Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Fortinet FortiAnalyzer

Supportato in:

Google secops SIEM

Questo documento spiega come raccogliere e importare i log di Fortinet FortiAnalyzer in Google Security Operations utilizzando Bindplane. Il parser trasforma i log in formato UDM. Gestisce i messaggi formattati in formato CEF e chiave-valore, estrae i campi, esegue trasformazioni dei dati (come la conversione dei timestamp e l'arricchimento dei protocolli IP) e li mappa ai campi UDM appropriati in base al tipo e al sottotipo di evento. Il parser include anche una logica specifica per la gestione di connessioni di rete, query DNS, richieste HTTP e vari eventi di sicurezza, arricchendo UDM con dettagli come protocolli applicativi, informazioni utente e risultati di sicurezza.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso privilegiato a Fortinet FortiAnalyzer.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: FORTINET_FORTIANALYZER
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog su Fortinet FortiAnalyzer

Accedi a FortiAnalyzer.
Attiva la modalità CLI.

Esegui questi comandi:

config system syslog
  edit NAME
    set ip IP_ADDRESS
    set port PORT
    set reliable enable or disable
  next
end

Aggiorna i seguenti campi:
- NAME: il nome del server syslog.
- IP_ADDRESS: inserisci l'indirizzo IPv4 dell'agente Bindplane.
- PORT: inserisci il numero di porta per l'agente Bindplane, ad esempio 514.
- enable or disable: se imposti il valore di reliable su enable, l'invio avviene come TCP; se imposti il valore di reliable su disable, l'invio avviene come UDP.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`act`	`security_result.action_details`	Valore del campo `act` quando il log è in formato CEF.
`action`	`security_result.action_details`	Valore del campo `action` quando il log non è in formato CEF. Utilizzato per derivare `security_result.action` e `security_result.description`.
`action`	`security_result.action`	Derivato. Se `action` è `accept`, `passthrough`, `pass`, `permit`, `detected` o `login`, allora `ALLOW`. Se `deny`, `dropped`, `blocked` o `close`, allora `BLOCK`. Se `timeout`, allora `FAIL`. Altrimenti, `UNKNOWN_ACTION`.
`action`	`security_result.description`	Derivato. Impostato su `Action:` + `security_result.action` derivato.
`ad.app`	`target.application`	Valore del campo `ad.app` quando il log è in formato CEF. Se il valore è `HTTPS`, `HTTP`, `DNS`, `DHCP` o `SMB`, viene mappato a `network.application_protocol`.
`ad.appact`	`additional.fields`	Valore del campo `ad.appact` quando il log è in formato CEF, aggiunto come coppia chiave-valore con la chiave `appact`.
`ad.appcat`	`additional.fields`	Valore del campo `ad.appcat` quando il log è in formato CEF, aggiunto come coppia chiave-valore con la chiave `appcat`.
`ad.appid`	`additional.fields`	Valore del campo `ad.appid` quando il log è in formato CEF, aggiunto come coppia chiave-valore con la chiave `appid`.
`ad.applist`	`additional.fields`	Valore del campo `ad.applist` quando il log è in formato CEF, aggiunto come coppia chiave-valore con la chiave `applist`.
`ad.apprisk`	`additional.fields`	Valore del campo `ad.apprisk` quando il log è in formato CEF, aggiunto come coppia chiave-valore con la chiave `apprisk`.
`ad.cipher_suite`	`network.tls.cipher`	Valore del campo `ad.cipher_suite` quando il log è in formato CEF.
`ad.countapp`	(non mappato)	Non mappato all'oggetto IDM.
`ad.countweb`	(non mappato)	Non mappato all'oggetto IDM.
`ad.dstcity`	`target.location.city`	Valore del campo `ad.dstcity` quando il log è in formato CEF.
`ad.dstcountry`	`target.location.country_or_region`	Valore del campo `ad.dstcountry` quando il log è in formato CEF.
`ad.dstintf`	`security_result.detection_fields`	Valore del campo `ad.dstintf` quando il log è in formato CEF, aggiunto come coppia chiave-valore con la chiave `dstintf`.
`ad.dstintfrole`	`security_result.detection_fields`	Valore del campo `ad.dstintfrole` quando il log è in formato CEF, aggiunto come coppia chiave-valore con la chiave `dstintfrole`.
`ad.dstregion`	`target.location.state`	Valore del campo `ad.dstregion` quando il log è in formato CEF.
`ad.duration`	`network.session_duration.seconds`	Valore del campo `ad.duration` quando il log è in formato CEF.
`ad.eventtime`	`metadata.event_timestamp`	Valore del campo `ad.eventtime` quando il log è in formato CEF.
`ad.http_agent`	`network.http.parsed_user_agent`	Valore del campo `ad.http_agent` quando il log è in formato CEF.
`ad.http_method`	`network.http.method`	Valore del campo `ad.http_method` quando il log è in formato CEF.
`ad.http_refer`	`network.http.referral_url`	Valore del campo `ad.http_refer` quando il log è in formato CEF.
`ad.http_request_bytes`	`network.sent_bytes`	Valore del campo `ad.http_request_bytes` quando il log è in formato CEF.
`ad.http_response_bytes`	`network.received_bytes`	Valore del campo `ad.http_response_bytes` quando il log è in formato CEF.
`ad.http_retcode`	(non mappato)	Non mappato all'oggetto IDM.
`ad.http_url`	(non mappato)	Non mappato all'oggetto IDM.
`ad.lanin`	(non mappato)	Non mappato all'oggetto IDM.
`ad.lanout`	(non mappato)	Non mappato all'oggetto IDM.
`ad.logid`	`metadata.product_log_id`	Valore del campo `ad.logid` quando il log è in formato CEF.
`ad.mastersrcmac`	`principal.mac`	Valore del campo `ad.mastersrcmac` quando il log è in formato CEF.
`ad.original_src`	(non mappato)	Non mappato all'oggetto IDM.
`ad.original_srccountry`	(non mappato)	Non mappato all'oggetto IDM.
`ad.poluuid`	(non mappato)	Non mappato all'oggetto IDM.
`ad.policyid`	`security_result.rule_id`	Valore del campo `ad.policyid` quando il log è in formato CEF.
`ad.policyname`	`security_result.rule_name`	Valore del campo `ad.policyname` quando il log è in formato CEF.
`ad.policytype`	`security_result.rule_type`	Valore del campo `ad.policytype` quando il log è in formato CEF.
`ad.profile`	`target.resource.name`	Valore del campo `ad.profile` quando il log è in formato CEF. Imposta anche `target.resource.resource_type` su `ACCESS_POLICY`.
`ad.proto`	`network.ip_protocol`	Valore del campo `ad.proto` quando il log è in formato CEF. Analizzato utilizzando il file `parse_ip_protocol.include`.
`ad.qclass`	`network.dns.questions.class`	Valore del campo `ad.qclass` quando il log è in formato CEF. Mappato utilizzando il file `dns_query_class_mapping.include`.
`ad.qname`	`network.dns.questions.name`	Valore del campo `ad.qname` quando il log è in formato CEF.
`ad.qtype`	(non mappato)	Non mappato all'oggetto IDM.
`ad.qtypeval`	`network.dns.questions.type`	Valore del campo `ad.qtypeval` quando il log è in formato CEF.
`ad.rcvddelta`	(non mappato)	Non mappato all'oggetto IDM.
`ad.rcvdpkt`	`additional.fields`	Valore del campo `ad.rcvdpkt` quando il log è in formato CEF, aggiunto come coppia chiave-valore con la chiave `receivedPackets`.
`ad.sentdelta`	(non mappato)	Non mappato all'oggetto IDM.
`ad.sentpkt`	`additional.fields`	Valore del campo `ad.sentpkt` quando il log è in formato CEF, aggiunto come coppia chiave-valore con la chiave `sentPackets`.
`ad.server_pool_name`	(non mappato)	Non mappato all'oggetto IDM.
`ad.sourceTranslatedAddress`	`principal.nat_ip`	Valore del campo `ad.sourceTranslatedAddress` quando il log è in formato CEF.
`ad.sourceTranslatedPort`	`principal.nat_port`	Valore del campo `ad.sourceTranslatedPort` quando il log è in formato CEF.
`ad.src`	`principal.ip`	Valore del campo `ad.src` quando il log è in formato CEF.
`ad.srccountry`	`principal.location.country_or_region`	Valore del campo `ad.srccountry` quando il log è in formato CEF.
`ad.srcintf`	`security_result.detection_fields`	Valore del campo `ad.srcintf` quando il log è in formato CEF, aggiunto come coppia chiave-valore con la chiave `srcintf`.
`ad.srcintfrole`	`security_result.detection_fields`	Valore del campo `ad.srcintfrole` quando il log è in formato CEF, aggiunto come coppia chiave-valore con la chiave `srcintfrole`.
`ad.srcmac`	`principal.mac`	Valore del campo `ad.srcmac` quando il log è in formato CEF.
`ad.srcserver`	(non mappato)	Non mappato all'oggetto IDM.
`ad.spt`	`principal.port`	Valore del campo `ad.spt` quando il log è in formato CEF.
`ad.status`	`security_result.summary`	Valore del campo `ad.status` quando il log è in formato CEF.
`ad.subtype`	`metadata.product_event_type`	Utilizzato con `ad.logid` per creare `metadata.product_event_type` quando il log è in formato CEF. Utilizzato anche per derivare `metadata.event_type` e per mappare campi specifici per eventi DNS e HTTP.
`ad.trandisp`	(non mappato)	Non mappato all'oggetto IDM.
`ad.tz`	(non mappato)	Non mappato all'oggetto IDM.
`ad.utmaction`	`security_result.action`	Valore del campo `ad.utmaction` quando il log è in formato CEF. Utilizzato per derivare `security_result.action` e `security_result.description`.
`ad.user_name`	(non mappato)	Non mappato all'oggetto IDM.
`ad.vd`	`principal.administrative_domain`	Valore del campo `ad.vd` quando il log è in formato CEF.
`ad.vwlid`	(non mappato)	Non mappato all'oggetto IDM.
`ad.wanin`	(non mappato)	Non mappato all'oggetto IDM.
`ad.wanout`	(non mappato)	Non mappato all'oggetto IDM.
`ad.xid`	(non mappato)	Non mappato all'oggetto IDM.
`ad.x509_cert_subject`	(non mappato)	Non mappato all'oggetto IDM.
`agent`	(non mappato)	Non mappato all'oggetto IDM.
`appid`	`additional.fields`	Valore del campo `appid` quando il log non è in formato CEF, aggiunto come coppia chiave-valore con chiave `appid`.
`app`	`target.application`	Valore del campo `app` quando il log non è in formato CEF. Se il valore è `HTTPS`, `HTTP`, `DNS`, `DHCP` o `SMB`, viene mappato a `network.application_protocol`.
`appact`	`additional.fields`	Valore del campo `appact` quando il log non è in formato CEF, aggiunto come coppia chiave-valore con chiave `appact`.
`appcat`	`additional.fields`	Valore del campo `appcat` quando il log non è in formato CEF, aggiunto come coppia chiave-valore con chiave `appcat`.
`applist`	`additional.fields`	Valore del campo `applist` quando il log non è in formato CEF, aggiunto come coppia chiave-valore con chiave `applist`.
`apprisk`	`additional.fields`	Valore del campo `apprisk` quando il log non è in formato CEF, aggiunto come coppia chiave-valore con chiave `apprisk`.
`cat`	`security_result1.rule_id`	Valore del campo `cat` quando il log non è in formato CEF.
`catdesc`	`security_result.description`	Valore del campo `catdesc` quando il log non è in formato CEF. Utilizzato solo se `catdesc` non è vuoto.
`centralnatid`	(non mappato)	Non mappato all'oggetto IDM.
`cipher_suite`	`network.tls.cipher`	Valore del campo `cipher_suite` quando il log non è in formato CEF.
`countssl`	(non mappato)	Non mappato all'oggetto IDM.
`crlevel`	`security_result.severity`	Valore del campo `crlevel` quando il log non è in formato CEF. Utilizzato per derivare `security_result.severity`.
`craction`	`security_result.about.labels`	Valore del campo `craction` quando il log non è in formato CEF, aggiunto come coppia chiave-valore con chiave `craction`.
`create_time`	(non mappato)	Non mappato all'oggetto IDM.
`data`	(non mappato)	I dati dei log non elaborati. Non mappato direttamente a UDM.
`date`	(non mappato)	Non mappato all'oggetto IDM.
`devname`	`principal.hostname`, `principal.asset.hostname`	Valore del campo `devname` quando il log non è in formato CEF.
`devid`	(non mappato)	Non mappato all'oggetto IDM.
`devtype`	(non mappato)	Non mappato all'oggetto IDM.
`direction`	`network.direction`	Valore del campo `direction` quando il log non è in formato CEF. Se `incoming` o `inbound`, allora `INBOUND`. Se `outgoing` o `outbound`, allora `OUTBOUND`.
`dpt`	`target.port`	Valore del campo `dpt` quando il log è in formato CEF.
`dstip`	`target.ip`, `target.asset.ip`	Valore del campo `dstip` quando il log non è in formato CEF.
`dstintf`	`security_result.detection_fields`	Valore del campo `dstintf` quando il log non è in formato CEF, aggiunto come coppia chiave-valore con chiave `dstintf`.
`dstintfrole`	`security_result.detection_fields`	Valore del campo `dstintfrole` quando il log non è in formato CEF, aggiunto come coppia chiave-valore con chiave `dstintfrole`.
`dstport`	`target.port`	Valore del campo `dstport` quando il log non è in formato CEF.
`dstregion`	`target.location.state`	Valore del campo `dstregion` quando il log non è in formato CEF.
`dstuuid`	`target.user.product_object_id`	Valore del campo `dstuuid` quando il log non è in formato CEF.
`duration`	`network.session_duration.seconds`	Valore del campo `duration` quando il log non è in formato CEF.
`dstcity`	`target.location.city`	Valore del campo `dstcity` quando il log non è in formato CEF.
`dstcountry`	`target.location.country_or_region`	Valore del campo `dstcountry` quando il log non è in formato CEF.
`dstmac`	`target.mac`	Valore del campo `dstmac` quando il log non è in formato CEF.
`eventtime`	`metadata.event_timestamp`	Valore del campo `eventtime` quando il log non è in formato CEF. Il valore viene ridotto da microsecondi a secondi.
`eventtype`	`security_result2.rule_type`	Valore del campo `eventtype` quando il log non è in formato CEF.
`externalID`	(non mappato)	Non mappato all'oggetto IDM.
`group`	`principal.user.group_identifiers`	Valore del campo `group` quando il log non è in formato CEF.
`hostname`	`target.hostname`, `target.asset.hostname`	Valore del campo `hostname` quando il log non è in formato CEF.
`http_agent`	`network.http.parsed_user_agent`	Valore del campo `http_agent` quando il log non è in formato CEF. Convertito in un oggetto user agent analizzato.
`http_method`	`network.http.method`	Valore del campo `http_method` quando il log non è in formato CEF.
`http_refer`	`network.http.referral_url`	Valore del campo `http_refer` quando il log non è in formato CEF.
`http_request_bytes`	`network.sent_bytes`	Valore del campo `http_request_bytes` quando il log non è in formato CEF.
`http_response_bytes`	`network.received_bytes`	Valore del campo `http_response_bytes` quando il log non è in formato CEF.
`httpmethod`	`network.http.method`	Valore del campo `httpmethod` quando il log non è in formato CEF.
`in`	`network.received_bytes`	Valore del campo `in` quando il log è in formato CEF.
`incidentserialno`	(non mappato)	Non mappato all'oggetto IDM.
`lanin`	(non mappato)	Non mappato all'oggetto IDM.
`lanout`	(non mappato)	Non mappato all'oggetto IDM.
`level`	`security_result.severity`, `security_result.severity_details`	Valore del campo `level` quando il log non è in formato CEF. Utilizzato per derivare `security_result.severity`. Se `error` o `warning`, allora `HIGH`. Se `notice`, allora `MEDIUM`. Se `information` o `info`, allora `LOW`. Imposta anche `security_result.severity_details` su `level:` + `level`.
`locip`	`principal.ip`, `principal.asset.ip`	Valore del campo `locip` quando il log non è in formato CEF.
`logdesc`	`metadata.description`	Valore del campo `logdesc` quando il log non è in formato CEF.
`logid`	`metadata.product_log_id`	Valore del campo `logid` quando il log non è in formato CEF.
`logver`	(non mappato)	Non mappato all'oggetto IDM.
`mastersrcmac`	`principal.mac`	Valore del campo `mastersrcmac` quando il log non è in formato CEF.
`method`	(non mappato)	Non mappato all'oggetto IDM.
`msg`	`metadata.description`	Valore del campo `msg` quando il log non è in formato CEF. Utilizzato anche per `security_result.description` se `catdesc` è vuoto.
`out`	`network.sent_bytes`	Valore del campo `out` quando il log è in formato CEF.
`outintf`	(non mappato)	Non mappato all'oggetto IDM.
`policyid`	`security_result.rule_id`	Valore del campo `policyid` quando il log non è in formato CEF.
`policyname`	`security_result.rule_name`	Valore del campo `policyname` quando il log non è in formato CEF.
`policytype`	`security_result.rule_type`	Valore del campo `policytype` quando il log non è in formato CEF.
`poluuid`	(non mappato)	Non mappato all'oggetto IDM.
`profile`	`target.resource.name`	Valore del campo `profile` quando il log non è in formato CEF. Imposta anche `target.resource.resource_type` su `ACCESS_POLICY`.
`proto`	`network.ip_protocol`	Valore del campo `proto` quando il log non è in formato CEF. Analizzato utilizzando il file `parse_ip_protocol.include`.
`qclass`	`network.dns.questions.class`	Valore del campo `qclass` quando il log non è in formato CEF. Mappato utilizzando il file `dns_query_class_mapping.include`.
`qname`	`network.dns.questions.name`	Valore del campo `qname` quando il log non è in formato CEF.
`reason`	`security_result.description`	Valore del campo `reason` quando il log non è in formato CEF. Utilizzato solo se `reason` non è `N/A` e non è vuoto.
`rcvdbyte`	`network.received_bytes`	Valore del campo `rcvdbyte` quando il log non è in formato CEF.
`rcvdpkt`	`additional.fields`	Valore del campo `rcvdpkt` quando il log non è in formato CEF, aggiunto come coppia chiave-valore con chiave `receivedPackets`.
`remip`	`target.ip`, `target.asset.ip`	Valore del campo `remip` quando il log non è in formato CEF.
`remport`	(non mappato)	Non mappato all'oggetto IDM.
`reqtype`	(non mappato)	Non mappato all'oggetto IDM.
`sentbyte`	`network.sent_bytes`	Valore del campo `sentbyte` quando il log non è in formato CEF.
`sentpkt`	`additional.fields`	Valore del campo `sentpkt` quando il log non è in formato CEF, aggiunto come coppia chiave-valore con chiave `sentPackets`.
`service`	`network.application_protocol`, `target.application`	Valore del campo `service` quando il log non è in formato CEF. Analizzato utilizzando il file `parse_app_protocol.include`. Se l'output del parser non è vuoto, viene mappato a `network.application_protocol`. In caso contrario, il valore originale viene mappato a `target.application`.
`sessionid`	`network.session_id`	Valore del campo `sessionid` quando il log non è in formato CEF.
`sn`	(non mappato)	Non mappato all'oggetto IDM.
`sourceTranslatedAddress`	`principal.nat_ip`	Valore del campo `sourceTranslatedAddress` quando il log è in formato CEF.
`sourceTranslatedPort`	`principal.nat_port`	Valore del campo `sourceTranslatedPort` quando il log è in formato CEF.
`spt`	`principal.port`	Valore del campo `spt` quando il log è in formato CEF.
`src`	`principal.ip`	Valore del campo `src` quando il log è in formato CEF.
`srcip`	`principal.ip`, `principal.asset.ip`	Valore del campo `srcip` quando il log non è in formato CEF.
`srcintf`	`security_result.detection_fields`	Valore del campo `srcintf` quando il log non è in formato CEF, aggiunto come coppia chiave-valore con chiave `srcintf`.
`srcintfrole`	`security_result.detection_fields`	Valore del campo `srcintfrole` quando il log non è in formato CEF, aggiunto come coppia chiave-valore con chiave `srcintfrole`.
`srcmac`	`principal.mac`	Valore del campo `srcmac` quando il log non è in formato CEF. I trattini vengono sostituiti con i due punti.
`srcport`	`principal.port`	Valore del campo `srcport` quando il log non è in formato CEF.
`srccountry`	`principal.location.country_or_region`	Valore del campo `srccountry` quando il log non è in formato CEF. Mappato solo se non è `Reserved` e non è vuoto.
`srcuuid`	`principal.user.product_object_id`	Valore del campo `srcuuid` quando il log non è in formato CEF.
`srcserver`	(non mappato)	Non mappato all'oggetto IDM.
`start`	(non mappato)	Non mappato all'oggetto IDM.
`status`	`security_result.summary`	Valore del campo `status` quando il log non è in formato CEF.
`subtype`	`metadata.product_event_type`	Utilizzato con `type` per creare `metadata.product_event_type` quando il log non è in formato CEF. Utilizzato anche per derivare `metadata.event_type` e per mappare campi specifici per eventi DNS e HTTP.
`time`	(non mappato)	Non mappato all'oggetto IDM.
`timestamp`	`metadata.event_timestamp`	Valore ottenuto dal campo `timestamp`.
`trandisp`	(non mappato)	Non mappato all'oggetto IDM.
`transip`	(non mappato)	Non mappato all'oggetto IDM.
`transport`	(non mappato)	Non mappato all'oggetto IDM.
`type`	`metadata.product_event_type`	Utilizzato con `subtype` per creare `metadata.product_event_type` quando il log non è in formato CEF. Utilizzato anche per derivare `metadata.event_type`.
`tz`	(non mappato)	Non mappato all'oggetto IDM.
`ui`	(non mappato)	Non mappato all'oggetto IDM.
`url`	`target.url`	Valore del campo `url` quando il log non è in formato CEF.
`user`	`principal.user.userid`	Valore del campo `user` quando il log non è in formato CEF. Mappato solo se non è `N/A` e non è vuoto.
`utmaction`	`security_result.action`, `security_result2.action_details`	Valore del campo `utmaction` quando il log non è in formato CEF. Utilizzato per derivare `security_result.action` e `security_result.description`.
`utmaction`	`security_result.action`	Derivato. Se `utmaction` è `accept`, `allow`, `passthrough`, `pass`, `permit` o `detected`, allora `ALLOW`. Se `deny`, `dropped`, `blocked` o `block`, allora `BLOCK`. Altrimenti, `UNKNOWN_ACTION`.
`utmaction`	`security_result.description`	Derivato. Imposta su `UTMAction:` + `security_result.action` derivato se `action1` è vuoto.
`utmevent`	(non mappato)	Non mappato all'oggetto IDM.
`vd`	`principal.administrative_domain`	Valore del campo `vd` quando il log non è in formato CEF.
`vpntunnel`	(non mappato)	Non mappato all'oggetto IDM.
`wanin`	(non mappato)	Non mappato all'oggetto IDM.
`wanout`	(non mappato)	Non mappato all'oggetto IDM.
N/A (Parser Logic)	`about.asset.asset_id`	Derivato. Imposta su `Fortinet.` + `product_name` + `:` + `deviceExternalId` quando il log è in formato CEF.
N/A (Parser Logic)	`about.hostname`	Derivato. Imposta su `auth0` quando il log è in formato CEF.
N/A (Parser Logic)	`extensions.auth`	Derivato. Viene creato un oggetto vuoto quando `metadata.event_type` è `USER_LOGIN`.
N/A (Parser Logic)	`extensions.auth.type`	Derivato. Impostato su `AUTHTYPE_UNSPECIFIED` quando `metadata.event_type` è `USER_LOGIN`.
N/A (Parser Logic)	`metadata.event_type`	Derivato in base a vari campi di log e alla logica all'interno del parser. Può essere `NETWORK_CONNECTION`, `STATUS_UPDATE`, `GENERIC_EVENT`, `NETWORK_DNS`, `NETWORK_HTTP`, `USER_LOGIN`, `USER_LOGOUT` o `NETWORK_UNCATEGORIZED`.
N/A (Parser Logic)	`metadata.log_type`	Derivato. Imposta su `FORTINET_FORTIANALYZER`.
N/A (Parser Logic)	`metadata.product_event_type`	Derivato. Impostato su `type` + `-` + `subtype`.
N/A (Parser Logic)	`metadata.product_name`	Derivato. Impostato su `Fortianalyzer` o estratto dal messaggio CEF.
N/A (Parser Logic)	`metadata.product_version`	Estratto dal messaggio CEF.
N/A (Parser Logic)	`metadata.vendor_name`	Derivato. Imposta su `Fortinet`.
N/A (Parser Logic)	`network.application_protocol`	Derivato dai campi `service` o `app` utilizzando il file `parse_app_protocol.include` oppure impostato su `DNS` per gli eventi DNS. Impostato anche in base a `ad.app` se è uno dei seguenti: `HTTPS`, `HTTP`, `DNS`, `DHCP` o `SMB`.
N/A (Parser Logic)	`network.dns.questions`	Derivato. Un array di oggetti domanda, ognuno con i campi `name`, `type` e `class`, compilati per gli eventi DNS.
N/A (Parser Logic)	`network.http.parsed_user_agent`	Derivato dal campo `http_agent` mediante la conversione in un oggetto user agent analizzato.
N/A (Parser Logic)	`network.ip_protocol`	Derivato dal campo `proto` utilizzando il file `parse_ip_protocol.include`.
N/A (Parser Logic)	`principal.administrative_domain`	Valore ottenuto dal campo `vd`.
N/A (Parser Logic)	`principal.asset.ip`	Copiato da `principal.ip`.
N/A (Parser Logic)	`principal.asset.hostname`	Copiato da `principal.hostname`.
N/A (Parser Logic)	`security_result.about.labels`	Un array di coppie chiave-valore, compilato con `craction`, se presente.
N/A (Parser Logic)	`security_result.action`	Derivato da `action` o `utmaction`.
N/A (Parser Logic)	`security_result.description`	Derivato da `action`, `utmaction`, `msg`, `catdesc` o `reason`, a seconda dei campi disponibili e del formato del log.
N/A (Parser Logic)	`security_result.severity`	Derivato da `crlevel` o `level`.
N/A (Parser Logic)	`security_result.severity_details`	Derivato. Impostato su `level:` + `level`.
N/A (Parser Logic)	`security_result.detection_fields`	Un array di coppie chiave-valore, compilato con `srcintf`, `srcintfrole`, `dstintf` e `dstintfrole`, se presenti.
N/A (Parser Logic)	`target.asset.ip`	Copiato da `target.ip`.
N/A (Parser Logic)	`target.asset.hostname`	Copiato da `target.hostname`.
N/A (Parser Logic)	`target.resource.resource_type`	Derivato. Imposta su `ACCESS_POLICY` quando è presente il campo `profile`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.