped, blocked oder close, dann BLOCK. Wenn timeout, dann FAIL. Andernfalls UNKNOWN_ACTION.
action	security_result.description	Abgeleitet Legen Sie Action: + abgeleitete security_result.action fest.
ad.app	target.application	Wert aus dem Feld ad.app, wenn das Protokoll im CEF-Format vorliegt. Wenn der Wert HTTPS, HTTP, DNS, DHCP oder SMB ist, wird er auf network.application_protocol zugeordnet.
ad.appact	additional.fields	Wert aus dem Feld ad.appact, wenn das Protokoll im CEF-Format vorliegt, als Schlüssel/Wert-Paar mit dem Schlüssel appact hinzugefügt.
ad.appcat	additional.fields	Wert aus dem Feld ad.appcat, wenn das Protokoll im CEF-Format vorliegt, als Schlüssel/Wert-Paar mit dem Schlüssel appcat hinzugefügt.
ad.appid	additional.fields	Wert aus dem Feld ad.appid, wenn das Protokoll im CEF-Format vorliegt, als Schlüssel/Wert-Paar mit dem Schlüssel appid hinzugefügt.
ad.applist	additional.fields	Wert aus dem Feld ad.applist, wenn das Protokoll im CEF-Format vorliegt, als Schlüssel/Wert-Paar mit dem Schlüssel applist hinzugefügt.
ad.apprisk	additional.fields	Wert aus dem Feld ad.apprisk, wenn das Protokoll im CEF-Format vorliegt, als Schlüssel/Wert-Paar mit dem Schlüssel apprisk hinzugefügt.
ad.cipher_suite	network.tls.cipher	Wert aus dem Feld ad.cipher_suite, wenn das Protokoll im CEF-Format vorliegt.
ad.countapp	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.countweb	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.dstcity	target.location.city	Wert aus dem Feld ad.dstcity, wenn das Protokoll im CEF-Format vorliegt.
ad.dstcountry	target.location.country_or_region	Wert aus dem Feld ad.dstcountry, wenn das Protokoll im CEF-Format vorliegt.
ad.dstintf	security_result.detection_fields	Wert aus dem Feld ad.dstintf, wenn das Protokoll im CEF-Format vorliegt, als Schlüssel/Wert-Paar mit dem Schlüssel dstintf hinzugefügt.
ad.dstintfrole	security_result.detection_fields	Wert aus dem Feld ad.dstintfrole, wenn das Protokoll im CEF-Format vorliegt, als Schlüssel/Wert-Paar mit dem Schlüssel dstintfrole hinzugefügt.
ad.dstregion	target.location.state	Wert aus dem Feld ad.dstregion, wenn das Protokoll im CEF-Format vorliegt.
ad.duration	network.session_duration.seconds	Wert aus dem Feld ad.duration, wenn das Protokoll im CEF-Format vorliegt.
ad.eventtime	metadata.event_timestamp	Wert aus dem Feld ad.eventtime, wenn das Protokoll im CEF-Format vorliegt.
ad.http_agent	network.http.parsed_user_agent	Wert aus dem Feld ad.http_agent, wenn das Protokoll im CEF-Format vorliegt.
ad.http_method	network.http.method	Wert aus dem Feld ad.http_method, wenn das Protokoll im CEF-Format vorliegt.
ad.http_refer	network.http.referral_url	Wert aus dem Feld ad.http_refer, wenn das Protokoll im CEF-Format vorliegt.
ad.http_request_bytes	network.sent_bytes	Wert aus dem Feld ad.http_request_bytes, wenn das Protokoll im CEF-Format vorliegt.
ad.http_response_bytes	network.received_bytes	Wert aus dem Feld ad.http_response_bytes, wenn das Protokoll im CEF-Format vorliegt.
ad.http_retcode	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.http_url	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.lanin	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.lanout	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.logid	metadata.product_log_id	Wert aus dem Feld ad.logid, wenn das Protokoll im CEF-Format vorliegt.
ad.mastersrcmac	principal.mac	Wert aus dem Feld ad.mastersrcmac, wenn das Protokoll im CEF-Format vorliegt.
ad.original_src	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.original_srccountry	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.poluuid	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.policyid	security_result.rule_id	Wert aus dem Feld ad.policyid, wenn das Protokoll im CEF-Format vorliegt.
ad.policyname	security_result.rule_name	Wert aus dem Feld ad.policyname, wenn das Protokoll im CEF-Format vorliegt.
ad.policytype	security_result.rule_type	Wert aus dem Feld ad.policytype, wenn das Protokoll im CEF-Format vorliegt.
ad.profile	target.resource.name	Wert aus dem Feld ad.profile, wenn das Protokoll im CEF-Format vorliegt. Außerdem wird target.resource.resource_type auf ACCESS_POLICY gesetzt.
ad.proto	network.ip_protocol	Wert aus dem Feld ad.proto, wenn das Protokoll im CEF-Format vorliegt. Mit der Datei parse_ip_protocol.include geparst.
ad.qclass	network.dns.questions.class	Wert aus dem Feld ad.qclass, wenn das Protokoll im CEF-Format vorliegt. Mit der Datei dns_query_class_mapping.include zugeordnet.
ad.qname	network.dns.questions.name	Wert aus dem Feld ad.qname, wenn das Protokoll im CEF-Format vorliegt.
ad.qtype	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.qtypeval	network.dns.questions.type	Wert aus dem Feld ad.qtypeval, wenn das Protokoll im CEF-Format vorliegt.
ad.rcvddelta	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.rcvdpkt	additional.fields	Wert aus dem Feld ad.rcvdpkt, wenn das Protokoll im CEF-Format vorliegt, als Schlüssel/Wert-Paar mit dem Schlüssel receivedPackets hinzugefügt.
ad.sentdelta	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.sentpkt	additional.fields	Wert aus dem Feld ad.sentpkt, wenn das Protokoll im CEF-Format vorliegt, als Schlüssel/Wert-Paar mit dem Schlüssel sentPackets hinzugefügt.
ad.server_pool_name	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.sourceTranslatedAddress	principal.nat_ip	Wert aus dem Feld ad.sourceTranslatedAddress, wenn das Protokoll im CEF-Format vorliegt.
ad.sourceTranslatedPort	principal.nat_port	Wert aus dem Feld ad.sourceTranslatedPort, wenn das Protokoll im CEF-Format vorliegt.
ad.src	principal.ip	Wert aus dem Feld ad.src, wenn das Protokoll im CEF-Format vorliegt.
ad.srccountry	principal.location.country_or_region	Wert aus dem Feld ad.srccountry, wenn das Protokoll im CEF-Format vorliegt.
ad.srcintf	security_result.detection_fields	Wert aus dem Feld ad.srcintf, wenn das Protokoll im CEF-Format vorliegt, als Schlüssel/Wert-Paar mit dem Schlüssel srcintf hinzugefügt.
ad.srcintfrole	security_result.detection_fields	Wert aus dem Feld ad.srcintfrole, wenn das Protokoll im CEF-Format vorliegt, als Schlüssel/Wert-Paar mit dem Schlüssel srcintfrole hinzugefügt.
ad.srcmac	principal.mac	Wert aus dem Feld ad.srcmac, wenn das Protokoll im CEF-Format vorliegt.
ad.srcserver	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.spt	principal.port	Wert aus dem Feld ad.spt, wenn das Protokoll im CEF-Format vorliegt.
ad.status	security_result.summary	Wert aus dem Feld ad.status, wenn das Protokoll im CEF-Format vorliegt.
ad.subtype	metadata.product_event_type	Wird mit ad.logid verwendet, um die metadata.product_event_type zu erstellen, wenn das Protokoll im CEF-Format vorliegt. Wird auch verwendet, um metadata.event_type abzuleiten und bestimmte Felder für DNS- und HTTP-Ereignisse zuzuordnen.
ad.trandisp	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.tz	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.utmaction	security_result.action	Wert aus dem Feld ad.utmaction, wenn das Protokoll im CEF-Format vorliegt. Wird verwendet, um security_result.action und security_result.description abzuleiten.
ad.user_name	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.vd	principal.administrative_domain	Wert aus dem Feld ad.vd, wenn das Protokoll im CEF-Format vorliegt.
ad.vwlid	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.wanin	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.wanout	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.xid	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ad.x509_cert_subject	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
agent	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
appid	additional.fields	Wert aus dem Feld appid, wenn das Protokoll nicht im CEF-Format ist, als Schlüssel/Wert-Paar mit dem Schlüssel appid hinzugefügt.
app	target.application	Wert aus dem Feld app, wenn das Protokoll nicht im CEF-Format ist. Wenn der Wert HTTPS, HTTP, DNS, DHCP oder SMB ist, wird er auf network.application_protocol zugeordnet.
appact	additional.fields	Wert aus dem Feld appact, wenn das Protokoll nicht im CEF-Format ist, als Schlüssel/Wert-Paar mit dem Schlüssel appact hinzugefügt.
appcat	additional.fields	Wert aus dem Feld appcat, wenn das Protokoll nicht im CEF-Format ist, als Schlüssel/Wert-Paar mit dem Schlüssel appcat hinzugefügt.
applist	additional.fields	Wert aus dem Feld applist, wenn das Protokoll nicht im CEF-Format ist, als Schlüssel/Wert-Paar mit dem Schlüssel applist hinzugefügt.
apprisk	additional.fields	Wert aus dem Feld apprisk, wenn das Protokoll nicht im CEF-Format ist, als Schlüssel/Wert-Paar mit dem Schlüssel apprisk hinzugefügt.
cat	security_result1.rule_id	Wert aus dem Feld cat, wenn das Protokoll nicht im CEF-Format ist.
catdesc	security_result.description	Wert aus dem Feld catdesc, wenn das Protokoll nicht im CEF-Format ist. Wird nur verwendet, wenn catdesc nicht leer ist.
centralnatid	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
cipher_suite	network.tls.cipher	Wert aus dem Feld cipher_suite, wenn das Protokoll nicht im CEF-Format ist.
countssl	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
crlevel	security_result.severity	Wert aus dem Feld crlevel, wenn das Protokoll nicht im CEF-Format ist. Wird verwendet, um security_result.severity abzuleiten. Wenn CRITICAL, werden is_alert und is_significant auf „true“ festgelegt.
craction	security_result.about.labels	Wert aus dem Feld craction, wenn das Protokoll nicht im CEF-Format ist, als Schlüssel/Wert-Paar mit dem Schlüssel craction hinzugefügt.
create_time	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
data	(nicht zugeordnet)	Die Rohprotokolldaten. Nicht direkt UDM zugeordnet.
date	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
devname	principal.hostname, principal.asset.hostname	Wert aus dem Feld devname, wenn das Protokoll nicht im CEF-Format ist.
devid	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
devtype	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
direction	network.direction	Wert aus dem Feld direction, wenn das Protokoll nicht im CEF-Format ist. Bei incoming oder inbound ist das Ergebnis INBOUND. Bei outgoing oder outbound ist das Ergebnis OUTBOUND.
dpt	target.port	Wert aus dem Feld dpt, wenn das Protokoll im CEF-Format vorliegt.
dstip	target.ip, target.asset.ip	Wert aus dem Feld dstip, wenn das Protokoll nicht im CEF-Format ist.
dstintf	security_result.detection_fields	Wert aus dem Feld dstintf, wenn das Protokoll nicht im CEF-Format ist, als Schlüssel/Wert-Paar mit dem Schlüssel dstintf hinzugefügt.
dstintfrole	security_result.detection_fields	Wert aus dem Feld dstintfrole, wenn das Protokoll nicht im CEF-Format ist, als Schlüssel/Wert-Paar mit dem Schlüssel dstintfrole hinzugefügt.
dstport	target.port	Wert aus dem Feld dstport, wenn das Protokoll nicht im CEF-Format ist.
dstregion	target.location.state	Wert aus dem Feld dstregion, wenn das Protokoll nicht im CEF-Format ist.
dstuuid	target.user.product_object_id	Wert aus dem Feld dstuuid, wenn das Protokoll nicht im CEF-Format ist.
duration	network.session_duration.seconds	Wert aus dem Feld duration, wenn das Protokoll nicht im CEF-Format ist.
dstcity	target.location.city	Wert aus dem Feld dstcity, wenn das Protokoll nicht im CEF-Format ist.
dstcountry	target.location.country_or_region	Wert aus dem Feld dstcountry, wenn das Protokoll nicht im CEF-Format ist.
dstmac	target.mac	Wert aus dem Feld dstmac, wenn das Protokoll nicht im CEF-Format ist.
eventtime	metadata.event_timestamp	Wert aus dem Feld eventtime, wenn das Protokoll nicht im CEF-Format ist. Der Wert wird von Mikrosekunden auf Sekunden reduziert.
eventtype	security_result2.rule_type	Wert aus dem Feld eventtype, wenn das Protokoll nicht im CEF-Format ist.
externalID	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
group	principal.user.group_identifiers	Wert aus dem Feld group, wenn das Protokoll nicht im CEF-Format ist.
hostname	target.hostname, target.asset.hostname	Wert aus dem Feld hostname, wenn das Protokoll nicht im CEF-Format ist.
http_agent	network.http.parsed_user_agent	Wert aus dem Feld http_agent, wenn das Protokoll nicht im CEF-Format ist. In ein geparstes User-Agent-Objekt umgewandelt.
http_method	network.http.method	Wert aus dem Feld http_method, wenn das Protokoll nicht im CEF-Format ist.
http_refer	network.http.referral_url	Wert aus dem Feld http_refer, wenn das Protokoll nicht im CEF-Format ist.
http_request_bytes	network.sent_bytes	Wert aus dem Feld http_request_bytes, wenn das Protokoll nicht im CEF-Format ist.
http_response_bytes	network.received_bytes	Wert aus dem Feld http_response_bytes, wenn das Protokoll nicht im CEF-Format ist.
httpmethod	network.http.method	Wert aus dem Feld httpmethod, wenn das Protokoll nicht im CEF-Format ist.
in	network.received_bytes	Wert aus dem Feld in, wenn das Protokoll im CEF-Format vorliegt.
incidentserialno	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
lanin	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
lanout	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
level	security_result.severity, security_result.severity_details	Wert aus dem Feld level, wenn das Protokoll nicht im CEF-Format ist. Wird verwendet, um security_result.severity abzuleiten. Bei error oder warning ist das Ergebnis HIGH. Wenn notice, dann MEDIUM. Bei information oder info ist das Ergebnis LOW. Außerdem wird security_result.severity_details auf level: + level gesetzt. Wenn crlevel CRITICAL oder level alert ist, werden is_alert und is_significant auf „wahr“ gesetzt.
locip	principal.ip, principal.asset.ip	Wert aus dem Feld locip, wenn das Protokoll nicht im CEF-Format ist.
logdesc	metadata.description	Wert aus dem Feld logdesc, wenn das Protokoll nicht im CEF-Format ist.
logid	metadata.product_log_id	Wert aus dem Feld logid, wenn das Protokoll nicht im CEF-Format ist.
logver	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
mastersrcmac	principal.mac	Wert aus dem Feld mastersrcmac, wenn das Protokoll nicht im CEF-Format ist.
method	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
msg	metadata.description	Wert aus dem Feld msg, wenn das Protokoll nicht im CEF-Format ist. Wird auch für security_result.description verwendet, wenn catdesc leer ist.
out	network.sent_bytes	Wert aus dem Feld out, wenn das Protokoll im CEF-Format vorliegt.
outintf	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
policyid	security_result.rule_id	Wert aus dem Feld policyid, wenn das Protokoll nicht im CEF-Format ist.
policyname	security_result.rule_name	Wert aus dem Feld policyname, wenn das Protokoll nicht im CEF-Format ist.
policytype	security_result.rule_type	Wert aus dem Feld policytype, wenn das Protokoll nicht im CEF-Format ist.
poluuid	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
profile	target.resource.name	Wert aus dem Feld profile, wenn das Protokoll nicht im CEF-Format ist. Außerdem wird target.resource.resource_type auf ACCESS_POLICY gesetzt.
proto	network.ip_protocol	Wert aus dem Feld proto, wenn das Protokoll nicht im CEF-Format ist. Mit der Datei parse_ip_protocol.include geparst.
qclass	network.dns.questions.class	Wert aus dem Feld qclass, wenn das Protokoll nicht im CEF-Format ist. Mit der Datei dns_query_class_mapping.include zugeordnet.
qname	network.dns.questions.name	Wert aus dem Feld qname, wenn das Protokoll nicht im CEF-Format ist.
reason	security_result.description	Wert aus dem Feld reason, wenn das Protokoll nicht im CEF-Format ist. Wird nur verwendet, wenn reason nicht N/A und nicht leer ist.
rcvdbyte	network.received_bytes	Wert aus dem Feld rcvdbyte, wenn das Protokoll nicht im CEF-Format ist.
rcvdpkt	additional.fields	Wert aus dem Feld rcvdpkt, wenn das Protokoll nicht im CEF-Format ist, als Schlüssel/Wert-Paar mit dem Schlüssel receivedPackets hinzugefügt.
remip	target.ip, target.asset.ip	Wert aus dem Feld remip, wenn das Protokoll nicht im CEF-Format ist.
remport	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
reqtype	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
sentbyte	network.sent_bytes	Wert aus dem Feld sentbyte, wenn das Protokoll nicht im CEF-Format ist.
sentpkt	additional.fields	Wert aus dem Feld sentpkt, wenn das Protokoll nicht im CEF-Format ist, als Schlüssel/Wert-Paar mit dem Schlüssel sentPackets hinzugefügt.
service	network.application_protocol, target.application	Wert aus dem Feld service, wenn das Protokoll nicht im CEF-Format ist. Mit der Datei parse_app_protocol.include geparst. Wenn die Ausgabe des Parsers nicht leer ist, wird sie network.application_protocol zugeordnet. Andernfalls wird der ursprüngliche Wert target.application zugeordnet.
sessionid	network.session_id	Wert aus dem Feld sessionid, wenn das Protokoll nicht im CEF-Format ist.
sn	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
sourceTranslatedAddress	principal.nat_ip	Wert aus dem Feld sourceTranslatedAddress, wenn das Protokoll im CEF-Format vorliegt.
sourceTranslatedPort	principal.nat_port	Wert aus dem Feld sourceTranslatedPort, wenn das Protokoll im CEF-Format vorliegt.
spt	principal.port	Wert aus dem Feld spt, wenn das Protokoll im CEF-Format vorliegt.
src	principal.ip	Wert aus dem Feld src, wenn das Protokoll im CEF-Format vorliegt.
srcip	principal.ip, principal.asset.ip	Wert aus dem Feld srcip, wenn das Protokoll nicht im CEF-Format ist.
srcintf	security_result.detection_fields	Wert aus dem Feld srcintf, wenn das Protokoll nicht im CEF-Format ist, als Schlüssel/Wert-Paar mit dem Schlüssel srcintf hinzugefügt.
srcintfrole	security_result.detection_fields	Wert aus dem Feld srcintfrole, wenn das Protokoll nicht im CEF-Format ist, als Schlüssel/Wert-Paar mit dem Schlüssel srcintfrole hinzugefügt.
srcmac	principal.mac	Wert aus dem Feld srcmac, wenn das Protokoll nicht im CEF-Format ist. Bindestriche werden durch Doppelpunkte ersetzt.
srcport	principal.port	Wert aus dem Feld srcport, wenn das Protokoll nicht im CEF-Format ist.
srccountry	principal.location.country_or_region	Wert aus dem Feld srccountry, wenn das Protokoll nicht im CEF-Format ist. Wird nur zugeordnet, wenn der Wert nicht Reserved und nicht leer ist.
srcuuid	principal.user.product_object_id	Wert aus dem Feld srcuuid, wenn das Protokoll nicht im CEF-Format ist.
srcserver	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
start	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
status	security_result.summary	Wert aus dem Feld status, wenn das Protokoll nicht im CEF-Format ist.
subtype	metadata.product_event_type	Wird mit type verwendet, um die metadata.product_event_type zu erstellen, wenn das Protokoll nicht im CEF-Format vorliegt. Wird auch verwendet, um metadata.event_type abzuleiten und bestimmte Felder für DNS- und HTTP-Ereignisse zuzuordnen.
time	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
timestamp	metadata.event_timestamp	Wert aus dem Feld timestamp.
trandisp	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
transip	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
transport	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
type	metadata.product_event_type	Wird mit subtype verwendet, um die metadata.product_event_type zu erstellen, wenn das Protokoll nicht im CEF-Format vorliegt. Wird auch zur Ableitung von metadata.event_type verwendet.
tz	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
ui	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
url	target.url	Wert aus dem Feld url, wenn das Protokoll nicht im CEF-Format ist.
user	principal.user.userid	Wert aus dem Feld user, wenn das Protokoll nicht im CEF-Format ist. Wird nur zugeordnet, wenn der Wert nicht N/A und nicht leer ist.
utmaction	security_result.action, security_result2.action_details	Wert aus dem Feld utmaction, wenn das Protokoll nicht im CEF-Format ist. Wird verwendet, um security_result.action und security_result.description abzuleiten.
utmaction	security_result.action	Abgeleitet Wenn utmaction accept, allow, passthrough, pass, permit oder detected ist, dann ALLOW. Wenn deny, dropped, blocked oder block, dann BLOCK. Andernfalls UNKNOWN_ACTION.
utmaction	security_result.description	Abgeleitet Wird auf UTMAction: + abgeleitete security_result.action gesetzt, wenn action1 leer ist.
utmevent	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
vd	principal.administrative_domain	Wert aus dem Feld vd, wenn das Protokoll nicht im CEF-Format ist.
vpntunnel	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
wanin	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
wanout	(nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
– (Parserlogik)	about.asset.asset_id	Abgeleitet Wenn das Protokoll im CEF-Format vorliegt, wird der Wert auf Fortinet. + product_name + : + deviceExternalId gesetzt.
– (Parserlogik)	about.hostname	Abgeleitet Legen Sie auth0 fest, wenn das Protokoll im CEF-Format vorliegt.
– (Parserlogik)	extensions.auth	Abgeleitet Wenn metadata.event_type USER_LOGIN ist, wird ein leeres Objekt erstellt.
– (Parserlogik)	extensions.auth.type	Abgeleitet Wird auf AUTHTYPE_UNSPECIFIED gesetzt, wenn metadata.event_type gleich USER_LOGIN ist.
– (Parserlogik)	is_alert, is_significant	Abgeleitet Wird auf „wahr“ gesetzt, wenn crlevel gleich CRITICAL oder level gleich alert ist.
– (Parserlogik)	metadata.event_type	Abgeleitet anhand verschiedener Protokollfelder und Logik im Parser. Kann NETWORK_CONNECTION, STATUS_UPDATE, GENERIC_EVENT, NETWORK_DNS, NETWORK_HTTP, USER_LOGIN, USER_LOGOUT oder NETWORK_UNCATEGORIZED sein.
– (Parserlogik)	metadata.log_type	Abgeleitet Legen Sie FORTINET_FORTIANALYZER fest.
– (Parserlogik)	metadata.product_event_type	Abgeleitet Legen Sie type + - + subtype fest.
– (Parserlogik)	metadata.product_name	Abgeleitet Muss auf Fortianalyzer gesetzt oder aus der CEF-Nachricht extrahiert werden.
– (Parserlogik)	metadata.product_version	Aus der CEF-Nachricht extrahiert.
– (Parserlogik)	metadata.vendor_name	Abgeleitet Legen Sie Fortinet fest.
– (Parserlogik)	network.application_protocol	Wird aus den Feldern service oder app mithilfe der Datei parse_app_protocol.include abgeleitet oder für DNS-Ereignisse auf DNS festgelegt. Legen Sie auch ad.app fest, wenn es sich um HTTPS, HTTP, DNS, DHCP oder SMB handelt.
– (Parserlogik)	network.dns.questions	Abgeleitet Ein Array von Frageobjekten mit den Feldern name, type und class, die für DNS-Ereignisse ausgefüllt sind.
– (Parserlogik)	network.http.parsed_user_agent	Wird aus dem Feld http_agent abgeleitet, indem es in ein geparstes User-Agent-Objekt umgewandelt wird.
– (Parserlogik)	network.ip_protocol	Aus dem Feld proto mithilfe der Datei parse_ip_protocol.include abgeleitet.
– (Parserlogik)	principal.administrative_domain	Wert aus dem Feld vd.
– (Parserlogik)	principal.asset.ip	Kopiert von principal.ip.
– (Parserlogik)	principal.asset.hostname	Kopiert von principal.hostname.
– (Parserlogik)	security_result.about.labels	Ein Array von Schlüssel/Wert-Paaren, die gegebenenfalls mit craction ausgefüllt sind.
– (Parserlogik)	security_result.action	Abgeleitet von action oder utmaction.
– (Parserlogik)	security_result.description	Abgeleitet von action, utmaction, msg, catdesc oder reason, je nach verfügbaren Feldern und Protokollformat.
– (Parserlogik)	security_result.severity	Abgeleitet von crlevel oder level.
– (Parserlogik)	security_result.severity_details	Abgeleitet Legen Sie level: + level fest.
– (Parserlogik)	security_result.detection_fields	Ein Array von Schlüssel/Wert-Paaren, die mit srcintf, srcintfrole, dstintf und dstintfrole gefüllt sind, sofern vorhanden.
– (Parserlogik)	target.asset.ip	Kopiert von target.ip.
– (Parserlogik)	target.asset.hostname	Kopiert von target.hostname.
– (Parserlogik)	target.resource.resource_type	Abgeleitet Erhält den Wert ACCESS_POLICY, wenn das Feld profile vorhanden ist.

Änderungen

2025-01-31

Optimierung:

• catdesc wurde security_result.rule_name zugeordnet.
• crscore wurde security_result.detection_fields zugeordnet.
• method wurde network.http.method zugeordnet.
• cat wurde security_result.rule_id zugeordnet.

2025-01-02

Optimierung:

• Wenn action = login und status = success ist, wird ALLOW = security_result.action zugeordnet.
• Wenn action = login und status = failure ist, wird BLOCK = security_result.action zugeordnet.

2024-11-28

Optimierung:

• filename wurde target.file.full_path zugeordnet.

2024-11-19

Optimierung:

• dstuser wurde target.user.userid zugeordnet.

2024-11-13

Optimierung:

• fsaverdict wurde additional.fields zugeordnet.

2024-10-28

Optimierung:

• Die Zuordnung von srcinf, dstinf, srcintfrole und dstintfrole wurde von security_result.detection_fields zu additional.fields geändert.

2024-10-16

Optimierung:

• type, subtype und level wurden metadata.ingestion_labels zugeordnet.

2024-10-01

Optimierung:

• logdesc wurde metadata.description zugeordnet.

2024-10-01

Optimierung:

• logdesc wurde metadata.description zugeordnet.

2024-09-23

Optimierung:

• Zuordnung für devname zu principal.resource.attribute.labels geändert.
• srcname wurde principal.hostname und principal.asset.hostname zugeordnet.

2024-09-12

Optimierung:

• Es wurden bedingte Prüfungen hinzugefügt, um den Wert BLOCK dem UDM-Feld security_result.action zuzuordnen, wenn der Wert reason sslvpn_login_permission_denied ist.

2024-07-22

Optimierung:

• gusb zum Umgang mit nicht geparsten Protokollen hinzugefügt.

2024-07-04

Optimierung:

• Wenn msg login enthält, setzen Sie event_type auf USER_LOGIN.

2024-04-25

Optimierung:

• httpmethod wurde network.http.method zugeordnet.
• Wenn action login ist, ordnen Sie ALLOW security_result.action zu.
• Wenn msg logged in successfully enthält, setzen Sie event_type auf USER_LOGIN.
• Wenn msg login failed enthält, setzen Sie event_type auf USER_LOGOUT.

2023-07-19

Fehlerkorrektur:

• Es wurde gsub hinzugefügt, um \n zu entfernen, um fehlgeschlagene Protokolle zu parsen.

2023-05-05

• Unterstützung für CEF-Protokolle hinzugefügt.

2022-09-19

• Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten