Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Fortinet FortiAnalyzer

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar e ingerir registros de Fortinet FortiAnalyzer en Google Security Operations con Bindplane. El analizador transforma los registros en formato UDM. Maneja mensajes con formato CEF y de clave-valor, extrae campos, realiza transformaciones de datos (como convertir marcas de tiempo y enriquecer protocolos de IP) y los asigna a los campos de UDM adecuados según el tipo y el subtipo de evento. El analizador también incluye lógica específica para controlar las conexiones de red, las consultas de DNS, las solicitudes HTTP y varios eventos de seguridad, lo que enriquece el UDM con detalles como los protocolos de aplicación, la información del usuario y los resultados de seguridad.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a Fortinet FortiAnalyzer.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: FORTINET_FORTIANALYZER
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog en Fortinet FortiAnalyzer

Accede a FortiAnalyzer.
Activa el modo de CLI.

Ejecuta los siguientes comandos:

config system syslog
  edit NAME
    set ip IP_ADDRESS
    set port PORT
    set reliable enable or disable
  next
end

Actualiza los siguientes campos:
- NAME: Es el nombre del servidor syslog.
- IP_ADDRESS: Ingresa la dirección IPv4 del agente de Bindplane.
- PORT: Ingresa el número de puerto del agente de Bindplane, por ejemplo, 514.
- enable or disable: Si estableces el valor de reliable como enable, se envía como TCP; si lo estableces como disable, se envía como UDP.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`act`	`security_result.action_details`	Valor del campo `act` cuando el registro está en formato CEF.
`action`	`security_result.action_details`	Valor del campo `action` cuando el registro no está en formato CEF. Se usa para derivar `security_result.action` y `security_result.description`.
`action`	`security_result.action`	Es derivado. Si `action` es `accept`, `passthrough`, `pass`, `permit`, `detected` o `login`, entonces `ALLOW`. Si es `deny`, `dropped`, `blocked` o `close`, entonces `BLOCK`. Si es `timeout`, entonces `FAIL`. En caso contrario, `UNKNOWN_ACTION`.
`action`	`security_result.description`	Es derivado. Se establece en `Action:` + `security_result.action` derivado.
`ad.app`	`target.application`	Valor del campo `ad.app` cuando el registro está en formato CEF. Si el valor es `HTTPS`, `HTTP`, `DNS`, `DHCP` o `SMB`, se asigna a `network.application_protocol`.
`ad.appact`	`additional.fields`	Valor del campo `ad.appact` cuando el registro está en formato CEF, agregado como un par clave-valor con la clave `appact`.
`ad.appcat`	`additional.fields`	Valor del campo `ad.appcat` cuando el registro está en formato CEF, agregado como un par clave-valor con la clave `appcat`.
`ad.appid`	`additional.fields`	Valor del campo `ad.appid` cuando el registro está en formato CEF, agregado como un par clave-valor con la clave `appid`.
`ad.applist`	`additional.fields`	Valor del campo `ad.applist` cuando el registro está en formato CEF, agregado como un par clave-valor con la clave `applist`.
`ad.apprisk`	`additional.fields`	Valor del campo `ad.apprisk` cuando el registro está en formato CEF, agregado como un par clave-valor con la clave `apprisk`.
`ad.cipher_suite`	`network.tls.cipher`	Valor del campo `ad.cipher_suite` cuando el registro está en formato CEF.
`ad.countapp`	(sin asignar)	No se asignó al objeto IDM.
`ad.countweb`	(sin asignar)	No se asignó al objeto IDM.
`ad.dstcity`	`target.location.city`	Valor del campo `ad.dstcity` cuando el registro está en formato CEF.
`ad.dstcountry`	`target.location.country_or_region`	Valor del campo `ad.dstcountry` cuando el registro está en formato CEF.
`ad.dstintf`	`security_result.detection_fields`	Valor del campo `ad.dstintf` cuando el registro está en formato CEF, agregado como un par clave-valor con la clave `dstintf`.
`ad.dstintfrole`	`security_result.detection_fields`	Valor del campo `ad.dstintfrole` cuando el registro está en formato CEF, agregado como un par clave-valor con la clave `dstintfrole`.
`ad.dstregion`	`target.location.state`	Valor del campo `ad.dstregion` cuando el registro está en formato CEF.
`ad.duration`	`network.session_duration.seconds`	Valor del campo `ad.duration` cuando el registro está en formato CEF.
`ad.eventtime`	`metadata.event_timestamp`	Valor del campo `ad.eventtime` cuando el registro está en formato CEF.
`ad.http_agent`	`network.http.parsed_user_agent`	Valor del campo `ad.http_agent` cuando el registro está en formato CEF.
`ad.http_method`	`network.http.method`	Valor del campo `ad.http_method` cuando el registro está en formato CEF.
`ad.http_refer`	`network.http.referral_url`	Valor del campo `ad.http_refer` cuando el registro está en formato CEF.
`ad.http_request_bytes`	`network.sent_bytes`	Valor del campo `ad.http_request_bytes` cuando el registro está en formato CEF.
`ad.http_response_bytes`	`network.received_bytes`	Valor del campo `ad.http_response_bytes` cuando el registro está en formato CEF.
`ad.http_retcode`	(sin asignar)	No se asignó al objeto IDM.
`ad.http_url`	(sin asignar)	No se asignó al objeto IDM.
`ad.lanin`	(sin asignar)	No se asignó al objeto IDM.
`ad.lanout`	(sin asignar)	No se asignó al objeto IDM.
`ad.logid`	`metadata.product_log_id`	Valor del campo `ad.logid` cuando el registro está en formato CEF.
`ad.mastersrcmac`	`principal.mac`	Valor del campo `ad.mastersrcmac` cuando el registro está en formato CEF.
`ad.original_src`	(sin asignar)	No se asignó al objeto IDM.
`ad.original_srccountry`	(sin asignar)	No se asignó al objeto IDM.
`ad.poluuid`	(sin asignar)	No se asignó al objeto IDM.
`ad.policyid`	`security_result.rule_id`	Valor del campo `ad.policyid` cuando el registro está en formato CEF.
`ad.policyname`	`security_result.rule_name`	Valor del campo `ad.policyname` cuando el registro está en formato CEF.
`ad.policytype`	`security_result.rule_type`	Valor del campo `ad.policytype` cuando el registro está en formato CEF.
`ad.profile`	`target.resource.name`	Valor del campo `ad.profile` cuando el registro está en formato CEF. También establece `target.resource.resource_type` en `ACCESS_POLICY`.
`ad.proto`	`network.ip_protocol`	Valor del campo `ad.proto` cuando el registro está en formato CEF. Se analizó con el archivo `parse_ip_protocol.include`.
`ad.qclass`	`network.dns.questions.class`	Valor del campo `ad.qclass` cuando el registro está en formato CEF. Se asigna con el archivo `dns_query_class_mapping.include`.
`ad.qname`	`network.dns.questions.name`	Valor del campo `ad.qname` cuando el registro está en formato CEF.
`ad.qtype`	(sin asignar)	No se asignó al objeto IDM.
`ad.qtypeval`	`network.dns.questions.type`	Valor del campo `ad.qtypeval` cuando el registro está en formato CEF.
`ad.rcvddelta`	(sin asignar)	No se asignó al objeto IDM.
`ad.rcvdpkt`	`additional.fields`	Valor del campo `ad.rcvdpkt` cuando el registro está en formato CEF, agregado como un par clave-valor con la clave `receivedPackets`.
`ad.sentdelta`	(sin asignar)	No se asignó al objeto IDM.
`ad.sentpkt`	`additional.fields`	Valor del campo `ad.sentpkt` cuando el registro está en formato CEF, agregado como un par clave-valor con la clave `sentPackets`.
`ad.server_pool_name`	(sin asignar)	No se asignó al objeto IDM.
`ad.sourceTranslatedAddress`	`principal.nat_ip`	Valor del campo `ad.sourceTranslatedAddress` cuando el registro está en formato CEF.
`ad.sourceTranslatedPort`	`principal.nat_port`	Valor del campo `ad.sourceTranslatedPort` cuando el registro está en formato CEF.
`ad.src`	`principal.ip`	Valor del campo `ad.src` cuando el registro está en formato CEF.
`ad.srccountry`	`principal.location.country_or_region`	Valor del campo `ad.srccountry` cuando el registro está en formato CEF.
`ad.srcintf`	`security_result.detection_fields`	Valor del campo `ad.srcintf` cuando el registro está en formato CEF, agregado como un par clave-valor con la clave `srcintf`.
`ad.srcintfrole`	`security_result.detection_fields`	Valor del campo `ad.srcintfrole` cuando el registro está en formato CEF, agregado como un par clave-valor con la clave `srcintfrole`.
`ad.srcmac`	`principal.mac`	Valor del campo `ad.srcmac` cuando el registro está en formato CEF.
`ad.srcserver`	(sin asignar)	No se asignó al objeto IDM.
`ad.spt`	`principal.port`	Valor del campo `ad.spt` cuando el registro está en formato CEF.
`ad.status`	`security_result.summary`	Valor del campo `ad.status` cuando el registro está en formato CEF.
`ad.subtype`	`metadata.product_event_type`	Se usa con `ad.logid` para crear el objeto `metadata.product_event_type` cuando el registro está en formato CEF. También se usa para derivar `metadata.event_type` y para asignar campos específicos para eventos de DNS y HTTP.
`ad.trandisp`	(sin asignar)	No se asignó al objeto IDM.
`ad.tz`	(sin asignar)	No se asignó al objeto IDM.
`ad.utmaction`	`security_result.action`	Valor del campo `ad.utmaction` cuando el registro está en formato CEF. Se usa para derivar `security_result.action` y `security_result.description`.
`ad.user_name`	(sin asignar)	No se asignó al objeto IDM.
`ad.vd`	`principal.administrative_domain`	Valor del campo `ad.vd` cuando el registro está en formato CEF.
`ad.vwlid`	(sin asignar)	No se asignó al objeto IDM.
`ad.wanin`	(sin asignar)	No se asignó al objeto IDM.
`ad.wanout`	(sin asignar)	No se asignó al objeto IDM.
`ad.xid`	(sin asignar)	No se asignó al objeto IDM.
`ad.x509_cert_subject`	(sin asignar)	No se asignó al objeto IDM.
`agent`	(sin asignar)	No se asignó al objeto IDM.
`appid`	`additional.fields`	Valor del campo `appid` cuando el registro no está en formato CEF, agregado como un par clave-valor con la clave `appid`.
`app`	`target.application`	Valor del campo `app` cuando el registro no está en formato CEF. Si el valor es `HTTPS`, `HTTP`, `DNS`, `DHCP` o `SMB`, se asigna a `network.application_protocol`.
`appact`	`additional.fields`	Valor del campo `appact` cuando el registro no está en formato CEF, agregado como un par clave-valor con la clave `appact`.
`appcat`	`additional.fields`	Valor del campo `appcat` cuando el registro no está en formato CEF, agregado como un par clave-valor con la clave `appcat`.
`applist`	`additional.fields`	Valor del campo `applist` cuando el registro no está en formato CEF, agregado como un par clave-valor con la clave `applist`.
`apprisk`	`additional.fields`	Valor del campo `apprisk` cuando el registro no está en formato CEF, agregado como un par clave-valor con la clave `apprisk`.
`cat`	`security_result1.rule_id`	Valor del campo `cat` cuando el registro no está en formato CEF.
`catdesc`	`security_result.description`	Valor del campo `catdesc` cuando el registro no está en formato CEF. Solo se usa si `catdesc` no está vacío.
`centralnatid`	(sin asignar)	No se asignó al objeto IDM.
`cipher_suite`	`network.tls.cipher`	Valor del campo `cipher_suite` cuando el registro no está en formato CEF.
`countssl`	(sin asignar)	No se asignó al objeto IDM.
`crlevel`	`security_result.severity`	Valor del campo `crlevel` cuando el registro no está en formato CEF. Se usa para derivar `security_result.severity`.
`craction`	`security_result.about.labels`	Valor del campo `craction` cuando el registro no está en formato CEF, agregado como un par clave-valor con la clave `craction`.
`create_time`	(sin asignar)	No se asignó al objeto IDM.
`data`	(sin asignar)	Son los datos de registro sin procesar. No se asigna directamente al UDM.
`date`	(sin asignar)	No se asignó al objeto IDM.
`devname`	`principal.hostname`, `principal.asset.hostname`	Valor del campo `devname` cuando el registro no está en formato CEF.
`devid`	(sin asignar)	No se asignó al objeto IDM.
`devtype`	(sin asignar)	No se asignó al objeto IDM.
`direction`	`network.direction`	Valor del campo `direction` cuando el registro no está en formato CEF. Si es `incoming` o `inbound`, entonces `INBOUND`. Si es `outgoing` o `outbound`, entonces `OUTBOUND`.
`dpt`	`target.port`	Valor del campo `dpt` cuando el registro está en formato CEF.
`dstip`	`target.ip`, `target.asset.ip`	Valor del campo `dstip` cuando el registro no está en formato CEF.
`dstintf`	`security_result.detection_fields`	Valor del campo `dstintf` cuando el registro no está en formato CEF, agregado como un par clave-valor con la clave `dstintf`.
`dstintfrole`	`security_result.detection_fields`	Valor del campo `dstintfrole` cuando el registro no está en formato CEF, agregado como un par clave-valor con la clave `dstintfrole`.
`dstport`	`target.port`	Valor del campo `dstport` cuando el registro no está en formato CEF.
`dstregion`	`target.location.state`	Valor del campo `dstregion` cuando el registro no está en formato CEF.
`dstuuid`	`target.user.product_object_id`	Valor del campo `dstuuid` cuando el registro no está en formato CEF.
`duration`	`network.session_duration.seconds`	Valor del campo `duration` cuando el registro no está en formato CEF.
`dstcity`	`target.location.city`	Valor del campo `dstcity` cuando el registro no está en formato CEF.
`dstcountry`	`target.location.country_or_region`	Valor del campo `dstcountry` cuando el registro no está en formato CEF.
`dstmac`	`target.mac`	Valor del campo `dstmac` cuando el registro no está en formato CEF.
`eventtime`	`metadata.event_timestamp`	Valor del campo `eventtime` cuando el registro no está en formato CEF. El valor se reduce de microsegundos a segundos.
`eventtype`	`security_result2.rule_type`	Valor del campo `eventtype` cuando el registro no está en formato CEF.
`externalID`	(sin asignar)	No se asignó al objeto IDM.
`group`	`principal.user.group_identifiers`	Valor del campo `group` cuando el registro no está en formato CEF.
`hostname`	`target.hostname`, `target.asset.hostname`	Valor del campo `hostname` cuando el registro no está en formato CEF.
`http_agent`	`network.http.parsed_user_agent`	Valor del campo `http_agent` cuando el registro no está en formato CEF. Se convierte en un objeto de usuario-agente analizado.
`http_method`	`network.http.method`	Valor del campo `http_method` cuando el registro no está en formato CEF.
`http_refer`	`network.http.referral_url`	Valor del campo `http_refer` cuando el registro no está en formato CEF.
`http_request_bytes`	`network.sent_bytes`	Valor del campo `http_request_bytes` cuando el registro no está en formato CEF.
`http_response_bytes`	`network.received_bytes`	Valor del campo `http_response_bytes` cuando el registro no está en formato CEF.
`httpmethod`	`network.http.method`	Valor del campo `httpmethod` cuando el registro no está en formato CEF.
`in`	`network.received_bytes`	Valor del campo `in` cuando el registro está en formato CEF.
`incidentserialno`	(sin asignar)	No se asignó al objeto IDM.
`lanin`	(sin asignar)	No se asignó al objeto IDM.
`lanout`	(sin asignar)	No se asignó al objeto IDM.
`level`	`security_result.severity`, `security_result.severity_details`	Valor del campo `level` cuando el registro no está en formato CEF. Se usa para derivar `security_result.severity`. Si es `error` o `warning`, entonces `HIGH`. Si es `notice`, entonces `MEDIUM`. Si es `information` o `info`, entonces `LOW`. También establece `security_result.severity_details` en `level:` + `level`.
`locip`	`principal.ip`, `principal.asset.ip`	Valor del campo `locip` cuando el registro no está en formato CEF.
`logdesc`	`metadata.description`	Valor del campo `logdesc` cuando el registro no está en formato CEF.
`logid`	`metadata.product_log_id`	Valor del campo `logid` cuando el registro no está en formato CEF.
`logver`	(sin asignar)	No se asignó al objeto IDM.
`mastersrcmac`	`principal.mac`	Valor del campo `mastersrcmac` cuando el registro no está en formato CEF.
`method`	(sin asignar)	No se asignó al objeto IDM.
`msg`	`metadata.description`	Valor del campo `msg` cuando el registro no está en formato CEF. También se usa para `security_result.description` si `catdesc` está vacío.
`out`	`network.sent_bytes`	Valor del campo `out` cuando el registro está en formato CEF.
`outintf`	(sin asignar)	No se asignó al objeto IDM.
`policyid`	`security_result.rule_id`	Valor del campo `policyid` cuando el registro no está en formato CEF.
`policyname`	`security_result.rule_name`	Valor del campo `policyname` cuando el registro no está en formato CEF.
`policytype`	`security_result.rule_type`	Valor del campo `policytype` cuando el registro no está en formato CEF.
`poluuid`	(sin asignar)	No se asignó al objeto IDM.
`profile`	`target.resource.name`	Valor del campo `profile` cuando el registro no está en formato CEF. También establece `target.resource.resource_type` en `ACCESS_POLICY`.
`proto`	`network.ip_protocol`	Valor del campo `proto` cuando el registro no está en formato CEF. Se analizó con el archivo `parse_ip_protocol.include`.
`qclass`	`network.dns.questions.class`	Valor del campo `qclass` cuando el registro no está en formato CEF. Se asigna con el archivo `dns_query_class_mapping.include`.
`qname`	`network.dns.questions.name`	Valor del campo `qname` cuando el registro no está en formato CEF.
`reason`	`security_result.description`	Valor del campo `reason` cuando el registro no está en formato CEF. Solo se usa si `reason` no es `N/A` y no está vacío.
`rcvdbyte`	`network.received_bytes`	Valor del campo `rcvdbyte` cuando el registro no está en formato CEF.
`rcvdpkt`	`additional.fields`	Valor del campo `rcvdpkt` cuando el registro no está en formato CEF, agregado como un par clave-valor con la clave `receivedPackets`.
`remip`	`target.ip`, `target.asset.ip`	Valor del campo `remip` cuando el registro no está en formato CEF.
`remport`	(sin asignar)	No se asignó al objeto IDM.
`reqtype`	(sin asignar)	No se asignó al objeto IDM.
`sentbyte`	`network.sent_bytes`	Valor del campo `sentbyte` cuando el registro no está en formato CEF.
`sentpkt`	`additional.fields`	Valor del campo `sentpkt` cuando el registro no está en formato CEF, agregado como un par clave-valor con la clave `sentPackets`.
`service`	`network.application_protocol`, `target.application`	Valor del campo `service` cuando el registro no está en formato CEF. Se analizó con el archivo `parse_app_protocol.include`. Si el resultado del analizador no está vacío, se asigna a `network.application_protocol`. De lo contrario, el valor original se asigna a `target.application`.
`sessionid`	`network.session_id`	Valor del campo `sessionid` cuando el registro no está en formato CEF.
`sn`	(sin asignar)	No se asignó al objeto IDM.
`sourceTranslatedAddress`	`principal.nat_ip`	Valor del campo `sourceTranslatedAddress` cuando el registro está en formato CEF.
`sourceTranslatedPort`	`principal.nat_port`	Valor del campo `sourceTranslatedPort` cuando el registro está en formato CEF.
`spt`	`principal.port`	Valor del campo `spt` cuando el registro está en formato CEF.
`src`	`principal.ip`	Valor del campo `src` cuando el registro está en formato CEF.
`srcip`	`principal.ip`, `principal.asset.ip`	Valor del campo `srcip` cuando el registro no está en formato CEF.
`srcintf`	`security_result.detection_fields`	Valor del campo `srcintf` cuando el registro no está en formato CEF, agregado como un par clave-valor con la clave `srcintf`.
`srcintfrole`	`security_result.detection_fields`	Valor del campo `srcintfrole` cuando el registro no está en formato CEF, agregado como un par clave-valor con la clave `srcintfrole`.
`srcmac`	`principal.mac`	Valor del campo `srcmac` cuando el registro no está en formato CEF. Los guiones se reemplazan por dos puntos.
`srcport`	`principal.port`	Valor del campo `srcport` cuando el registro no está en formato CEF.
`srccountry`	`principal.location.country_or_region`	Valor del campo `srccountry` cuando el registro no está en formato CEF. Solo se asigna si no es `Reserved` y no está vacío.
`srcuuid`	`principal.user.product_object_id`	Valor del campo `srcuuid` cuando el registro no está en formato CEF.
`srcserver`	(sin asignar)	No se asignó al objeto IDM.
`start`	(sin asignar)	No se asignó al objeto IDM.
`status`	`security_result.summary`	Valor del campo `status` cuando el registro no está en formato CEF.
`subtype`	`metadata.product_event_type`	Se usa con `type` para crear el `metadata.product_event_type` cuando el registro no está en formato CEF. También se usa para derivar `metadata.event_type` y para asignar campos específicos para eventos de DNS y HTTP.
`time`	(sin asignar)	No se asignó al objeto IDM.
`timestamp`	`metadata.event_timestamp`	Valor del campo `timestamp`.
`trandisp`	(sin asignar)	No se asignó al objeto IDM.
`transip`	(sin asignar)	No se asignó al objeto IDM.
`transport`	(sin asignar)	No se asignó al objeto IDM.
`type`	`metadata.product_event_type`	Se usa con `subtype` para crear el `metadata.product_event_type` cuando el registro no está en formato CEF. También se usa para derivar `metadata.event_type`.
`tz`	(sin asignar)	No se asignó al objeto IDM.
`ui`	(sin asignar)	No se asignó al objeto IDM.
`url`	`target.url`	Valor del campo `url` cuando el registro no está en formato CEF.
`user`	`principal.user.userid`	Valor del campo `user` cuando el registro no está en formato CEF. Solo se asigna si no es `N/A` y no está vacío.
`utmaction`	`security_result.action`, `security_result2.action_details`	Valor del campo `utmaction` cuando el registro no está en formato CEF. Se usa para derivar `security_result.action` y `security_result.description`.
`utmaction`	`security_result.action`	Es derivado. Si `utmaction` es `accept`, `allow`, `passthrough`, `pass`, `permit` o `detected`, entonces `ALLOW`. Si es `deny`, `dropped`, `blocked` o `block`, entonces `BLOCK`. En caso contrario, `UNKNOWN_ACTION`.
`utmaction`	`security_result.description`	Es derivado. Se establece en `UTMAction:` + `security_result.action` derivado si `action1` está vacío.
`utmevent`	(sin asignar)	No se asignó al objeto IDM.
`vd`	`principal.administrative_domain`	Valor del campo `vd` cuando el registro no está en formato CEF.
`vpntunnel`	(sin asignar)	No se asignó al objeto IDM.
`wanin`	(sin asignar)	No se asignó al objeto IDM.
`wanout`	(sin asignar)	No se asignó al objeto IDM.
N/A (lógica del analizador)	`about.asset.asset_id`	Es derivado. Se establece en `Fortinet.` + `product_name` + `:` + `deviceExternalId` cuando el registro está en formato CEF.
N/A (lógica del analizador)	`about.hostname`	Es derivado. Se establece en `auth0` cuando el registro está en formato CEF.
N/A (lógica del analizador)	`extensions.auth`	Es derivado. Se crea un objeto vacío cuando `metadata.event_type` es `USER_LOGIN`.
N/A (lógica del analizador)	`extensions.auth.type`	Es derivado. Se establece en `AUTHTYPE_UNSPECIFIED` cuando `metadata.event_type` es `USER_LOGIN`.
N/A (lógica del analizador)	`metadata.event_type`	Se deriva en función de varios campos de registro y la lógica dentro del analizador. Puede ser `NETWORK_CONNECTION`, `STATUS_UPDATE`, `GENERIC_EVENT`, `NETWORK_DNS`, `NETWORK_HTTP`, `USER_LOGIN`, `USER_LOGOUT` o `NETWORK_UNCATEGORIZED`.
N/A (lógica del analizador)	`metadata.log_type`	Es derivado. Se define en `FORTINET_FORTIANALYZER`.
N/A (lógica del analizador)	`metadata.product_event_type`	Es derivado. Se establece en `type` + `-` + `subtype`.
N/A (lógica del analizador)	`metadata.product_name`	Es derivado. Se establece en `Fortianalyzer` o se extrae del mensaje de CEF.
N/A (lógica del analizador)	`metadata.product_version`	Se extrae del mensaje de CEF.
N/A (lógica del analizador)	`metadata.vendor_name`	Es derivado. Se define en `Fortinet`.
N/A (lógica del analizador)	`network.application_protocol`	Se deriva de los campos `service` o `app` con el archivo `parse_app_protocol.include`, o se establece en `DNS` para los eventos de DNS. También se establece en función de `ad.app` si es uno de los siguientes: `HTTPS`, `HTTP`, `DNS`, `DHCP` o `SMB`.
N/A (lógica del analizador)	`network.dns.questions`	Es derivado. Es un array de objetos de preguntas, cada uno con los campos `name`, `type` y `class`, completados para los eventos de DNS.
N/A (lógica del analizador)	`network.http.parsed_user_agent`	Se deriva del campo `http_agent` convirtiéndolo en un objeto de usuario-agente analizado.
N/A (lógica del analizador)	`network.ip_protocol`	Se deriva del campo `proto` con el archivo `parse_ip_protocol.include`.
N/A (lógica del analizador)	`principal.administrative_domain`	Valor del campo `vd`.
N/A (lógica del analizador)	`principal.asset.ip`	Se copió desde `principal.ip`.
N/A (lógica del analizador)	`principal.asset.hostname`	Se copió desde `principal.hostname`.
N/A (lógica del analizador)	`security_result.about.labels`	Es un array de pares clave-valor, propagado con `craction` si está presente.
N/A (lógica del analizador)	`security_result.action`	Se deriva de `action` o `utmaction`.
N/A (lógica del analizador)	`security_result.description`	Se deriva de `action`, `utmaction`, `msg`, `catdesc` o `reason`, según los campos disponibles y el formato de registro.
N/A (lógica del analizador)	`security_result.severity`	Se deriva de `crlevel` o `level`.
N/A (lógica del analizador)	`security_result.severity_details`	Es derivado. Se establece en `level:` + `level`.
N/A (lógica del analizador)	`security_result.detection_fields`	Es un array de pares clave-valor, completado con `srcintf`, `srcintfrole`, `dstintf` y `dstintfrole` si están presentes.
N/A (lógica del analizador)	`target.asset.ip`	Se copió desde `target.ip`.
N/A (lógica del analizador)	`target.asset.hostname`	Se copió desde `target.hostname`.
N/A (lógica del analizador)	`target.resource.resource_type`	Es derivado. Se establece en `ACCESS_POLICY` cuando está presente el campo `profile`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.