Diese Seite wurde von der Cloud Translation API übersetzt.

Fortinet-Firewall-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie mit Bindplane Fortinet-Logs erfassen und in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus Protokollen und unterstützt sowohl JSON- als auch SYSLOG-Formate (mit Schlüssel/Wert-Paaren). Die extrahierten Felder werden im Unified Data Model (UDM) normalisiert, einschließlich Netzwerkverbindungen, Nutzeraktivitäten, DNS-Ereignissen und Sicherheitserkenntnissen. Außerdem werden verschiedene Protokollformate und Grenzfälle verarbeitet.

Hinweise

Sie benötigen eine Google Security Operations-Instanz.
Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Sie benötigen Berechtigungen für den Zugriff auf eine Fortinet-Firewall.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profil.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

Rufen Sie die Konfigurationsdatei auf:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yamlso:

```yaml
receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: FORTINET_FIREWALL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
```

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog auf FortiGate mit der Befehlszeile konfigurieren

Melden Sie sich auf Ihrer Fortinet FortiGate-Appliance in der Befehlszeile an.
Geben Sie die folgenden Befehle in derselben Reihenfolge ein und ersetzen Sie die Variablen durch Werte, die zu Ihrer Umgebung passen.
```
sh full-configuration | grep -f syslogd
config log syslogd setting
    set status enable
    set server IP_ADDRESS
    set mode udp
    set port PORT
    set facility LOCAL
    set reliable enable or disable
    set source-ip FIEWALL_IP
end
```
Hinweis: Wenn Sie den Wert für „reliable“ auf enable (Aktivieren) festlegen, wird die Nachricht per TCP gesendet. Wenn Sie den Wert für „reliable“ auf disable (Deaktivieren) festlegen, wird die Nachricht per UDP gesendet.
Aktualisieren Sie die folgenden Werte:
- IP_ADDRESS: Geben Sie die IPv4-Adresse des Bindplane-Agents ein.
- PORT: Geben Sie die Portnummer für den Bindplane-Agenten ein, z. B. 514.
- LOCAL: Legen Sie die Betriebsebene auf local6 fest. Sie können auch andere Werte wie local0, local1, local2, local3, local4, local5 oder local7 für Informationsprotokolle auswählen.
- enable or disable: Geben Sie disable ein, um Daten als UDP zu senden. Wenn Sie den Wert „zuverlässig“ auf enable festlegen, werden Daten als TCP gesendet.
- FIEWALL_IP: Geben Sie die IPv4-Adresse der Firewall ein.

Syslog auf FortiGate über die Benutzeroberfläche konfigurieren

Melden Sie sich in der Web-Benutzeroberfläche von Fortinet Fortigate an.
Gehen Sie zu Protokollieren und melden > Protokolleinstellungen.
Bearbeiten Sie die folgenden Konfigurationen:
- Protokolle an Syslog senden: Wählen Sie Aktivieren aus.
- IP-Adresse / FQDN: Geben Sie die IPv4-Adresse des Bindplane-Agents ein.
- Ereignisprotokollierung: Wählen Sie Alle aus.
- Lokales Traffic-Log: Wählen Sie Alle aus.
Gehen Sie zu Richtlinien und Objekte > Firewall-Richtlinie.
- Aktivieren Sie für jede Firewall-Richtlinie die Protokollebene Alle (nicht „Deaktivieren und UTM“).
- Die Richtlinie Implicit Deny muss auch die Protokollebene All haben.
Öffnen Sie die Befehlszeile und geben Sie die folgenden Befehle ein.
1. Rufen Sie die IP-Adresse der Firewall-Anwendung ab:
```
Show full-configuration | grep -f syslogd
```
2. Quell-IP und Einrichtung festlegen:
  - LOCAL: Legen Sie die Betriebsebene auf local6 fest. Sie können auch andere Werte wie local0, local1, local2, local3, local4, local5 oder local7 für Informationsprotokolle auswählen.
  - FIEWALL_IP: Geben Sie die IPv4-Adresse der Firewall ein.
```
config log syslogd setting
set source-ip FIEWALL_IP
set facility LOCAL
end
```
3. Aktivieren Sie „resolve-ip“ für jedes Fortigate-Gerät:
```
config log setting
set resolve-ip enable
```
Wiederholen Sie den Vorgang für jedes Gerät, das in Google SecOps aufgenommen werden muss.

Optional: Zusätzliche Fortigate-Syslog-Konfigurationsoptionen

Führen Sie die folgenden Befehle aus, um erweiterte Protokolle für FortiGate v5.X zu aktivieren:

config antivirus profile
    edit default
        set extended-utm-log enable
    end
config application
    edit default
        set extended-utm-log enable
    end
config webfilter
    edit default
        set extended-utm-log enable
    end
config spamfilter
    edit default
        set extended-utm-log enable
    end
config dlp
    edit default
        set extended-utm-log enable
    end
config ips
    edit default
        set extended-utm-log enable
    end

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`action`	`security_result.action_details`	Der Wert wird direkt aus dem Feld `action` im Rohprotokoll übernommen.
`act`	`security_result.action_details`	Wenn das Feld `action` leer ist, wird der Wert aus dem Feld `act` im Roh-Log übernommen.
`agent`	`network.http.user_agent`, `network.http.parsed_user_agent`	Der Wert wird aus dem Feld `agent` übernommen. Das Feld `parsed_user_agent` ist eine geparste Version des Felds `user_agent`.
`appid`	`security_result1.rule_id`	Der Wert wird aus dem Feld `appid` übernommen.
`app`	`target.application`, `network.application_protocol`, `additional.fields`	Wenn das Feld `service` leer ist, wird der Wert aus dem Feld `app` übernommen. Wenn `service` eine der folgenden Optionen ist: HTTPS, HTTP, DNS, DHCP oder SMB, wird der Wert für `network.application_protocol` verwendet. Andernfalls wird er für `target.application` verwendet. `additional.fields` wird ein zusätzliches Feld mit dem Schlüssel `app` und dem Stringwert des Felds `app` hinzugefügt.
`appact`	`additional.fields`	`additional.fields` wird ein zusätzliches Feld mit dem Schlüssel `appact` und dem Stringwert des Felds `appact` hinzugefügt.
`appcat`	`additional.fields`	`additional.fields` wird ein zusätzliches Feld mit dem Schlüssel `appcat` und dem Stringwert des Felds `appcat` hinzugefügt.
`applist`	`additional.fields`	`additional.fields` wird ein zusätzliches Feld mit dem Schlüssel `applist` und dem Stringwert des Felds `applist` hinzugefügt.
`apprisk`	`additional.fields`	`additional.fields` wird ein zusätzliches Feld mit dem Schlüssel `apprisk` und dem Stringwert des Felds `apprisk` hinzugefügt.
`attack`	`security_result.category_details`, `security_result.threat_name`, `security_result.summary`, `security_result.detection_fields`	Der Wert wird zu `security_result.category_details` addiert. Bei IPS-/Anomalie-Ereignissen wird er auch für `security_result.summary` und `security_result.threat_name` verwendet. `security_result.detection_fields` wird ein Erkennungsfeld mit dem Schlüssel `attack` und dem Wert des Felds `attack` hinzugefügt.
`attackid`	`security_result.threat_id`, `security_result1.rule_id`, `security_result.detection_fields`	Bei IPS-Ereignissen wird der Wert für `security_result.threat_id` verwendet. Bei anderen Ereignissen wird es für `security_result1.rule_id` verwendet. `security_result.detection_fields` wird ein Erkennungsfeld mit dem Schlüssel `attackId` und dem Wert des Felds `attackid` hinzugefügt.
`cat`	`security_result1.rule_id`	Bei Webfilter-Ereignissen wird der Wert für `security_result1.rule_id` verwendet.
`catdesc`	`security_result.description`, `security_result1.rule_name`, `security_result.category_details`	Wenn vorhanden, wird es an das Feld `msg` angehängt, um `security_result.description` zu erstellen. Sie wird auch für `security_result1.rule_name` verwendet. Der Wert wird zu `security_result.category_details` addiert.
`changes`	`security_result.summary`	Das Feld `changes` wird als Schlüssel/Wert-Paar geparst. Der `mode`-Wert aus dem geparsten `changes` wird für `security_result.summary` verwendet.
`connection_type`	`metadata.product_event_type`	Der Wert wird an `metadata.product_event_type` angehängt, falls vorhanden.
`craction`	`security_result.about.labels`	`security_result.about.labels` wird ein Label mit dem Schlüssel `craction` und dem Wert des Felds `craction` hinzugefügt.
`crlevel`	`security_result.severity`, `event.idm.is_alert`, `event.idm.is_significant`	Wenn `crlevel` auf „KRITISCH“ oder `level` auf „Warnung“ gesetzt ist, werden `is_alert` und `is_significant` auf „TRUE“ gesetzt. Der Wert wird gemäß der folgenden Zuordnung auf `security_result.severity` zugeordnet: HIGH für `HIGH`, MEDIUM für `MEDIUM`, LOW für `LOW` und CRITICAL für `CRITICAL`.
`crscore`	`security_result.severity_details`	Bei IPS-Ereignissen wird der Wert für `security_result.severity_details` verwendet.
`cs6`	`principal.user.group_identifiers`	Der Wert wird zu `principal.user.group_identifiers` addiert.
`date`, `time`	`timestamp`	Die Felder `date` und `time` werden kombiniert und analysiert, um die `timestamp` zu erstellen.
`devid`	`security_result.detection_fields`	`security_result.detection_fields` wird ein Erkennungsfeld mit dem Schlüssel `devid` und dem Wert des Felds `devid` hinzugefügt.
`devname`	`intermediary.hostname`: `target.hostname`, `target.asset.hostname`, `principal.hostname`, `principal.asset.hostname`	Wenn `dvchost` vorhanden ist, wird `dvchost` für `intermediary.hostname` verwendet. Andernfalls wird `devname` verwendet. Bei VPN-Ereignissen mit `type` als `event` wird dieser Wert für `target.hostname` verwendet. Bei Ereignissen zur Nutzererstellung wird es für `principal.hostname` verwendet.
`deviceSeverity`	`level`	Der Wert wird zum Ausfüllen des Felds `level` verwendet.
`device_product`	`metadata.product_name`	Der Wert wird für `metadata.product_name` verwendet. Wenn sie nicht vorhanden ist, wird `Fortigate` als Standard verwendet.
`device_vendor`	`metadata.vendor_name`	Der Wert wird für `metadata.vendor_name` verwendet. Wenn sie nicht vorhanden ist, wird `Fortinet` als Standard verwendet.
`device_version`	`metadata.product_version`	Der Wert wird für `metadata.product_version` verwendet.
`dhcp_msg`	`network.dhcp.type`, `metadata.event_type`, `network.application_protocol`	Wenn der Wert `Ack` ist, wird `network.dhcp.type` auf `ACK`, `metadata.event_type` auf `NETWORK_DHCP` und `network.application_protocol` auf `DHCP` gesetzt.
`dir`	`direction`	Wenn `direction` leer ist, wird der Wert aus dem Feld `dir` übernommen.
`direction`	`network.direction`	Der Wert wird gemäß der folgenden Zuordnung `network.direction` zugeordnet: „INBOUND“ für `incoming`, `inbound` und `response` sowie „OUTBOUND“ für `outgoing`, `outbound` und `request`.
`dst`	`target.ip`, `target.asset.ip`	Der Wert wird als IP-Adresse geparst und für `target.ip` verwendet.
`dstauthserver`	`target.hostname`, `target.asset.hostname`	Der Wert wird für `target.hostname` verwendet.
`dstcountry`	`target.location.country_or_region`	Wenn der Wert nicht `Reserved` oder leer ist, wird er für `target.location.country_or_region` verwendet.
`dstip`	`target.ip`, `target.asset.ip`	Der Wert wird als IP-Adresse geparst und für `target.ip` verwendet.
`dstinetsvc`	`security_result.detection_fields`	`security_result.detection_fields` wird ein Erkennungsfeld mit dem Schlüssel `dstinetsvc` und dem Wert des Felds `dstinetsvc` hinzugefügt.
`dstintf`	`security_result.detection_fields`	`security_result.detection_fields` wird ein Erkennungsfeld mit dem Schlüssel `dstintf` und dem Wert des Felds `dstintf` hinzugefügt.
`dstintfrole`	`security_result.detection_fields`	`security_result.detection_fields` wird ein Erkennungsfeld mit dem Schlüssel `dstintfrole` und dem Wert des Felds `dstintfrole` hinzugefügt.
`dstmac`	`target.mac`	Der Wert wird als MAC-Adresse geparst und für `target.mac` verwendet.
`dstosname`	`target.platform`	Wenn der Wert `WINDOWS` ist, wird `target.platform` auf `WINDOWS` gesetzt.
`dstport`	`target.port`	Der Wert wird in eine Ganzzahl konvertiert und für `target.port` verwendet.
`dstswversion`	`target.platform_version`	Der Wert wird für `target.platform_version` verwendet.
`dstuuid`	`target.resource.product_object_id`	Der Wert wird für `target.resource.product_object_id` verwendet.
`dstuser`	`target.user.userid`	Der Wert wird für `target.user.userid` verwendet.
`dtype`	`security_result.category_details`	Der Wert wird zu `security_result.category_details` addiert.
`duration`	`network.session_duration.seconds`	Wenn der Wert nicht leer oder `0` ist, wird er in eine Ganzzahl konvertiert und für `network.session_duration.seconds` verwendet.
`duser`	`principal.user.userid`, `target.user.userid`, `target.user.user_display_name`	Bei Endpunkt-/Systemereignissen wird es für `principal.user.userid` verwendet. Bei Nutzeranmeldeereignissen wird es für `target.user.userid` verwendet. Bei CEF-formatierten Protokollen wird es für `target.user.user_display_name` verwendet.
`dvchost`	`devname`	Der Wert wird verwendet, um das Feld `devname` zu ersetzen.
`d_uid`	`target.user.userid`	Der aus dem Feld `request` extrahierte Wert wird für `target.user.userid` verwendet.
`error`	`security_result.severity_details`	Wenn `level` den Wert `error` hat und `error` vorhanden ist, wird der Wert für `security_result.severity_details` verwendet.
`eventtime`	`timestamp`, `metadata.event_timestamp`	Der Wert wird analysiert, um `timestamp` und `metadata.event_timestamp` zu erstellen.
`eventtype`	`security_result1.rule_type`, `security_result.detection_fields`	Der Wert wird für `security_result1.rule_type` verwendet. Bei IPS-Ereignissen wird er auch für `security_result.detection_fields` verwendet.
`filename`	`target.file.full_path`	Der Wert wird für `target.file.full_path` verwendet.
`group`	`principal.user.group_identifiers`	Wenn der Wert nicht `N/A` oder leer ist, wird er `principal.user.group_identifiers` hinzugefügt.
`hostname`	`target.hostname`, `target.asset.hostname`, `principal.hostname`, `principal.asset.hostname`	Der Wert wird für `target.hostname` verwendet. Bei DHCP-Ack-Ereignissen wird es für `principal.hostname` verwendet.
`httpmethod`	`network.http.method`	Der Wert wird für `network.http.method` verwendet.
`in`	`network.received_bytes`	Der Wert wird in eine vorzeichenlose Ganzzahl konvertiert und für `network.received_bytes` verwendet.
`incidentserialno`	`security_result.about.labels`	`security_result.about.labels` wird ein Label mit dem Schlüssel `incidentserialno` und dem Wert des Felds `incidentserialno` hinzugefügt.
`ip`	`principal.ip`, `principal.asset.ip`, `network.dhcp.yiaddr`	Bei Endpunkt-/Systemereignissen wird der Wert zu `principal.ip` addiert. Bei DHCP-Ack-Ereignissen wird es für `network.dhcp.yiaddr` verwendet.
`ipaddr`	`intermediary.ip`	Der Wert wird als durch Kommas getrennte Liste von IP-Adressen analysiert und zu `intermediary.ip` hinzugefügt.
`level`	`security_result.severity`, `security_result.severity_details`, `event.idm.is_alert`, `event.idm.is_significant`	Wenn `crlevel` auf „KRITISCH“ oder `level` auf „Warnung“ gesetzt ist, werden `is_alert` und `is_significant` auf „TRUE“ gesetzt. Der Wert wird gemäß der folgenden Zuordnung `security_result.severity` zugeordnet: HIGH für `warning`, MEDIUM für `notice`, LOW für `information` und `info` sowie ERROR für `error`. `security_result.severity_details` ist auf `level: <value>` gesetzt.
`locip`	`principal.ip`, `principal.asset.ip`	Bei VPN-Ereignissen wird der Wert zu `principal.ip` addiert.
`locport`	`dstport`	Der Wert wird verwendet, um das Feld `dstport` zu ersetzen.
`logdesc`	`metadata.description`	Der Wert wird für `metadata.description` verwendet.
`logid`	`metadata.product_log_id`, `additional.fields`	Der Wert wird für `metadata.product_log_id` verwendet. `additional.fields` wird ein zusätzliches Feld mit dem Schlüssel `logid` und dem Stringwert des Felds `logid` hinzugefügt.
`log_id`	`metadata.product_log_id`	Der Wert wird für `metadata.product_log_id` verwendet.
`metadata.event_type`	`metadata.event_type`	Der Wert wird basierend auf dem Ereignistyp und anderen Feldern festgelegt. Standardmäßig ist GENERIC_EVENT festgelegt. Kann auf NETWORK_CONNECTION, USER_UNCATEGORIZED, NETWORK_HTTP, USER_LOGIN, USER_LOGOUT, NETWORK_DNS, NETWORK_DHCP, STATUS_UNCATEGORIZED, NETWORK_UNCATEGORIZED, USER_CREATION oder USER_DELETION festgelegt werden.
`metadata.log_type`	`metadata.log_type`	Der Wert ist auf `FORTINET_FIREWALL` festgelegt.
`metadata.product_event_type`	`metadata.product_event_type`	Der Wert ist auf `<type> - <subtype>` festgelegt. Wenn `connection_type` vorhanden ist, wird es an den Wert angehängt. Bei CEF-formatierten Logs ist dies `[<device_event_class_id>] - <event_name> <severity>`.
`metadata.product_name`	`metadata.product_name`	Der Wert ist standardmäßig auf `Fortigate` festgelegt. Wenn `device_product` vorhanden ist, wird stattdessen dieser Wert verwendet.
`metadata.product_version`	`metadata.product_version`	Der Wert wird aus dem Feld `device_version` übernommen, sofern vorhanden.
`metadata.vendor_name`	`metadata.vendor_name`	Der Wert ist standardmäßig auf `Fortinet` festgelegt. Wenn `device_vendor` vorhanden ist, wird stattdessen dieser Wert verwendet.
`mode`	`security_result.summary`	Der aus dem Feld `changes` extrahierte Wert wird für `security_result.summary` verwendet.
`msg`	`metadata.description`, `security_result.summary`, `security_result.description`, `security_result1.rule_name`	Wenn `logdesc` nicht vorhanden ist, wird der Wert für `metadata.description` verwendet. Bei Systemereignissen wird es für `security_result.summary` verwendet. Bei Webfilter-Ereignissen wird es vorangestellt.`security_result.description` Bei Virenereignissen, bei denen `msg` `File is infected.` ist, wird sie in Kombination mit `virus` verwendet, um `security_result.summary` zu füllen. Bei App-Steuerelementen wird er für `security_result1.rule_name` verwendet.
`name`	`principal.hostname`, `principal.asset.hostname`	Der Wert wird für `principal.hostname` verwendet.
`nas`	`principal.nat_ip`	Der Wert wird als IP-Adresse geparst und für `principal.nat_ip` verwendet.
`operation`	`security_result.action_details`, `security_result.action`	Der Wert wird für `security_result.action_details` verwendet. Außerdem wird es gemäß der folgenden Zuordnung `security_result.action` zugeordnet: ALLOW für `accept`, `passthrough`, `pass`, `permit`, `detected`, `close` und `edit`; BLOCK für `deny`, `dropped` und `blocked`; FAIL für `timeout`; UNKNOWN_ACTION für andere Werte.
`os`	`principal.platform`, `principal.platform_version`	Wenn der Wert `Windows` enthält, wird `principal.platform` auf `WINDOWS` gesetzt und die Version wird extrahiert und für `principal.platform_version` verwendet.
`osname`	`principal.platform`	Wenn der Wert `WINDOWS` ist, wird `principal.platform` auf `WINDOWS` gesetzt.
`osversion`	`principal.platform_version`	Der Wert wird für `principal.platform_version` verwendet.
`out`	`network.sent_bytes`	Der Wert wird in eine vorzeichenlose Ganzzahl konvertiert und für `network.sent_bytes` verwendet.
`path`	`security_result.description`	Der Wert wird für `security_result.description` verwendet.
`performed_on`	`security_result.about.application`	Der Wert wird für `security_result.about.application` verwendet.
`policyid`	`security_result.rule_id`	Der Wert wird für `security_result.rule_id` verwendet.
`policyname`	`security_result.rule_name`	Der Wert wird für `security_result.rule_name` verwendet.
`policytype`	`security_result.rule_type`	Der Wert wird für `security_result.rule_type` verwendet.
`poluuid`	`additional.fields`	`additional.fields` wird ein zusätzliches Feld mit dem Schlüssel `poluuid` und dem Stringwert des Felds `poluuid` hinzugefügt.
`pri`	`security_result.severity_details`	Der Wert wird für `security_result.severity_details` verwendet.
`profile`	`target.resource.name`, `target.resource.resource_type`	Der Wert wird für `target.resource.name` verwendet und `target.resource.resource_type` wird auf `ACCESS_POLICY` gesetzt.
`proto`	`network.ip_protocol`	Der Wert wird `network.ip_protocol` gemäß der folgenden Zuordnung zugeordnet: UDP für `17`, TCP für `6`, IP6IN4 für `41`, ICMP für `1` und wenn `service` `PING` ist oder `ICMP` enthält.
`protocol`	`network.application_protocol`	Wenn der Wert `udp` ist, wird `network.ip_protocol` auf `UDP` gesetzt. Wenn der Wert `tcp` ist, wird `network.ip_protocol` auf `TCP` gesetzt. Andernfalls wird der Wert geparst und für `network.application_protocol` verwendet.
`qclass`	`network.dns.questions.class`	Wenn der Wert `IN` ist, wird `network.dns.questions.class` auf `1` gesetzt.
`qname`	`network.dns.questions.name`	Der Wert wird für `network.dns.questions.name` verwendet.
`qtypeval`	`network.dns.questions.type`	Der Wert wird in eine vorzeichenlose Ganzzahl konvertiert und in `network.dns.questions.type` umbenannt.
`rcvdbyte`	`network.received_bytes`	Der Wert wird in eine vorzeichenlose Ganzzahl konvertiert und für `network.received_bytes` verwendet.
`rcvdpkt`	`additional.fields`	`additional.fields` wird ein zusätzliches Feld mit dem Schlüssel `receivedPackets` und dem Stringwert des Felds `rcvdpkt` hinzugefügt.
`reason`	`security_result.description`	Wenn der Wert nicht `N/A` oder leer ist, wird er für `security_result.description` verwendet.
`referralurl`	`network.http.referral_url`	Der Wert wird für `network.http.referral_url` verwendet.
`ref`	`metadata.url_back_to_product`	Der Wert wird für `metadata.url_back_to_product` verwendet.
`remip`	`principal.ip`, `principal.asset.ip`	Bei VPN-Ereignissen wird der Wert zu `principal.ip` addiert.
`remport`	`srcport`	Der Wert wird verwendet, um das Feld `srcport` zu ersetzen.
`request`	`target.user.userid`	Wenn der Wert `duid` enthält, wird die duid extrahiert und für `target.user.userid` verwendet.
`sentbyte`	`network.sent_bytes`	Der Wert wird in eine vorzeichenlose Ganzzahl konvertiert und für `network.sent_bytes` verwendet.
`sentpkt`	`additional.fields`	`additional.fields` wird ein zusätzliches Feld mit dem Schlüssel `sentPackets` und dem Stringwert des Felds `sentpkt` hinzugefügt.
`server`	`target.hostname`, `target.asset.hostname`	Bei Nutzerereignissen wird der Wert für `target.hostname` verwendet.
`service`	`network.application_protocol`, `target.application`	Wenn der Wert HTTPS, HTTP, DNS, DHCP oder SMB ist, wird er für `network.application_protocol` verwendet. Andernfalls wird er für `target.application` verwendet.
`sessionid`	`network.session_id`	Der Wert wird für `network.session_id` verwendet.
`session_id`	`network.session_id`	Der Wert wird für `network.session_id` verwendet.
`severity`	`security_result.severity`, `security_result.detection_fields`	Bei CEF-formatierten Protokollen wird der Wert für `security_result.severity` verwendet. `security_result.detection_fields` wird ein Erkennungsfeld mit dem Schlüssel `severity` und dem Wert des Felds `severity` hinzugefügt.

Änderungen

2025-02-24

Optimierung:

dstname wurde target.hostname zugeordnet.
saddr wurde principal.ip zugeordnet.

2025-02-18

Optimierung:

Wenn action = clear_session ist, wird security_result.action = BLOCK zugeordnet.

2025-01-31

Optimierung:

Zuordnung für remip von principal.ip zu target.ip geändert.

2025-01-24

Optimierung:

Wenn srcip mit einer Benutzeroberfläche (UI) oder SSH-Traffic verknüpft ist, wird srcip auf principal.ip zugeordnet.

2025-01-20

Optimierung:

ui, cfgpath, cfgobj, cfgattr und msg wurden additional.fields zugeordnet.

2025-01-08

Optimierung:

Wenn „type“ = event und „subtype“ = vpn ist, wird metadata.event_type mit STATUS_UPDATE verknüpft.
Wenn „type“ = event, „subtype“ = vpn und „action“ = tunnel-stats ist, wird metadata.event_type mit NETWORK_UNCATEGORIZED verknüpft.

2025-01-01

Optimierung:

devid in target.user.userid durch principal.asset.hardware.serial_number ersetzt

2024-12-20

Optimierung:

Das GROK-Muster wurde neu angeordnet.
GROK-Muster zum Parsen neuer Protokolltypen hinzugefügt

2024-12-04

Optimierung:

ipaddr wurde network.dns.answers zugeordnet.
fortihost wurde intermidiary.ip zugeordnet.

2024-11-28

Optimierung:

metadata.event_type wurde USER_CREATION zugeordnet, wenn action = Add.
metadata.event_type wurde USER_DELETION zugeordnet, wenn action = Delete.
metadata.event_type wurde DEVICE_CONFIG_UPDATE zugeordnet, wenn action = Edit.
Zuordnung für devid von security_result.detection_fields zu target.user.userid geändert.

2024-11-28

Optimierung:

metadata.event_type wurde USER_CREATION zugeordnet, wenn action = Add.
metadata.event_type wurde USER_DELETION zugeordnet, wenn action = Delete.
metadata.event_type wurde DEVICE_CONFIG_UPDATE zugeordnet, wenn action = Edit.
Zuordnung für devid von security_result.detection_fields zu target.user.userid geändert.

2024-11-27

Optimierung:

Wenn utmaction vorhanden ist, wird action security_result_1.action_details zugeordnet.

2024-11-21

Optimierung:

Zuordnung für msg von metadata.description zu security_result.summary geändert.
logdesc wurde metadata.description zugeordnet.

2024-11-08

Optimierung:

ui wurde principal.ip und principal.asset.ip zugeordnet.

2024-11-08

Optimierung:

ui wurde principal.ip und principal.asset.ip zugeordnet.

2024-10-15

Optimierung:

type, subtype und level wurden additional.fields zugeordnet.

2024-09-20

Optimierung:

Wenn dstosname gleich DEBIAN ist, setzen Sie target.platform auf LINUX.

2024-09-19

Optimierung:

Wenn service kernel ist, wurde das Drop-Tag entfernt.
mac wurde principal.mac zugeordnet.

2024-09-13

Optimierung:

Es wurde eine bedingte Prüfung für ssl-login-fail und auth-logon hinzugefügt, bevor der Wert des UDM-Felds security_result.action zugeordnet wurde.

2024-08-29

Optimierung:

Wenn action negotiate ist, setzen Sie security_result.action auf BLOCK.
Wenn action tunnel-down, tunnel-stats, tunnel-up und ssl-new-con ist, legen Sie security_result.action auf ALLOW fest.
Wenn action fast gleich tunnel ist oder action = negotiate, setzen Sie metadata.event_type auf NETWORK_CONNECTION.

2024-08-16

Optimierung:

Die Zuordnung von security_result.action wurde von FAIL zu BLOCK geändert, wenn action = timeout ist.

2024-08-13

Optimierung:

logid wurde metadata.product_log_id zugeordnet.
vd wurde principal.administrative_domain zugeordnet.
srcintfrole wurde security_result.detection_fields zugeordnet.
dstintfrole wurde security_result.detection_fields zugeordnet.
sentpkt, rcvdpkt, vpntype, authserver, crlevel, trandisp, policyid und appcat wurden additional.fields zugeordnet.
policytype wurde security_result.rule_type zugeordnet.
craction wurde security_result.about.labels zugeordnet.
crscore wurde security_result.severity_details zugeordnet.
group wurde principal.user.group_identifiers zugeordnet.

2024-08-06

Optimierung:

Zugewiesene Zeichen: auditid, auditscore, auditid, criticalcount, highcount , mediumcount, lowcount, passedcount, criticalcount, srccountry, direction, dstcountry, dstintf, dstintfrole, xid, qtype, qtypeval, qclass, cat, rcode und license_limit an security_result.detection_fields.
cpu, mem, disk, bandwidth, disklograte, fazlograte, freediskstorage, sysuptime, waninfo, trandisp, used_for_type, connection_type, count und fctuid wurden auf additional.fields umgestellt.
totalsession wurde network.session_duration.seconds zugeordnet.
incidentserialno wurde network.tls.client.certificate.serial zugeordnet.
scertcname wurde network.tls.client.certificate.subject zugeordnet.
scertissuer wurde network.tls.client.certificate.issuer zugeordnet.
authserver wurde principal.hostname und principal.asset.hostname zugeordnet.
dstserver und dst_host wurden target.hostname und target.asset.hostname zugeordnet.
dsthwvendor wurde target.resource.attribute.labels zugeordnet.
eventtime wurde metadata.event_timestamp zugeordnet.
reqtype, rcvdbyte, ratemethod, outintf, cookies, useralt, xauthuser, xauthgroup, assignip, vpntunnel, init, stage, role, advpnsc, tunneltype, tunnelid und nextstat auf principal.resource.attribute.labels.
policyid wurde security_result.rule_id zugeordnet.
policytype wurde security_result.rule_type zugeordnet.
date,time und tz wurden metadata.ingested_timestamp zugeordnet.
profile wurde target.resource.name und target.resource.resource_type zugeordnet.
Wenn user eine gültige IP-Adresse ist, wird user auf principal.ip und principal.asset.ip zugeordnet.
group wurde principal.user.group_identifiers zugeordnet.
mode wurde security_result.summary zugeordnet.
result wurde security_result.description zugeordnet.

2024-07-29

Optimierung:

Vor der Zuordnung des UDM-Felds security_result.action wurde eine bedingte Prüfung für das Feld success hinzugefügt.

2024-07-17

Optimierung:

gsub zum Parsen nicht geparster syslog-Protokolle hinzugefügt

2024-07-02

Optimierung:

FTNTFGTappcat wurde additional.fields zugeordnet.
FTNTFGTduration wurde network.session_duration.seconds zugeordnet.
FTNTFGTsentpkt wurde additional.fields und network.sent_packets zugeordnet.
FTNTFGTrcvdpkt wurde additional.fields und network.received_packets zugeordnet.
FTNTFGTdstintfrole wurde security_result.detection_fields zugeordnet.
FTNTFGTsrcintfrole wurde security_result.detection_fields zugeordnet.
FTNTFGTpoluuid wurde security_result.rule_id zugeordnet.
FTNTFGTvd wurde principal.administrative_domain zugeordnet.

2024-05-21

Optimierung:

gsub wurde hinzugefügt, um JSON-Logs zu parsen.

2024-04-19

Optimierung:

Mapped correctshostvalue toprincipal.hostnameby adding gsub function forfw_versionfield. Fehlerkorrektur:
Unterstützung für Protokolle ohne jsonPayload.message-Feld hinzugefügt.

2024-03-07

Optimierung:

httpmethod wurde network.http.method zugeordnet.
agent wurde network.http.user_agent und network.http.parsed_user_agent zugeordnet.
Die Zuordnungen für principal.ip und principal.asset.ip wurden angeglichen.
Die Zuordnungen für principal.hostname und principal.asset.hostname wurden angeglichen.
Die Zuordnungen für target.ip und target.asset.ip wurden angeglichen.
Die Zuordnungen für target.hostname und target.asset.hostname wurden angeglichen.

2023-11-21

Fehlerkorrektur:

dstuser wurde event.idm.read_only_udm.target.user.userid zugeordnet.
dstauthserver wurde event.idm.read_only_udm.target.hostname zugeordnet.
poluuid wurde event.idm.read_only_udm.additional.fields zugeordnet.
srcuuid wurde event.idm.read_only_udm.principal.resource.product_object_id zugeordnet.
dstuuid wurde event.idm.read_only_udm.target.resource.product_object_id zugeordnet.
attack wurde event.idm.read_only_udm.security_result.category_details zugeordnet.
Wenn der Wert von type utm und der Wert von subtype waf ist, ändern Sie event.idm.read_only_udm.metadata.event_type von NETWORK_UNCATEGORIZED in NETWORK_CONNECTION.
Wenn der Wert für direction request ist, legen Sie event.idm.read_only_udm.network.direction auf OUTBOUND fest.
Wenn der Wert für direction response ist,legen Sie event.idm.read_only_udm.network.direction auf INBOUND fest.

2023-11-20

Fehlerkorrektur:

transip wurde principal.nat_ip zugeordnet.
transport wurde principal.nat_port zugeordnet.
tranport wurde target.nat_port zugeordnet.

2023-07-10

Optimierung:

Geparste Rohlogs vom Typ Added FTP Server.

2023-06-01

Optimierung:

log_id wurde metadata.product_log_id zugeordnet.
operation wurde security_result.action_details und security_result.action ALLOW zugeordnet.
performed_on wurde security_result.about.application zugeordnet.
path wurde security_result.description zugeordnet.
pri wurde security_result.severity_details zugeordnet.
mode wurde security_result.summary zugeordnet.
desc wurde metadata.description zugeordnet.
userfrom wurde principal.ip zugeordnet.

2023-05-24

Optimierung:

severity wurde security_result.detection_fields zugeordnet.

2023-04-19

Optimierung:

srcinetsvc und dstinetsvc wurden security_result.detection_fields zugeordnet.

2023-03-06

Optimierung:

wenn type = event und subtype = vpn zugeordnet ist –
event_type zu USER_LOGIN.
extensions.auth.type zu VPN.
devname zu target.hostname.
action wird security_result.action zugeordnet, falls vorhanden, andernfalls utmaction. Anfangs war es umgekehrt.

2023-02-22

metadata.event_type wurde als USER_UNCATEGORIZED anstelle von GENERIC_EVENT zugeordnet, wenn das Feld user vorhanden ist.
msg wurde security_result.summary zugeordnet.
nas wurde principal.nat_ip zugeordnet.
Der Grok-Filter wurde so geändert, dass Daten für target.user.userid geparst werden, wenn logdesc GUI_ENTRY_DELETION enthält.

2023-01-13

shost wurde principal.hostname zugeordnet.

2022-11-24

Optimierung:

tranip wurde target.nat_ip zugeordnet.
Die Zuordnung von msg wurde von security_result.description zu security_result.summary geändert.

2022-10-21

Optimierung:

suser wurde principal.user.user_display_name zugeordnet.
duser wurde target.user.user_display_name zugeordnet.
suid wurde principal.user.userid zugeordnet.
duid wurde target.user.userid zugeordnet.

2022-10-20

Fehlerkorrektur:

Die Zuordnung von security_result.action wurde von BLOCK zu ALLOW geändert, als action=close.

2022-10-13

Optimierung:

Zuordnung für metadata.event_type von GENERIC_EVENT zu USER_DELETION geändert, wenn logdesc = GUI_ENTRY_DELETION
msg wurde security_result.description zugeordnet
devname wurde principal.hostname zugeordnet
user_name wurde target.user.userid zugeordnet
level wurde security_result.severity_details zugeordnet

2022-10-13

Optimierung:

Zuordnung für metadata.event_type von GENERIC_EVENT zu USER_DELETION geändert, wenn logdesc = GUI_ENTRY_DELETION
msg wurde security_result.description zugeordnet
devname wurde principal.hostname zugeordnet
user_name wurde target.user.userid zugeordnet
level wurde security_result.severity_details zugeordnet

2022-10-06

Fehlerkorrektur:

Bedingte Prüfung für die Felder „utmaction“ und „action“ hinzugefügt.
Das Feld „utmaction“ wurde dem Feld „security_result.action“ zugeordnet, sofern vorhanden. Andernfalls wurde das Feld „action“ zugeordnet.

2022-10-06

Fehlerkorrektur:

Bedingte Prüfung für die Felder „utmaction“ und „action“ hinzugefügt.
Das Feld „utmaction“ wurde dem Feld „security_result.action“ zugeordnet, sofern vorhanden. Andernfalls wurde das Feld „action“ zugeordnet.

2022-09-21

Optimierung:

Das Feld „protocol“ wurde auf „network.ip_protocol“ zugeordnet, wenn das Protokoll „tcp“ und „udp“ enthält, andernfalls auf „network.application_protocol“.
Es wurden gsubs hinzugefügt und der Parser wurde so erweitert, dass er CEF-Logs mit unterschiedlichen Feldnamen verarbeiten kann.

2022-09-09

Optimierung:

Kundenspezifische Parser wurden zum Standardparser migriert.
Unterstützung für CEF-Protokolle hinzugefügt.
Das Feld „cs6“ wurde „principal.user.group_identifiers“ zugeordnet.
Das Feld „start“ wurde „metadata.event_timestamp“ zugeordnet.
Das Feld „dvchost“ wurde „intermediary.hostname“ zugeordnet.
Das Feld „dhost“ wurde „target.hostname“ zugeordnet.
Das Feld „src“ wurde „principal.ip“ zugeordnet.
Das Feld „spt“ wurde „principal.port“ zugeordnet.
Das Feld „sourceTranslatedAddress“ wurde „principal.nat_ip“ zugeordnet.
Das Feld „sourceTranslatedPort“ wurde „principal.nat_port“ zugeordnet.
Das Feld „dst“ wurde „target.ip“ zugeordnet.
Das Feld „dpt“ wurde „target.port“ zugeordnet.
Das Feld „out“ wurde „network.sent_bytes“ zugeordnet.
Das Feld „in“ wurde „network.received_bytes“ zugeordnet.
Das Feld „deviceSeverity“ wurde „security_result.severity“ zugeordnet.
Das Feld „act“ wurde den Feldern „security_result.action“ und „security_result.action_details“ zugeordnet.
Das Feld „sentpkt“ wurde „additional.fields“ zugeordnet.
Das Feld „rcvdpkt“ wurde „additional.fields“ zugeordnet.
Es wurden bedingte Null-Prüfungen für die Felder „metadata.product_name“, „metadata.vendor_name“, „sentbyte“, „rcvdbyte“ und „intermediary“ hinzugefügt.
Das Feld „metadata.event_type“ wurde in den folgenden Fällen geändert:
„GENERIC_EVENT“ in „NETWORK_UNCATEGORIZED“, wenn „principal.ip“ und „target.ip“ nicht null sind.
„GENERIC_EVENT“ in „STATUS_UNCATEGORIZED“, wenn „principal.ip“ nicht null ist.

2022-08-22

Optimierung:

Unterstützung für CEF-Protokolle hinzugefügt.
Das Feld „vd“ wurde „principal.administrative_domain“ zugeordnet.
Das Feld „status“ wurde „security_result.summary“ zugeordnet.
Das Feld „msg“ wurde „security_result1.description“ zugeordnet.
Das Feld „ip_address“ wurde „principal.ip“ zugeordnet, wenn das Feld „msg“ vorhanden ist.
Die Zuordnung für das Feld „devname“, das auf „principal.hostname“ zugeordnet war, wurde entfernt.

2022-08-11

Optimierung:

Das Feld app ist additional.fields[n] zugeordnet.
Es wurde eine Null-Bedingungsprüfung für das Feld remip hinzugefügt.

2022-07-21

Optimierung:

Die Zuordnung für group wurde von principal.user.groupid zu principal.user.group_identifiers geändert.

2022-07-13

Optimierung:

Es wurden Zuordnungen für neue Felder hinzugefügt.
appcat wurde auf „event.idm.read_only_udm.additional.fields“ zugeordnet.
apprisk wurde auf „event.idm.read_only_udm.additional.fields“ zugeordnet.
applist wurde auf „event.idm.read_only_udm.additional.fields“ zugeordnet.
appact wurde auf „event.idm.read_only_udm.additional.fields“ zugeordnet.
devid wurde auf „event.idm.read_only_udm.additional.fields“ zugeordnet.

2022-06-20

Optimierung:

security_result.action wird als ALLOW zugeordnet, wenn der Wert des Felds action oder utmaction detected ist.

2022-05-20

Optimierung:

Es wurden Zuordnungen für neue Felder hinzugefügt.
action und utmaction wurden security_result.action_details zugeordnet.
Validierungsüberprüfungen für principal.ip und target.ip hinzugefügt.

2022-04-29

Optimierung:

Unterstützung für „action“ = „timeout“/„close“ für UDM hinzugefügt.
devname wurde auf principal.hostname zugeordnet, wenn das Feld „principal“ leer ist.

2022-04-12

Optimierung:

Es wurden Zuordnungen für neue Felder hinzugefügt.
attackid, die security_result.rule_id zugeordnet ist
crlevel zu security_result.severity
incidentserialno ist metadata.product_log_id zugeordnet
craction zu metadata.product_deployment_id zugeordnet
dstintf zu additional.fields zugeordnet
dstintfrole zu additional.fields zugeordnet

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten