收集 Fortinet FortiAnalyzer 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 收集 Fortinet FortiAnalyzer 日志并将其注入到 Google 安全运营中心。解析器会将日志转换为 UDM 格式。它可以处理 CEF 和键值格式的消息,提取字段、执行数据转换(例如转换时间戳和丰富 IP 协议),并根据事件类型和子类型将其映射到适当的 UDM 字段。该解析器还包含用于处理网络连接、DNS 查询、HTTP 请求和各种安全事件的特定逻辑,通过应用协议、用户信息和安全结果等详细信息丰富 UDM。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用了带有
systemd的 Linux 主机。 - 如果在代理后面运行,请确保防火墙端口处于打开状态。
- 确保您拥有对 Fortinet FortiAnalyzer 的特权访问权限。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/目录中;在 Windows 上,该目录位于安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: FORTINET_FORTIANALYZER raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构中的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。在获取 Google SecOps 提取身份验证文件部分中,将
/path/to/ingestion-authentication-file.json更新为身份验证文件的保存路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Fortinet FortiAnalyzer 上配置 Syslog
- 登录 FortiAnalyzer。
- 启用 CLI 模式。
运行以下命令:
config system syslog edit NAME set ip IP_ADDRESS set port PORT set reliable enable or disable next end更新以下字段:
NAME:Syslog 服务器的名称。IP_ADDRESS:输入 Bindplane 代理的 IPv4 地址。PORT:输入 Bindplane 代理的端口号;例如514。enable or disable:如果您将可靠的值设置为启用,则以 TCP 方式发送;如果您将可靠的值设置为停用,则以 UDP 方式发送。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
act |
security_result.action_details |
当日志采用 CEF 格式时,act 字段中的值。 |
action |
security_result.action_details |
当日志不是 CEF 格式时,action 字段中的值。用于派生 security_result.action 和 security_result.description。 |
action |
security_result.action |
派生。如果 action 是 accept、passthrough、pass、permit、detected 或 login,则为 ALLOW。如果为 deny、dropped、blocked 或 close,则为 BLOCK。如果为 timeout,则为 FAIL。否则,UNKNOWN_ACTION。 |
action |
security_result.description |
派生。设置为 Action: + 派生 security_result.action。 |
ad.app |
target.application |
当日志采用 CEF 格式时,ad.app 字段中的值。如果值为 HTTPS、HTTP、DNS、DHCP 或 SMB,则会映射到 network.application_protocol。 |
ad.appact |
additional.fields |
当日志采用 CEF 格式时,ad.appact 字段中的值,以键值对的形式添加,键为 appact。 |
ad.appcat |
additional.fields |
当日志采用 CEF 格式时,ad.appcat 字段中的值,以键值对的形式添加,键为 appcat。 |
ad.appid |
additional.fields |
当日志采用 CEF 格式时,ad.appid 字段中的值,以键值对的形式添加,键为 appid。 |
ad.applist |
additional.fields |
当日志采用 CEF 格式时,ad.applist 字段中的值,以键值对的形式添加,键为 applist。 |
ad.apprisk |
additional.fields |
当日志采用 CEF 格式时,ad.apprisk 字段中的值,以键值对的形式添加,键为 apprisk。 |
ad.cipher_suite |
network.tls.cipher |
当日志采用 CEF 格式时,ad.cipher_suite 字段中的值。 |
ad.countapp |
(未映射) | 未映射到 IDM 对象。 |
ad.countweb |
(未映射) | 未映射到 IDM 对象。 |
ad.dstcity |
target.location.city |
当日志采用 CEF 格式时,ad.dstcity 字段中的值。 |
ad.dstcountry |
target.location.country_or_region |
当日志采用 CEF 格式时,ad.dstcountry 字段中的值。 |
ad.dstintf |
security_result.detection_fields |
当日志采用 CEF 格式时,ad.dstintf 字段中的值,以键值对的形式添加,键为 dstintf。 |
ad.dstintfrole |
security_result.detection_fields |
当日志采用 CEF 格式时,ad.dstintfrole 字段中的值,以键值对的形式添加,键为 dstintfrole。 |
ad.dstregion |
target.location.state |
当日志采用 CEF 格式时,ad.dstregion 字段中的值。 |
ad.duration |
network.session_duration.seconds |
当日志采用 CEF 格式时,ad.duration 字段中的值。 |
ad.eventtime |
metadata.event_timestamp |
当日志采用 CEF 格式时,ad.eventtime 字段中的值。 |
ad.http_agent |
network.http.parsed_user_agent |
当日志采用 CEF 格式时,ad.http_agent 字段中的值。 |
ad.http_method |
network.http.method |
当日志采用 CEF 格式时,ad.http_method 字段中的值。 |
ad.http_refer |
network.http.referral_url |
当日志采用 CEF 格式时,ad.http_refer 字段中的值。 |
ad.http_request_bytes |
network.sent_bytes |
当日志采用 CEF 格式时,ad.http_request_bytes 字段中的值。 |
ad.http_response_bytes |
network.received_bytes |
当日志采用 CEF 格式时,ad.http_response_bytes 字段中的值。 |
ad.http_retcode |
(未映射) | 未映射到 IDM 对象。 |
ad.http_url |
(未映射) | 未映射到 IDM 对象。 |
ad.lanin |
(未映射) | 未映射到 IDM 对象。 |
ad.lanout |
(未映射) | 未映射到 IDM 对象。 |
ad.logid |
metadata.product_log_id |
当日志采用 CEF 格式时,ad.logid 字段中的值。 |
ad.mastersrcmac |
principal.mac |
当日志采用 CEF 格式时,ad.mastersrcmac 字段中的值。 |
ad.original_src |
(未映射) | 未映射到 IDM 对象。 |
ad.original_srccountry |
(未映射) | 未映射到 IDM 对象。 |
ad.poluuid |
(未映射) | 未映射到 IDM 对象。 |
ad.policyid |
security_result.rule_id |
当日志采用 CEF 格式时,ad.policyid 字段中的值。 |
ad.policyname |
security_result.rule_name |
当日志采用 CEF 格式时,ad.policyname 字段中的值。 |
ad.policytype |
security_result.rule_type |
当日志采用 CEF 格式时,ad.policytype 字段中的值。 |
ad.profile |
target.resource.name |
当日志采用 CEF 格式时,ad.profile 字段中的值。此外,将 target.resource.resource_type 设置为 ACCESS_POLICY。 |
ad.proto |
network.ip_protocol |
当日志采用 CEF 格式时,ad.proto 字段中的值。使用 parse_ip_protocol.include 文件解析。 |
ad.qclass |
network.dns.questions.class |
当日志采用 CEF 格式时,ad.qclass 字段中的值。使用 dns_query_class_mapping.include 文件映射。 |
ad.qname |
network.dns.questions.name |
当日志采用 CEF 格式时,ad.qname 字段中的值。 |
ad.qtype |
(未映射) | 未映射到 IDM 对象。 |
ad.qtypeval |
network.dns.questions.type |
当日志采用 CEF 格式时,ad.qtypeval 字段中的值。 |
ad.rcvddelta |
(未映射) | 未映射到 IDM 对象。 |
ad.rcvdpkt |
additional.fields |
当日志采用 CEF 格式时,ad.rcvdpkt 字段中的值,以键值对的形式添加,键为 receivedPackets。 |
ad.sentdelta |
(未映射) | 未映射到 IDM 对象。 |
ad.sentpkt |
additional.fields |
当日志采用 CEF 格式时,ad.sentpkt 字段中的值,以键值对的形式添加,键为 sentPackets。 |
ad.server_pool_name |
(未映射) | 未映射到 IDM 对象。 |
ad.sourceTranslatedAddress |
principal.nat_ip |
当日志采用 CEF 格式时,ad.sourceTranslatedAddress 字段中的值。 |
ad.sourceTranslatedPort |
principal.nat_port |
当日志采用 CEF 格式时,ad.sourceTranslatedPort 字段中的值。 |
ad.src |
principal.ip |
当日志采用 CEF 格式时,ad.src 字段中的值。 |
ad.srccountry |
principal.location.country_or_region |
当日志采用 CEF 格式时,ad.srccountry 字段中的值。 |
ad.srcintf |
security_result.detection_fields |
当日志采用 CEF 格式时,ad.srcintf 字段中的值,以键值对的形式添加,键为 srcintf。 |
ad.srcintfrole |
security_result.detection_fields |
当日志采用 CEF 格式时,ad.srcintfrole 字段中的值,以键值对的形式添加,键为 srcintfrole。 |
ad.srcmac |
principal.mac |
当日志采用 CEF 格式时,ad.srcmac 字段中的值。 |
ad.srcserver |
(未映射) | 未映射到 IDM 对象。 |
ad.spt |
principal.port |
当日志采用 CEF 格式时,ad.spt 字段中的值。 |
ad.status |
security_result.summary |
当日志采用 CEF 格式时,ad.status 字段中的值。 |
ad.subtype |
metadata.product_event_type |
与 ad.logid 搭配使用,用于在日志采用 CEF 格式时创建 metadata.product_event_type。还用于派生 metadata.event_type 并为 DNS 和 HTTP 事件映射特定字段。 |
ad.trandisp |
(未映射) | 未映射到 IDM 对象。 |
ad.tz |
(未映射) | 未映射到 IDM 对象。 |
ad.utmaction |
security_result.action |
当日志采用 CEF 格式时,ad.utmaction 字段中的值。用于派生 security_result.action 和 security_result.description。 |
ad.user_name |
(未映射) | 未映射到 IDM 对象。 |
ad.vd |
principal.administrative_domain |
当日志采用 CEF 格式时,ad.vd 字段中的值。 |
ad.vwlid |
(未映射) | 未映射到 IDM 对象。 |
ad.wanin |
(未映射) | 未映射到 IDM 对象。 |
ad.wanout |
(未映射) | 未映射到 IDM 对象。 |
ad.xid |
(未映射) | 未映射到 IDM 对象。 |
ad.x509_cert_subject |
(未映射) | 未映射到 IDM 对象。 |
agent |
(未映射) | 未映射到 IDM 对象。 |
appid |
additional.fields |
当日志不是 CEF 格式时,appid 字段中的值,以键值对的形式添加(键为 appid)。 |
app |
target.application |
当日志不是 CEF 格式时,app 字段中的值。如果值为 HTTPS、HTTP、DNS、DHCP 或 SMB,则会映射到 network.application_protocol。 |
appact |
additional.fields |
当日志不是 CEF 格式时,appact 字段中的值,以键值对的形式添加(键为 appact)。 |
appcat |
additional.fields |
当日志不是 CEF 格式时,appcat 字段中的值,以键值对的形式添加(键为 appcat)。 |
applist |
additional.fields |
当日志不是 CEF 格式时,applist 字段中的值,以键值对的形式添加(键为 applist)。 |
apprisk |
additional.fields |
当日志不是 CEF 格式时,apprisk 字段中的值,以键值对的形式添加(键为 apprisk)。 |
cat |
security_result1.rule_id |
当日志不是 CEF 格式时,cat 字段中的值。 |
catdesc |
security_result.description |
当日志不是 CEF 格式时,catdesc 字段中的值。仅当 catdesc 不为空时使用。 |
centralnatid |
(未映射) | 未映射到 IDM 对象。 |
cipher_suite |
network.tls.cipher |
当日志不是 CEF 格式时,cipher_suite 字段中的值。 |
countssl |
(未映射) | 未映射到 IDM 对象。 |
crlevel |
security_result.severity |
当日志不是 CEF 格式时,crlevel 字段中的值。用于派生 security_result.severity。如果为 CRITICAL,则将 is_alert 和 is_significant 设置为 true。 |
craction |
security_result.about.labels |
当日志不是 CEF 格式时,craction 字段中的值,以键值对的形式添加(键为 craction)。 |
create_time |
(未映射) | 未映射到 IDM 对象。 |
data |
(未映射) | 原始日志数据。未直接映射到 UDM。 |
date |
(未映射) | 未映射到 IDM 对象。 |
devname |
principal.hostname,principal.asset.hostname |
当日志不是 CEF 格式时,devname 字段中的值。 |
devid |
(未映射) | 未映射到 IDM 对象。 |
devtype |
(未映射) | 未映射到 IDM 对象。 |
direction |
network.direction |
当日志不是 CEF 格式时,direction 字段中的值。如果为 incoming 或 inbound,则为 INBOUND。如果为 outgoing 或 outbound,则为 OUTBOUND。 |
dpt |
target.port |
当日志采用 CEF 格式时,dpt 字段中的值。 |
dstip |
target.ip,target.asset.ip |
当日志不是 CEF 格式时,dstip 字段中的值。 |
dstintf |
security_result.detection_fields |
当日志不是 CEF 格式时,dstintf 字段中的值,以键值对的形式添加(键为 dstintf)。 |
dstintfrole |
security_result.detection_fields |
当日志不是 CEF 格式时,dstintfrole 字段中的值,以键值对的形式添加(键为 dstintfrole)。 |
dstport |
target.port |
当日志不是 CEF 格式时,dstport 字段中的值。 |
dstregion |
target.location.state |
当日志不是 CEF 格式时,dstregion 字段中的值。 |
dstuuid |
target.user.product_object_id |
当日志不是 CEF 格式时,dstuuid 字段中的值。 |
duration |
network.session_duration.seconds |
当日志不是 CEF 格式时,duration 字段中的值。 |
dstcity |
target.location.city |
当日志不是 CEF 格式时,dstcity 字段中的值。 |
dstcountry |
target.location.country_or_region |
当日志不是 CEF 格式时,dstcountry 字段中的值。 |
dstmac |
target.mac |
当日志不是 CEF 格式时,dstmac 字段中的值。 |
eventtime |
metadata.event_timestamp |
当日志不是 CEF 格式时,eventtime 字段中的值。此值从微秒缩减为秒。 |
eventtype |
security_result2.rule_type |
当日志不是 CEF 格式时,eventtype 字段中的值。 |
externalID |
(未映射) | 未映射到 IDM 对象。 |
group |
principal.user.group_identifiers |
当日志不是 CEF 格式时,group 字段中的值。 |
hostname |
target.hostname,target.asset.hostname |
当日志不是 CEF 格式时,hostname 字段中的值。 |
http_agent |
network.http.parsed_user_agent |
当日志不是 CEF 格式时,http_agent 字段中的值。已转换为解析后的用户代理对象。 |
http_method |
network.http.method |
当日志不是 CEF 格式时,http_method 字段中的值。 |
http_refer |
network.http.referral_url |
当日志不是 CEF 格式时,http_refer 字段中的值。 |
http_request_bytes |
network.sent_bytes |
当日志不是 CEF 格式时,http_request_bytes 字段中的值。 |
http_response_bytes |
network.received_bytes |
当日志不是 CEF 格式时,http_response_bytes 字段中的值。 |
httpmethod |
network.http.method |
当日志不是 CEF 格式时,httpmethod 字段中的值。 |
in |
network.received_bytes |
当日志采用 CEF 格式时,in 字段中的值。 |
incidentserialno |
(未映射) | 未映射到 IDM 对象。 |
lanin |
(未映射) | 未映射到 IDM 对象。 |
lanout |
(未映射) | 未映射到 IDM 对象。 |
level |
security_result.severity,security_result.severity_details |
当日志不是 CEF 格式时,level 字段中的值。用于派生 security_result.severity。如果为 error 或 warning,则为 HIGH。如果为 notice,则为 MEDIUM。如果为 information 或 info,则为 LOW。此外,将 security_result.severity_details 设置为 level: + level。如果 crlevel 为 CRITICAL 或 level 为 alert,则将 is_alert 和 is_significant 设置为 true。 |
locip |
principal.ip,principal.asset.ip |
当日志不是 CEF 格式时,locip 字段中的值。 |
logdesc |
metadata.description |
当日志不是 CEF 格式时,logdesc 字段中的值。 |
logid |
metadata.product_log_id |
当日志不是 CEF 格式时,logid 字段中的值。 |
logver |
(未映射) | 未映射到 IDM 对象。 |
mastersrcmac |
principal.mac |
当日志不是 CEF 格式时,mastersrcmac 字段中的值。 |
method |
(未映射) | 未映射到 IDM 对象。 |
msg |
metadata.description |
当日志不是 CEF 格式时,msg 字段中的值。如果 catdesc 为空,则也用于 security_result.description。 |
out |
network.sent_bytes |
当日志采用 CEF 格式时,out 字段中的值。 |
outintf |
(未映射) | 未映射到 IDM 对象。 |
policyid |
security_result.rule_id |
当日志不是 CEF 格式时,policyid 字段中的值。 |
policyname |
security_result.rule_name |
当日志不是 CEF 格式时,policyname 字段中的值。 |
policytype |
security_result.rule_type |
当日志不是 CEF 格式时,policytype 字段中的值。 |
poluuid |
(未映射) | 未映射到 IDM 对象。 |
profile |
target.resource.name |
当日志不是 CEF 格式时,profile 字段中的值。此外,将 target.resource.resource_type 设置为 ACCESS_POLICY。 |
proto |
network.ip_protocol |
当日志不是 CEF 格式时,proto 字段中的值。使用 parse_ip_protocol.include 文件解析。 |
qclass |
network.dns.questions.class |
当日志不是 CEF 格式时,qclass 字段中的值。使用 dns_query_class_mapping.include 文件映射。 |
qname |
network.dns.questions.name |
当日志不是 CEF 格式时,qname 字段中的值。 |
reason |
security_result.description |
当日志不是 CEF 格式时,reason 字段中的值。仅当 reason 不为 N/A 且不为空时使用。 |
rcvdbyte |
network.received_bytes |
当日志不是 CEF 格式时,rcvdbyte 字段中的值。 |
rcvdpkt |
additional.fields |
当日志不是 CEF 格式时,rcvdpkt 字段中的值,以键值对的形式添加(键为 receivedPackets)。 |
remip |
target.ip,target.asset.ip |
当日志不是 CEF 格式时,remip 字段中的值。 |
remport |
(未映射) | 未映射到 IDM 对象。 |
reqtype |
(未映射) | 未映射到 IDM 对象。 |
sentbyte |
network.sent_bytes |
当日志不是 CEF 格式时,sentbyte 字段中的值。 |
sentpkt |
additional.fields |
当日志不是 CEF 格式时,sentpkt 字段中的值,以键值对的形式添加(键为 sentPackets)。 |
service |
network.application_protocol,target.application |
当日志不是 CEF 格式时,service 字段中的值。使用 parse_app_protocol.include 文件解析。如果解析器的输出不为空,则会映射到 network.application_protocol。否则,原始值会映射到 target.application。 |
sessionid |
network.session_id |
当日志不是 CEF 格式时,sessionid 字段中的值。 |
sn |
(未映射) | 未映射到 IDM 对象。 |
sourceTranslatedAddress |
principal.nat_ip |
当日志采用 CEF 格式时,sourceTranslatedAddress 字段中的值。 |
sourceTranslatedPort |
principal.nat_port |
当日志采用 CEF 格式时,sourceTranslatedPort 字段中的值。 |
spt |
principal.port |
当日志采用 CEF 格式时,spt 字段中的值。 |
src |
principal.ip |
当日志采用 CEF 格式时,src 字段中的值。 |
srcip |
principal.ip,principal.asset.ip |
当日志不是 CEF 格式时,srcip 字段中的值。 |
srcintf |
security_result.detection_fields |
当日志不是 CEF 格式时,srcintf 字段中的值,以键值对的形式添加(键为 srcintf)。 |
srcintfrole |
security_result.detection_fields |
当日志不是 CEF 格式时,srcintfrole 字段中的值,以键值对的形式添加(键为 srcintfrole)。 |
srcmac |
principal.mac |
当日志不是 CEF 格式时,srcmac 字段中的值。连字符会替换为英文冒号。 |
srcport |
principal.port |
当日志不是 CEF 格式时,srcport 字段中的值。 |
srccountry |
principal.location.country_or_region |
当日志不是 CEF 格式时,srccountry 字段中的值。仅当不为 Reserved 且不为空时才会映射。 |
srcuuid |
principal.user.product_object_id |
当日志不是 CEF 格式时,srcuuid 字段中的值。 |
srcserver |
(未映射) | 未映射到 IDM 对象。 |
start |
(未映射) | 未映射到 IDM 对象。 |
status |
security_result.summary |
当日志不是 CEF 格式时,status 字段中的值。 |
subtype |
metadata.product_event_type |
与 type 搭配使用,用于在日志不是 CEF 格式时创建 metadata.product_event_type。还用于派生 metadata.event_type 并为 DNS 和 HTTP 事件映射特定字段。 |
time |
(未映射) | 未映射到 IDM 对象。 |
timestamp |
metadata.event_timestamp |
timestamp 字段中的值。 |
trandisp |
(未映射) | 未映射到 IDM 对象。 |
transip |
(未映射) | 未映射到 IDM 对象。 |
transport |
(未映射) | 未映射到 IDM 对象。 |
type |
metadata.product_event_type |
与 subtype 搭配使用,用于在日志不是 CEF 格式时创建 metadata.product_event_type。也用于派生 metadata.event_type。 |
tz |
(未映射) | 未映射到 IDM 对象。 |
ui |
(未映射) | 未映射到 IDM 对象。 |
url |
target.url |
当日志不是 CEF 格式时,url 字段中的值。 |
user |
principal.user.userid |
当日志不是 CEF 格式时,user 字段中的值。仅当不为 N/A 且不为空时才会映射。 |
utmaction |
security_result.action,security_result2.action_details |
当日志不是 CEF 格式时,utmaction 字段中的值。用于派生 security_result.action 和 security_result.description。 |
utmaction |
security_result.action |
派生。如果 utmaction 是 accept、allow、passthrough、pass、permit 或 detected,则为 ALLOW。如果为 deny、dropped、blocked 或 block,则为 BLOCK。否则,UNKNOWN_ACTION。 |
utmaction |
security_result.description |
派生。如果 action1 为空,则设置为 UTMAction: + 派生 security_result.action。 |
utmevent |
(未映射) | 未映射到 IDM 对象。 |
vd |
principal.administrative_domain |
当日志不是 CEF 格式时,vd 字段中的值。 |
vpntunnel |
(未映射) | 未映射到 IDM 对象。 |
wanin |
(未映射) | 未映射到 IDM 对象。 |
wanout |
(未映射) | 未映射到 IDM 对象。 |
| 不适用(解析器逻辑) | about.asset.asset_id |
派生。如果日志采用 CEF 格式,请将其设置为 Fortinet. + product_name + : + deviceExternalId。 |
| 不适用(解析器逻辑) | about.hostname |
派生。如果日志采用 CEF 格式,请将其设置为 auth0。 |
| 不适用(解析器逻辑) | extensions.auth |
派生。当 metadata.event_type 为 USER_LOGIN 时,系统会创建一个空对象。 |
| 不适用(解析器逻辑) | extensions.auth.type |
派生。当 metadata.event_type 为 USER_LOGIN 时,设置为 AUTHTYPE_UNSPECIFIED。 |
| 不适用(解析器逻辑) | is_alert,is_significant |
派生。如果 crlevel 为 CRITICAL 或 level 为 alert,则设置为 true。 |
| 不适用(解析器逻辑) | metadata.event_type |
根据解析器中的各种日志字段和逻辑派生而来。可以是 NETWORK_CONNECTION、STATUS_UPDATE、GENERIC_EVENT、NETWORK_DNS、NETWORK_HTTP、USER_LOGIN、USER_LOGOUT 或 NETWORK_UNCATEGORIZED。 |
| 不适用(解析器逻辑) | metadata.log_type |
派生。设置为 FORTINET_FORTIANALYZER。 |
| 不适用(解析器逻辑) | metadata.product_event_type |
派生。设置为 type + - + subtype。 |
| 不适用(解析器逻辑) | metadata.product_name |
派生。设置为 Fortianalyzer 或从 CEF 消息中提取。 |
| 不适用(解析器逻辑) | metadata.product_version |
从 CEF 消息中提取。 |
| 不适用(解析器逻辑) | metadata.vendor_name |
派生。设置为 Fortinet。 |
| 不适用(解析器逻辑) | network.application_protocol |
使用 parse_app_protocol.include 文件从 service 或 app 字段派生,或将其设为 DNS 事件的 DNS。此外,如果 ad.app 为 HTTPS、HTTP、DNS、DHCP 或 SMB 之一,则根据 ad.app 进行设置。 |
| 不适用(解析器逻辑) | network.dns.questions |
派生。一个由问题对象组成的数组,每个对象都包含 name、type 和 class 字段,用于填充 DNS 事件。 |
| 不适用(解析器逻辑) | network.http.parsed_user_agent |
通过将 http_agent 字段转换为解析后的用户代理对象而派生。 |
| 不适用(解析器逻辑) | network.ip_protocol |
使用 parse_ip_protocol.include 文件从 proto 字段派生而来。 |
| 不适用(解析器逻辑) | principal.administrative_domain |
vd 字段中的值。 |
| 不适用(解析器逻辑) | principal.asset.ip |
从 principal.ip 复制。 |
| 不适用(解析器逻辑) | principal.asset.hostname |
从 principal.hostname 复制。 |
| 不适用(解析器逻辑) | security_result.about.labels |
键值对数组,填充 craction(如果有)。 |
| 不适用(解析器逻辑) | security_result.action |
派生自 action 或 utmaction。 |
| 不适用(解析器逻辑) | security_result.description |
派生自 action、utmaction、msg、catdesc 或 reason,具体取决于可用字段和日志格式。 |
| 不适用(解析器逻辑) | security_result.severity |
派生自 crlevel 或 level。 |
| 不适用(解析器逻辑) | security_result.severity_details |
派生。设为 level: + level。 |
| 不适用(解析器逻辑) | security_result.detection_fields |
键值对数组,填充了 srcintf、srcintfrole、dstintf 和 dstintfrole(如果有)。 |
| 不适用(解析器逻辑) | target.asset.ip |
从 target.ip 复制。 |
| 不适用(解析器逻辑) | target.asset.hostname |
从 target.hostname 复制。 |
| 不适用(解析器逻辑) | target.resource.resource_type |
派生。当 profile 字段存在时,将其设置为 ACCESS_POLICY。 |
变化
2025-01-31
增强功能:
- 将
catdesc映射到security_result.rule_name。 - 将
crscore映射到security_result.detection_fields。 - 将
method映射到network.http.method。 - 将
cat映射到security_result.rule_id。
2025-01-02
增强功能:
- 当
action为login且status为success时,将ALLOW映射到security_result.action。 - 当
action为login且status为failure时,将BLOCK映射到security_result.action。
2024-11-28
增强功能:
- 将
filename映射到target.file.full_path。
2024-11-19
增强功能:
- 将
dstuser映射到target.user.userid。
2024-11-13
增强功能:
- 将
fsaverdict映射到additional.fields。
2024-10-28
增强功能:
- 将
srcinf、dstinf、srcintfrole和dstintfrole的映射从security_result.detection_fields更改为additional.fields。
2024-10-16
增强功能:
- 将
type、subtype和level映射到metadata.ingestion_labels。
2024-10-01
增强功能:
- 将
logdesc映射到metadata.description。
2024-10-01
增强功能:
- 将
logdesc映射到metadata.description。
2024-09-23
增强功能:
- 修改了
devname到principal.resource.attribute.labels的映射。 - 将
srcname映射到principal.hostname和principal.asset.hostname。
2024-09-12
增强功能:
- 添加了条件检查,以便在
reason值为sslvpn_login_permission_denied时将值BLOCK映射到security_result.actionUDM 字段。
2024-07-22
增强功能:
- 添加了
gusb来处理未解析的日志。
2024-07-04
增强功能:
- 当
msg包含login时,将event_type设置为USER_LOGIN。
2024-04-25
增强功能:
- 将
httpmethod映射到network.http.method。 - 当
action为login时,将ALLOW映射到security_result.action。 - 当
msg包含logged in successfully时,将event_type设置为USER_LOGIN。 - 当
msg包含login failed时,将event_type设置为USER_LOGOUT。
2023-07-19
bug 修复:
- 添加了 gsub 以移除
\n以解析失败的日志。
2023-05-05
- 添加了对 CEF 格式日志的支持。
2022-09-19
- 新创建的解析器。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。