Fortinet FortiAnalyzer のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Fortinet FortiAnalyzer ログを収集し、Google Security Operations に取り込む方法について説明します。パーサーはログを UDM 形式に変換します。CEF 形式と Key-Value 形式の両方のメッセージを処理し、フィールドを抽出して、データ変換(タイムスタンプの変換や IP プロトコルの拡充など)を行い、イベントタイプとサブタイプに基づいて適切な UDM フィールドにマッピングします。パーサーには、ネットワーク接続、DNS クエリ、HTTP リクエスト、さまざまなセキュリティ イベントを処理するための特定のロジックも含まれており、アプリケーション プロトコル、ユーザー情報、セキュリティ結果などの詳細で UDM を拡充します。
始める前に
- Google Security Operations インスタンスがあることを確認します。
- Windows 2016 以降、または
systemdを使用する Linux ホストを使用していることを確認します。 - プロキシの背後で実行している場合は、ファイアウォール ポートが開いていることを確認します。
- Fortinet FortiAnalyzer への特権アクセス権があることを確認します。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: FORTINET_FORTIANALYZER raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Fortinet FortiAnalyzer で Syslog を構成する
- FortiAnalyzer にログインします。
- CLI モードを有効にします。
次のコマンドを実行します。
config system syslog edit NAME set ip IP_ADDRESS set port PORT set reliable enable or disable next end次のフィールドを更新します。
NAME: syslog サーバーの名前。IP_ADDRESS: Bindplane エージェントの IPv4 アドレスを入力します。PORT: Bindplane エージェントのポート番号を入力します(例:514)。enable or disable: reliable の値を enable に設定すると TCP で送信され、disable に設定すると UDP で送信されます。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
act |
security_result.action_details |
ログが CEF 形式の場合の act フィールドの値。 |
action |
security_result.action_details |
ログが CEF 形式でない場合の action フィールドの値。security_result.action と security_result.description の派生に使用されます。 |
action |
security_result.action |
派生。action が accept、passthrough、pass、permit、detected、または login の場合、ALLOW。deny、dropped、blocked、close のいずれかの場合、BLOCK。timeout の場合は FAIL。それ以外の場合は UNKNOWN_ACTION。 |
action |
security_result.description |
派生。Action: + 派生した security_result.action に設定します。 |
ad.app |
target.application |
ログが CEF 形式の場合の ad.app フィールドの値。値が HTTPS、HTTP、DNS、DHCP、SMB のいずれかの場合、network.application_protocol にマッピングされます。 |
ad.appact |
additional.fields |
ログが CEF 形式の場合の ad.appact フィールドの値。キー appact の Key-Value ペアとして追加されます。 |
ad.appcat |
additional.fields |
ログが CEF 形式の場合の ad.appcat フィールドの値。キー appcat の Key-Value ペアとして追加されます。 |
ad.appid |
additional.fields |
ログが CEF 形式の場合の ad.appid フィールドの値。キー appid の Key-Value ペアとして追加されます。 |
ad.applist |
additional.fields |
ログが CEF 形式の場合の ad.applist フィールドの値。キー applist の Key-Value ペアとして追加されます。 |
ad.apprisk |
additional.fields |
ログが CEF 形式の場合の ad.apprisk フィールドの値。キー apprisk の Key-Value ペアとして追加されます。 |
ad.cipher_suite |
network.tls.cipher |
ログが CEF 形式の場合の ad.cipher_suite フィールドの値。 |
ad.countapp |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.countweb |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.dstcity |
target.location.city |
ログが CEF 形式の場合の ad.dstcity フィールドの値。 |
ad.dstcountry |
target.location.country_or_region |
ログが CEF 形式の場合の ad.dstcountry フィールドの値。 |
ad.dstintf |
security_result.detection_fields |
ログが CEF 形式の場合の ad.dstintf フィールドの値。キー dstintf の Key-Value ペアとして追加されます。 |
ad.dstintfrole |
security_result.detection_fields |
ログが CEF 形式の場合の ad.dstintfrole フィールドの値。キー dstintfrole の Key-Value ペアとして追加されます。 |
ad.dstregion |
target.location.state |
ログが CEF 形式の場合の ad.dstregion フィールドの値。 |
ad.duration |
network.session_duration.seconds |
ログが CEF 形式の場合の ad.duration フィールドの値。 |
ad.eventtime |
metadata.event_timestamp |
ログが CEF 形式の場合の ad.eventtime フィールドの値。 |
ad.http_agent |
network.http.parsed_user_agent |
ログが CEF 形式の場合の ad.http_agent フィールドの値。 |
ad.http_method |
network.http.method |
ログが CEF 形式の場合の ad.http_method フィールドの値。 |
ad.http_refer |
network.http.referral_url |
ログが CEF 形式の場合の ad.http_refer フィールドの値。 |
ad.http_request_bytes |
network.sent_bytes |
ログが CEF 形式の場合の ad.http_request_bytes フィールドの値。 |
ad.http_response_bytes |
network.received_bytes |
ログが CEF 形式の場合の ad.http_response_bytes フィールドの値。 |
ad.http_retcode |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.http_url |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.lanin |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.lanout |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.logid |
metadata.product_log_id |
ログが CEF 形式の場合の ad.logid フィールドの値。 |
ad.mastersrcmac |
principal.mac |
ログが CEF 形式の場合の ad.mastersrcmac フィールドの値。 |
ad.original_src |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.original_srccountry |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.poluuid |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.policyid |
security_result.rule_id |
ログが CEF 形式の場合の ad.policyid フィールドの値。 |
ad.policyname |
security_result.rule_name |
ログが CEF 形式の場合の ad.policyname フィールドの値。 |
ad.policytype |
security_result.rule_type |
ログが CEF 形式の場合の ad.policytype フィールドの値。 |
ad.profile |
target.resource.name |
ログが CEF 形式の場合の ad.profile フィールドの値。また、target.resource.resource_type を ACCESS_POLICY に設定します。 |
ad.proto |
network.ip_protocol |
ログが CEF 形式の場合の ad.proto フィールドの値。parse_ip_protocol.include ファイルを使用して解析されます。 |
ad.qclass |
network.dns.questions.class |
ログが CEF 形式の場合の ad.qclass フィールドの値。dns_query_class_mapping.include ファイルを使用してマッピングされます。 |
ad.qname |
network.dns.questions.name |
ログが CEF 形式の場合の ad.qname フィールドの値。 |
ad.qtype |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.qtypeval |
network.dns.questions.type |
ログが CEF 形式の場合の ad.qtypeval フィールドの値。 |
ad.rcvddelta |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.rcvdpkt |
additional.fields |
ログが CEF 形式の場合の ad.rcvdpkt フィールドの値。キー receivedPackets の Key-Value ペアとして追加されます。 |
ad.sentdelta |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.sentpkt |
additional.fields |
ログが CEF 形式の場合の ad.sentpkt フィールドの値。キー sentPackets の Key-Value ペアとして追加されます。 |
ad.server_pool_name |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.sourceTranslatedAddress |
principal.nat_ip |
ログが CEF 形式の場合の ad.sourceTranslatedAddress フィールドの値。 |
ad.sourceTranslatedPort |
principal.nat_port |
ログが CEF 形式の場合の ad.sourceTranslatedPort フィールドの値。 |
ad.src |
principal.ip |
ログが CEF 形式の場合の ad.src フィールドの値。 |
ad.srccountry |
principal.location.country_or_region |
ログが CEF 形式の場合の ad.srccountry フィールドの値。 |
ad.srcintf |
security_result.detection_fields |
ログが CEF 形式の場合の ad.srcintf フィールドの値。キー srcintf の Key-Value ペアとして追加されます。 |
ad.srcintfrole |
security_result.detection_fields |
ログが CEF 形式の場合の ad.srcintfrole フィールドの値。キー srcintfrole の Key-Value ペアとして追加されます。 |
ad.srcmac |
principal.mac |
ログが CEF 形式の場合の ad.srcmac フィールドの値。 |
ad.srcserver |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.spt |
principal.port |
ログが CEF 形式の場合の ad.spt フィールドの値。 |
ad.status |
security_result.summary |
ログが CEF 形式の場合の ad.status フィールドの値。 |
ad.subtype |
metadata.product_event_type |
ログが CEF 形式の場合に、ad.logid とともに使用して metadata.product_event_type を作成します。また、metadata.event_type の導出や、DNS イベントと HTTP イベントの特定のフィールドのマッピングにも使用されます。 |
ad.trandisp |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.tz |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.utmaction |
security_result.action |
ログが CEF 形式の場合の ad.utmaction フィールドの値。security_result.action と security_result.description の派生に使用されます。 |
ad.user_name |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.vd |
principal.administrative_domain |
ログが CEF 形式の場合の ad.vd フィールドの値。 |
ad.vwlid |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.wanin |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.wanout |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.xid |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ad.x509_cert_subject |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
agent |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
appid |
additional.fields |
ログが CEF 形式でない場合の appid フィールドの値。キー appid の Key-Value ペアとして追加されます。 |
app |
target.application |
ログが CEF 形式でない場合の app フィールドの値。値が HTTPS、HTTP、DNS、DHCP、SMB のいずれかの場合、network.application_protocol にマッピングされます。 |
appact |
additional.fields |
ログが CEF 形式でない場合の appact フィールドの値。キー appact の Key-Value ペアとして追加されます。 |
appcat |
additional.fields |
ログが CEF 形式でない場合の appcat フィールドの値。キー appcat の Key-Value ペアとして追加されます。 |
applist |
additional.fields |
ログが CEF 形式でない場合の applist フィールドの値。キー applist の Key-Value ペアとして追加されます。 |
apprisk |
additional.fields |
ログが CEF 形式でない場合の apprisk フィールドの値。キー apprisk の Key-Value ペアとして追加されます。 |
cat |
security_result1.rule_id |
ログが CEF 形式でない場合の cat フィールドの値。 |
catdesc |
security_result.description |
ログが CEF 形式でない場合の catdesc フィールドの値。catdesc が空でない場合にのみ使用されます。 |
centralnatid |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
cipher_suite |
network.tls.cipher |
ログが CEF 形式でない場合の cipher_suite フィールドの値。 |
countssl |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
crlevel |
security_result.severity |
ログが CEF 形式でない場合の crlevel フィールドの値。security_result.severity の派生に使用されます。 |
craction |
security_result.about.labels |
ログが CEF 形式でない場合の craction フィールドの値。キー craction の Key-Value ペアとして追加されます。 |
create_time |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
data |
(マッピングされません) | 未加工のログデータ。UDM に直接マッピングされません。 |
date |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
devname |
principal.hostname、principal.asset.hostname |
ログが CEF 形式でない場合の devname フィールドの値。 |
devid |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
devtype |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
direction |
network.direction |
ログが CEF 形式でない場合の direction フィールドの値。incoming または inbound の場合は INBOUND。outgoing または outbound の場合は OUTBOUND。 |
dpt |
target.port |
ログが CEF 形式の場合の dpt フィールドの値。 |
dstip |
target.ip、target.asset.ip |
ログが CEF 形式でない場合の dstip フィールドの値。 |
dstintf |
security_result.detection_fields |
ログが CEF 形式でない場合の dstintf フィールドの値。キー dstintf の Key-Value ペアとして追加されます。 |
dstintfrole |
security_result.detection_fields |
ログが CEF 形式でない場合の dstintfrole フィールドの値。キー dstintfrole の Key-Value ペアとして追加されます。 |
dstport |
target.port |
ログが CEF 形式でない場合の dstport フィールドの値。 |
dstregion |
target.location.state |
ログが CEF 形式でない場合の dstregion フィールドの値。 |
dstuuid |
target.user.product_object_id |
ログが CEF 形式でない場合の dstuuid フィールドの値。 |
duration |
network.session_duration.seconds |
ログが CEF 形式でない場合の duration フィールドの値。 |
dstcity |
target.location.city |
ログが CEF 形式でない場合の dstcity フィールドの値。 |
dstcountry |
target.location.country_or_region |
ログが CEF 形式でない場合の dstcountry フィールドの値。 |
dstmac |
target.mac |
ログが CEF 形式でない場合の dstmac フィールドの値。 |
eventtime |
metadata.event_timestamp |
ログが CEF 形式でない場合の eventtime フィールドの値。値はマイクロ秒から秒に減らされます。 |
eventtype |
security_result2.rule_type |
ログが CEF 形式でない場合の eventtype フィールドの値。 |
externalID |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
group |
principal.user.group_identifiers |
ログが CEF 形式でない場合の group フィールドの値。 |
hostname |
target.hostname、target.asset.hostname |
ログが CEF 形式でない場合の hostname フィールドの値。 |
http_agent |
network.http.parsed_user_agent |
ログが CEF 形式でない場合の http_agent フィールドの値。解析されたユーザー エージェント オブジェクトに変換されます。 |
http_method |
network.http.method |
ログが CEF 形式でない場合の http_method フィールドの値。 |
http_refer |
network.http.referral_url |
ログが CEF 形式でない場合の http_refer フィールドの値。 |
http_request_bytes |
network.sent_bytes |
ログが CEF 形式でない場合の http_request_bytes フィールドの値。 |
http_response_bytes |
network.received_bytes |
ログが CEF 形式でない場合の http_response_bytes フィールドの値。 |
httpmethod |
network.http.method |
ログが CEF 形式でない場合の httpmethod フィールドの値。 |
in |
network.received_bytes |
ログが CEF 形式の場合の in フィールドの値。 |
incidentserialno |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
lanin |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
lanout |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
level |
security_result.severity、security_result.severity_details |
ログが CEF 形式でない場合の level フィールドの値。security_result.severity の派生に使用されます。error または warning の場合は HIGH。notice の場合は MEDIUM。information または info の場合は LOW。また、security_result.severity_details を level: + level に設定します。 |
locip |
principal.ip、principal.asset.ip |
ログが CEF 形式でない場合の locip フィールドの値。 |
logdesc |
metadata.description |
ログが CEF 形式でない場合の logdesc フィールドの値。 |
logid |
metadata.product_log_id |
ログが CEF 形式でない場合の logid フィールドの値。 |
logver |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
mastersrcmac |
principal.mac |
ログが CEF 形式でない場合の mastersrcmac フィールドの値。 |
method |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
msg |
metadata.description |
ログが CEF 形式でない場合の msg フィールドの値。catdesc が空の場合、security_result.description にも使用されます。 |
out |
network.sent_bytes |
ログが CEF 形式の場合の out フィールドの値。 |
outintf |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
policyid |
security_result.rule_id |
ログが CEF 形式でない場合の policyid フィールドの値。 |
policyname |
security_result.rule_name |
ログが CEF 形式でない場合の policyname フィールドの値。 |
policytype |
security_result.rule_type |
ログが CEF 形式でない場合の policytype フィールドの値。 |
poluuid |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
profile |
target.resource.name |
ログが CEF 形式でない場合の profile フィールドの値。また、target.resource.resource_type を ACCESS_POLICY に設定します。 |
proto |
network.ip_protocol |
ログが CEF 形式でない場合の proto フィールドの値。parse_ip_protocol.include ファイルを使用して解析されます。 |
qclass |
network.dns.questions.class |
ログが CEF 形式でない場合の qclass フィールドの値。dns_query_class_mapping.include ファイルを使用してマッピングされます。 |
qname |
network.dns.questions.name |
ログが CEF 形式でない場合の qname フィールドの値。 |
reason |
security_result.description |
ログが CEF 形式でない場合の reason フィールドの値。reason が N/A でなく、空でない場合にのみ使用されます。 |
rcvdbyte |
network.received_bytes |
ログが CEF 形式でない場合の rcvdbyte フィールドの値。 |
rcvdpkt |
additional.fields |
ログが CEF 形式でない場合の rcvdpkt フィールドの値。キー receivedPackets の Key-Value ペアとして追加されます。 |
remip |
target.ip、target.asset.ip |
ログが CEF 形式でない場合の remip フィールドの値。 |
remport |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
reqtype |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
sentbyte |
network.sent_bytes |
ログが CEF 形式でない場合の sentbyte フィールドの値。 |
sentpkt |
additional.fields |
ログが CEF 形式でない場合の sentpkt フィールドの値。キー sentPackets の Key-Value ペアとして追加されます。 |
service |
network.application_protocol、target.application |
ログが CEF 形式でない場合の service フィールドの値。parse_app_protocol.include ファイルを使用して解析されます。パーサーの出力が空でない場合、network.application_protocol にマッピングされます。それ以外の場合は、元の値が target.application にマッピングされます。 |
sessionid |
network.session_id |
ログが CEF 形式でない場合の sessionid フィールドの値。 |
sn |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
sourceTranslatedAddress |
principal.nat_ip |
ログが CEF 形式の場合の sourceTranslatedAddress フィールドの値。 |
sourceTranslatedPort |
principal.nat_port |
ログが CEF 形式の場合の sourceTranslatedPort フィールドの値。 |
spt |
principal.port |
ログが CEF 形式の場合の spt フィールドの値。 |
src |
principal.ip |
ログが CEF 形式の場合の src フィールドの値。 |
srcip |
principal.ip、principal.asset.ip |
ログが CEF 形式でない場合の srcip フィールドの値。 |
srcintf |
security_result.detection_fields |
ログが CEF 形式でない場合の srcintf フィールドの値。キー srcintf の Key-Value ペアとして追加されます。 |
srcintfrole |
security_result.detection_fields |
ログが CEF 形式でない場合の srcintfrole フィールドの値。キー srcintfrole の Key-Value ペアとして追加されます。 |
srcmac |
principal.mac |
ログが CEF 形式でない場合の srcmac フィールドの値。ハイフンはコロンに置き換えられます。 |
srcport |
principal.port |
ログが CEF 形式でない場合の srcport フィールドの値。 |
srccountry |
principal.location.country_or_region |
ログが CEF 形式でない場合の srccountry フィールドの値。Reserved でなく、空でない場合にのみマッピングされます。 |
srcuuid |
principal.user.product_object_id |
ログが CEF 形式でない場合の srcuuid フィールドの値。 |
srcserver |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
start |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
status |
security_result.summary |
ログが CEF 形式でない場合の status フィールドの値。 |
subtype |
metadata.product_event_type |
ログが CEF 形式でない場合に type とともに使用して metadata.product_event_type を作成します。また、metadata.event_type の導出や、DNS イベントと HTTP イベントの特定のフィールドのマッピングにも使用されます。 |
time |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
timestamp |
metadata.event_timestamp |
timestamp フィールドの値。 |
trandisp |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
transip |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
transport |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
type |
metadata.product_event_type |
ログが CEF 形式でない場合に subtype とともに使用して metadata.product_event_type を作成します。metadata.event_type の派生にも使用されます。 |
tz |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
ui |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
url |
target.url |
ログが CEF 形式でない場合の url フィールドの値。 |
user |
principal.user.userid |
ログが CEF 形式でない場合の user フィールドの値。N/A でなく、空でない場合にのみマッピングされます。 |
utmaction |
security_result.action、security_result2.action_details |
ログが CEF 形式でない場合の utmaction フィールドの値。security_result.action と security_result.description の派生に使用されます。 |
utmaction |
security_result.action |
派生。utmaction が accept、allow、passthrough、pass、permit、または detected の場合、ALLOW。deny、dropped、blocked、block のいずれかの場合、BLOCK。それ以外の場合は UNKNOWN_ACTION。 |
utmaction |
security_result.description |
派生。action1 が空の場合、UTMAction: + 派生 security_result.action に設定します。 |
utmevent |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
vd |
principal.administrative_domain |
ログが CEF 形式でない場合の vd フィールドの値。 |
vpntunnel |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
wanin |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
wanout |
(マッピングされません) | IDM オブジェクトにはマッピングされません。 |
| N/A(パーサー ロジック) | about.asset.asset_id |
派生。ログが CEF 形式の場合、Fortinet. + product_name + : + deviceExternalId に設定します。 |
| N/A(パーサー ロジック) | about.hostname |
派生。ログが CEF 形式の場合は auth0 に設定します。 |
| N/A(パーサー ロジック) | extensions.auth |
派生。metadata.event_type が USER_LOGIN の場合、空のオブジェクトが作成されます。 |
| N/A(パーサー ロジック) | extensions.auth.type |
派生。metadata.event_type が USER_LOGIN の場合、AUTHTYPE_UNSPECIFIED に設定します。 |
| N/A(パーサー ロジック) | metadata.event_type |
パーサー内のさまざまなログフィールドとロジックに基づいて派生します。NETWORK_CONNECTION、STATUS_UPDATE、GENERIC_EVENT、NETWORK_DNS、NETWORK_HTTP、USER_LOGIN、USER_LOGOUT、NETWORK_UNCATEGORIZED のいずれかです。 |
| N/A(パーサー ロジック) | metadata.log_type |
派生。FORTINET_FORTIANALYZER に設定します。 |
| N/A(パーサー ロジック) | metadata.product_event_type |
派生。type + - + subtype に設定します。 |
| N/A(パーサー ロジック) | metadata.product_name |
派生。Fortianalyzer に設定するか、CEF メッセージから抽出します。 |
| N/A(パーサー ロジック) | metadata.product_version |
CEF メッセージから抽出されます。 |
| N/A(パーサー ロジック) | metadata.vendor_name |
派生。Fortinet に設定します。 |
| N/A(パーサー ロジック) | network.application_protocol |
parse_app_protocol.include ファイルを使用して service フィールドまたは app フィールドから派生するか、DNS イベントの場合は DNS に設定されます。ad.app が HTTPS、HTTP、DNS、DHCP、SMB のいずれかである場合は、それに基づいて設定します。 |
| N/A(パーサー ロジック) | network.dns.questions |
派生。DNS イベント用に設定された name、type、class フィールドを含む質問オブジェクトの配列。 |
| N/A(パーサー ロジック) | network.http.parsed_user_agent |
http_agent フィールドを解析されたユーザー エージェント オブジェクトに変換して導出されます。 |
| N/A(パーサー ロジック) | network.ip_protocol |
parse_ip_protocol.include ファイルを使用して proto フィールドから派生します。 |
| N/A(パーサー ロジック) | principal.administrative_domain |
vd フィールドの値。 |
| N/A(パーサー ロジック) | principal.asset.ip |
principal.ip からコピーされます。 |
| N/A(パーサー ロジック) | principal.asset.hostname |
principal.hostname からコピーされます。 |
| N/A(パーサー ロジック) | security_result.about.labels |
Key-Value ペアの配列。存在する場合は craction が入力されます。 |
| N/A(パーサー ロジック) | security_result.action |
action または utmaction から取得されます。 |
| N/A(パーサー ロジック) | security_result.description |
使用可能なフィールドとログ形式に応じて、action、utmaction、msg、catdesc、reason から派生します。 |
| N/A(パーサー ロジック) | security_result.severity |
crlevel または level から取得されます。 |
| N/A(パーサー ロジック) | security_result.severity_details |
派生。level: + level に設定します。 |
| N/A(パーサー ロジック) | security_result.detection_fields |
Key-Value ペアの配列。存在する場合は srcintf、srcintfrole、dstintf、dstintfrole が入力されます。 |
| N/A(パーサー ロジック) | target.asset.ip |
target.ip からコピーされます。 |
| N/A(パーサー ロジック) | target.asset.hostname |
target.hostname からコピーされます。 |
| N/A(パーサー ロジック) | target.resource.resource_type |
派生。profile フィールドが存在する場合は ACCESS_POLICY に設定します。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。