收集 Imperva WAF 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 API (提取) 或 Amazon S3 (推送),從 Imperva Web Application Firewall (WAF) 收集記錄到 Google Security Operations。剖析器會將 SYSLOG+KV、JSON、CEF 和 LEEF 格式的記錄檔轉換為統一資料模型 (UDM)。這項服務會處理各種記錄檔結構、擷取相關欄位、將這些欄位正規化為 UDM 屬性,並加入情境資訊來擴充資料,以利進行更深入的安全性分析。
事前準備
請確認您已完成下列事前準備事項:
- 最符合設定需求的擷取類型 (API 或 Amazon S3)。
- Google SecOps 執行個體。
- AWS 的特殊存取權。
- 具備 Imperva WAF 的特殊存取權。
使用 API 收集 Imperva WAF 記錄
為 Imperva WAF 設定唯讀使用者
- 使用具備權限的帳戶登入 Imperva Console。
- 依序前往「設定」>「使用者和角色」。
- 點選「Add User」。
- 填寫必填欄位:
- 使用者名稱:輸入不重複的使用者名稱。
- 密碼:設定高強度密碼。
- 電子郵件地址:提供使用者的電子郵件地址。
- 在「角色」部分,選取「讀取者」角色。
- 按一下「儲存」,即可建立具備唯讀權限的使用者。
選用:將 Reader 使用者設定為「僅限 API」
- 在「使用者」清單中找出新建立的使用者。
- 按一下使用者名稱旁邊的「動作」按鈕 (三點圖示)。
- 選取「設為僅限 API 的使用者」。
產生 API ID 和 API 金鑰
- 在「使用者」清單中,選取新建立的使用者。
- 選取「設定」,然後按一下「API 金鑰」。
- 按一下「新增 API 金鑰」。
- 填寫必填欄位:
- 名稱:輸入 API 金鑰的描述性名稱。
- 選用:說明:提供選用說明。
- 在「API 金鑰將於以下時間到期」清單中,選取「永不到期」。
- 如要啟用,請選取「狀態」。
- 按一下 [儲存]。
系統會顯示 API ID 和 API 金鑰。請複製並儲存這些憑證,因為系統不會再次顯示。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給的名稱,例如「Imperva Incapsula WAF Logs」。
- 選取「第三方 API」做為「來源類型」。
- 選取「Imperva」做為「記錄類型」。
- 點選「下一步」。
- 指定下列輸入參數的值:
- 驗證 HTTP 標頭:在兩行中輸入 Imperva API ID 和金鑰:
apiId:<YOUR_API_ID>和apiKey:<YOUR_API_KEY>。
- 驗證 HTTP 標頭:在兩行中輸入 Imperva API ID 和金鑰:
- 點選「下一步」。
- 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」。
從內容中心設定動態饋給
為下列欄位指定值:
- 驗證 HTTP 標頭:在兩行中輸入 Imperva API ID 和金鑰:
apiId:<YOUR_API_ID>和apiKey:<YOUR_API_KEY>。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
使用 Amazon S3 收集 Imperva WAF 記錄
設定 AWS IAM 和 S3
- 按照這份使用者指南建立 Amazon S3 值區:建立值區
- 請儲存 bucket 的「名稱」和「區域」,以供後續使用。
- 請按照這份使用者指南建立使用者:建立 IAM 使用者。
- 選取建立的「使用者」。
- 選取「安全憑證」分頁標籤。
- 在「Access Keys」部分中,按一下「Create Access Key」。
- 選取「第三方服務」做為「用途」。
- 點選「下一步」。
- 選用:新增說明標記。
- 按一下「建立存取金鑰」。
- 按一下「Download .csv file」,然後儲存「Access Key」和「Secret Access Key」,以供日後使用。
- 按一下 [完成]。
- 選取 [權限] 分頁標籤。
- 在「權限政策」部分,按一下「新增權限」。
- 選取「新增權限」。
- 選取「直接附加政策」。
- 搜尋並選取 AmazonS3FullAccess 政策。
- 點選「下一步」。
- 按一下「新增權限」。
設定 Imperva WAF Amazon S3 連線
- 使用具備權限的帳戶登入 Imperva Console。
- 依序前往「記錄」>「記錄設定」。
- 選取「Amazon S3」。
- 填寫必填欄位:
- 存取金鑰
- 密鑰
- 路徑:輸入路徑,格式如下:
<Amazon S3 bucket name>/<log folder>,例如:MyBucket/MyIncapsulaLogFolder。
- 按一下「測試連線」,執行完整測試週期,將測試檔案傳輸至指定資料夾。
- 將記錄檔格式選為 CEF。
- 根據預設,記錄檔會經過壓縮。設定不要壓縮檔案。
在 Google SecOps 中設定動態饋給,從 Amazon S3 擷取 Imperva WAF 記錄
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱,例如
Imperva WAF Logs。 - 選取「Amazon S3」做為「來源類型」。
- 選取「Imperva」做為「記錄類型」。
- 點選「下一步」。
指定下列輸入參數的值:
- 區域:Amazon S3 值區所在的區域。
- S3 URI:值區 URI。
s3://your-log-bucket-name/- 請將
your-log-bucket-name替換為實際值區名稱。
- 「URI is a」(URI 為):選取「Directory」(目錄) 或「Directory which includes subdirectories」(包含子目錄的目錄)。
- 來源刪除選項:根據偏好選取刪除選項。
- 存取金鑰 ID:具有 S3 值區存取權的使用者存取金鑰。
- 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。
- 資產命名空間:資產命名空間。
- 擷取標籤:要套用至這個動態饋給事件的標籤。
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| account_id | target.user.userid | JSON 物件中的帳戶 ID |
| act | security_result.action | 如果 act 為 allowed、alert、以 REQ_PASSED 開頭或以 REQ_CACHED 開頭,請設為 ALLOW。如果 act 為 deny、blocked、以 REQ_BLOCKED 開頭或以 REQ_CHALLENGE 開頭,請設為 BLOCK。如果 act 與規則運算式 (?i)REQ_BAD 相符,則設為 FAIL。否則請設為 UNKNOWN_ACTION。 |
| 應用程式 | network.application_protocol | 已從「kv.app」重新命名。轉換為大寫。 |
| calCountryOrRegion | principal.location.country_or_region | 已從「calCountryOrRegion」重新命名。 |
| cat | security_result.action_details | 如果 cat 以 REQ_PASSED 或 REQ_CACHED 開頭,請將 action 設為 ALLOW,並根據 cat 的值將 action_details 設為說明。如果 cat 以 REQ_BAD 開頭,請將 action 設為 FAIL,並根據 cat 的值設定 action_details 的說明。如果 cat 以 REQ_BLOCKED 或 REQ_CHALLENGE 開頭,請將 action 設為 BLOCK,並根據 cat 的值將 action_details 設為說明。 |
| cicode | principal.location.city | 已從「cicode」重新命名。 |
| classified_client | security_result.detection_fields | 如果 classified_client 不是空白,請建立新的 detection_fields 項目,並將鍵設為 classified_client,值設為 classified_client。 |
| client.domain | principal.hostname、principal.asset.hostname | 已從「client.domain」重新命名。 |
| client.geo.country_iso_code | principal.location.country_or_region | 已從「client.geo.country_iso_code」重新命名。 |
| client.ip | principal.ip、principal.asset.ip | 已併入「principal.ip」和「principal.asset.ip」。 |
| cn1 | network.http.response_code | 已從「cn1」重新命名。轉換成整數。 |
| context_key | target.resource.name | 已從「context_key」重新命名。 |
| 國家/地區 | principal.location.country_or_region | 已從「country」重新命名。 |
| credentials_leaked | security_result.detection_fields | 已轉換為字串。如果不是空白,請建立新的 detection_fields 項目,其中鍵為 credentials_leaked,值為 credentials_leaked。 |
| cs1 | security_result.detection_fields | 如果 cs1 不為空白,則為 NA 或 `, create a newdetection_fieldsentry with keycs1Labeland valuecs1`。 |
| cs1Label | security_result.detection_fields | 做為從 cs1 建立的 detection_fields 項目金鑰。 |
| cs2 | security_result.detection_fields | 如果 cs2 不是空白,請建立新的 detection_fields 項目,並將鍵設為 cs2Label,值設為 cs2。 |
| cs2Label | security_result.detection_fields | 做為從 cs2 建立的 detection_fields 項目金鑰。 |
| cs3 | security_result.detection_fields | 如果 cs3 不為空,則為 - 或 `, create a newdetection_fieldsentry with keycs3Labeland valuecs3`。 |
| cs3Label | security_result.detection_fields | 做為從 cs3 建立的 detection_fields 項目金鑰。 |
| cs4 | security_result.detection_fields | 如果 cs4 不是空白,請建立新的 detection_fields 項目,並將鍵設為 cs4Label,值設為 cs4。 |
| cs4Label | security_result.detection_fields | 做為從 cs4 建立的 detection_fields 項目金鑰。 |
| cs5 | security_result.detection_fields | 如果 cs5 不是空白,請建立新的 detection_fields 項目,並將鍵設為 cs5Label,值設為 cs5。 |
| cs5Label | security_result.detection_fields | 做為從 cs5 建立的 detection_fields 項目金鑰。 |
| cs6 | principal.application | 已從「cs6」重新命名。 |
| cs7 | principal.location.region_latitude | 如果 cs7Label 是 latitude,就會重新命名為 principal.location.region_latitude。已轉換為浮點數。 |
| cs7Label | 如果 cs7Label 為 latitude,則用於判斷 cs7 的對應關係。 |
|
| cs8 | principal.location.region_longitude | 如果 cs8Label 是 longitude,就會重新命名為 principal.location.region_longitude。已轉換為浮點數。 |
| cs8Label | 如果 cs8Label 為 longitude,則用於判斷 cs8 的對應關係。 |
|
| cs9 | security_result.rule_name、extensions.vulns.vulnerabilities.name | 如果 cs9 不為空白,請設為 security_result.rule_name,並建立名稱為 cs9 的新 vulnerabilities 項目。 |
| 客戶 | target.user.user_display_name | 已從「Customer」重新命名。 |
| declared_client | security_result.detection_fields | 如果 declared_client 不是空白,請建立新的 detection_fields 項目,並將鍵設為 declared_client,值設為 declared_client。 |
| 說明 | security_result.threat_name | 已從「description」重新命名。 |
| deviceExternalId | network.community_id | 已從「deviceExternalId」重新命名。 |
| deviceReceiptTime | metadata.event_timestamp | 剖析為日期並設為 metadata.event_timestamp。如果為空白,系統會改用 log_timestamp 或 kv.start。 |
| dhost | target.hostname | 已從「kv.dhost」重新命名。 |
| dproc | security_result.category_details | 已從「dproc」重新命名。 |
| dpt | target.port | 已從「kv.dpt」重新命名。轉換成整數。 |
| dst | target.ip、target.asset.ip | 如果 dst 不是空白,則會合併至 target.ip 和 target.asset.ip。 |
| dstPort | target.port | 已從「dstPort」重新命名。轉換成整數。 |
| duser | target.user.userid | 如果 duser 不符合規則運算式 .*?Alert.* 且不為空白,則重新命名為 target.user.userid。 |
| 結束 | security_result.detection_fields | 如果 end 不是空白,請建立新的 detection_fields 項目,並將鍵設為 event_end_time,值設為 end。 |
| event.id | JSON 物件中的活動 ID | |
| event.provider | principal.user.user_display_name | 已從「event.provider」重新命名。 |
| failed_logins_last_24h | security_result.detection_fields | 已轉換為字串。如果不是空白,請建立新的 detection_fields 項目,其中鍵為 failed_logins_last_24h,值為 failed_logins_last_24h。 |
| fileId | network.session_id | 已從「fileId」重新命名。 |
| filePermission | security_result.detection_fields | 如果 filePermission 不是空白,請建立新的 detection_fields 項目,並將鍵設為 filePermission,值設為 filePermission。 |
| fileType | security_result.detection_fields | 如果 fileType 不是空白,請建立新的 detection_fields 項目,並將鍵設為 fileType,值設為 fileType。 |
| 指紋 | security_result.detection_fields | 如果 fingerprint 不是空白,請建立新的 detection_fields 項目,並將鍵設為 log_imperva_fingerprint,值設為 fingerprint。 |
| flexString1 | network.http.response_code | 已從「kv.flexString1」重新命名。轉換成整數。 |
| http.request.body.bytes | network.sent_bytes | 已轉換為無正負號整數。已從「http.request.body.bytes」重新命名。 |
| http.request.method | network.http.method | 已從「http.request.method」重新命名。 |
| imperva.abp.apollo_rule_versions | security_result.detection_fields | 針對 imperva.abp.apollo_rule_versions 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 apollo_rule_versions_{index},值設為該項目。 |
| imperva.abp.bot_behaviors | security_result.detection_fields | 針對 imperva.abp.bot_behaviors 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 bot_behaviors_{index},值設為該項目。 |
| imperva.abp.bot_deciding_condition_ids | security_result.detection_fields | 針對 imperva.abp.bot_deciding_condition_ids 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 bot_deciding_condition_ids_{index},值設為該項目。 |
| imperva.abp.bot_deciding_condition_names | security_result.detection_fields | 針對 imperva.abp.bot_deciding_condition_names 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 bot_deciding_condition_names_{index},值設為該項目。 |
| imperva.abp.bot_triggered_condition_ids | security_result.detection_fields | 針對 imperva.abp.bot_triggered_condition_ids 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 bot_triggered_condition_ids_{index},值設為該項目。 |
| imperva.abp.bot_triggered_condition_names | security_result.detection_fields | 針對 imperva.abp.bot_triggered_condition_names 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 bot_triggered_condition_names_{index},值設為該項目。 |
| imperva.abp.bot_violations | security_result.detection_fields | 針對 imperva.abp.bot_violations 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 bot_violations_{index},值設為該項目。 |
| imperva.abp.customer_request_id | network.session_id | 已從「imperva.abp.customer_request_id」重新命名。 |
| imperva.abp.headers_accept_encoding | security_result.detection_fields | 如果 imperva.abp.headers_accept_encoding 不是空白,請建立新的 detection_fields 項目,並將鍵設為 Accept Encoding,值設為 imperva.abp.headers_accept_encoding。 |
| imperva.abp.headers_accept_language | security_result.detection_fields | 如果 imperva.abp.headers_accept_language 不是空白,請建立新的 detection_fields 項目,並將鍵設為 Accept Language,值設為 imperva.abp.headers_accept_language。 |
| imperva.abp.headers_connection | security_result.detection_fields | 如果 imperva.abp.headers_connection 不是空白,請建立新的 detection_fields 項目,並將鍵設為 headers_connection,值設為 imperva.abp.headers_connection。 |
| imperva.abp.headers_referer | network.http.referral_url | 已從「imperva.abp.headers_referer」重新命名。 |
| imperva.abp.hsig | security_result.detection_fields | 如果 imperva.abp.hsig 不是空白,請建立新的 detection_fields 項目,並將鍵設為 hsig,值設為 imperva.abp.hsig。 |
| imperva.abp.monitor_action | security_result.action、security_result.severity | 如果 imperva.abp.monitor_action 與規則運算式 (?i)allow 相符,請將 security_action 設為 ALLOW,並將 severity 設為 INFORMATIONAL。如果 imperva.abp.monitor_action 符合規則運算式 (?i)captcha 或 (?i)block,請將 security_action 設為 BLOCK。 |
| imperva.abp.pid | principal.process.pid | 已從「imperva.abp.pid」重新命名。 |
| imperva.abp.policy_id | security_result.detection_fields | 如果 imperva.abp.policy_id 不是空白,請建立新的 detection_fields 項目,並將鍵設為 Policy Id,值設為 imperva.abp.policy_id。 |
| imperva.abp.policy_name | security_result.detection_fields | 如果 imperva.abp.policy_name 不是空白,請建立新的 detection_fields 項目,並將鍵設為 Policy Name,值設為 imperva.abp.policy_name。 |
| imperva.abp.random_id | additional.fields | 如果 imperva.abp.random_id 不是空白,請建立新的 additional.fields 項目,並將鍵設為 Random Id,值設為 imperva.abp.random_id。 |
| imperva.abp.request_type | principal.labels | 如果 imperva.abp.request_type 不是空白,請建立新的 principal.labels 項目,並將鍵設為 request_type,值設為 imperva.abp.request_type。 |
| imperva.abp.selector | security_result.detection_fields | 如果 imperva.abp.selector 不是空白,請建立新的 detection_fields 項目,並將鍵設為 selector,值設為 imperva.abp.selector。 |
| imperva.abp.selector_derived_id | security_result.detection_fields | 如果 imperva.abp.selector_derived_id 不是空白,請建立新的 detection_fields 項目,並將鍵設為 selector_derived_id,值設為 imperva.abp.selector_derived_id。 |
| imperva.abp.tls_fingerprint | security_result.description | 已從「imperva.abp.tls_fingerprint」重新命名。 |
| imperva.abp.token_id | target.resource.product_object_id | 已從「imperva.abp.token_id」重新命名。 |
| imperva.abp.zuid | additional.fields | 如果 imperva.abp.zuid 不是空白,請建立新的 additional.fields 項目,並將鍵設為 zuid,值設為 imperva.abp.zuid。 |
| imperva.additional_factors | additional.fields | 針對 imperva.additional_factors 中的每個項目,建立新的 additional.fields 項目,並將鍵設為 additional_factors_{index},值設為該項目。 |
| imperva.audit_trail.event_action | security_result.detection_fields | 如果 imperva.audit_trail.event_action 不是空白,請建立新的 detection_fields 項目,並將鍵設為 imperva.audit_trail.event_action,值設為 imperva.audit_trail.event_action_description。 |
| imperva.audit_trail.event_action_description | security_result.detection_fields | 做為從 imperva.audit_trail.event_action 建立的 detection_fields 項目值。 |
| imperva.audit_trail.event_context | security_result.detection_fields | 如果 imperva.audit_trail.event_context 不是空白,請建立新的 detection_fields 項目,並將鍵設為 imperva.audit_trail.event_context,值設為 imperva.audit_trail.event_context_description。 |
| imperva.audit_trail.event_context_description | security_result.detection_fields | 做為從 imperva.audit_trail.event_context 建立的 detection_fields 項目值。 |
| imperva.country | principal.location.country_or_region | 已從「imperva.country」重新命名。 |
| imperva.declared_client | security_result.detection_fields | 如果 imperva.declared_client 不是空白,請建立新的 detection_fields 項目,並將鍵設為 declared_client,值設為 imperva.declared_client。 |
| imperva.device_reputation | additional.fields | 針對 imperva.device_reputation 中的每個項目,建立新的 additional.fields 項目,其中包含鍵 device_reputation 和含有該項目的清單值。 |
| imperva.domain_risk | security_result.detection_fields | 如果 imperva.domain_risk 不是空白,請建立新的 detection_fields 項目,並將鍵設為 domain_risk,值設為 imperva.domain_risk。 |
| imperva.failed_logins_last_24h | security_result.detection_fields | 已轉換為字串。如果不是空白,請建立新的 detection_fields 項目,其中鍵為 failed_logins_last_24h,值為 failed_logins_last_24h。 |
| imperva.fingerprint | security_result.detection_fields | 如果 imperva.fingerprint 不是空白,請建立新的 detection_fields 項目,並將鍵設為 log_imperva_fingerprint,值設為 imperva.fingerprint。 |
| imperva.ids.account_id | metadata.product_log_id | 已從「imperva.ids.account_id」重新命名。 |
| imperva.ids.account_name | metadata.product_event_type | 已從「imperva.ids.account_name」重新命名。 |
| imperva.ids.site_id | additional.fields | 如果 imperva.ids.site_id 不是空白,請建立新的 additional.fields 項目,並將鍵設為 site_id,值設為 imperva.ids.site_id。 |
| imperva.ids.site_name | additional.fields | 如果 imperva.ids.site_name 不是空白,請建立新的 additional.fields 項目,並將鍵設為 site_name,值設為 imperva.ids.site_name。 |
| imperva.referrer | network.http.referral_url | 已從「imperva.referrer」重新命名。 |
| imperva.request_session_id | network.session_id | 已從「imperva.request_session_id」重新命名。 |
| imperva.request_user | security_result.detection_fields | 如果 imperva.request_user 不是空白,請建立新的 detection_fields 項目,並將鍵設為 request_user,值設為 imperva.request_user。 |
| imperva.risk_level | security_result.severity_details | 已從「imperva.risk_level」重新命名。 |
| imperva.risk_reason | security_result.description | 已從「imperva.risk_reason」重新命名。 |
| imperva.significant_domain_name | security_result.detection_fields | 如果 imperva.significant_domain_name 不是空白,請建立新的 detection_fields 項目,並將鍵設為 significant_domain_name,值設為 imperva.significant_domain_name。 |
| imperva.violated_directives | security_result.detection_fields | 針對 imperva.violated_directives 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 violated_directives,值設為該項目。 |
| 在 | network.received_bytes | 已從「in」重新命名。已轉換為無正負號整數。 |
| log_timestamp | metadata.event_timestamp | 如果 deviceReceiptTime 和 kv.start 皆為空白,請設為 metadata.event_timestamp。 |
| 訊息 | metadata.description | 如果 message 不為空白,且 event.provider、imperva.ids.account_name 和 client.ip 皆為空白,請設為 metadata.description。 |
| postbody | security_result.detection_fields | 如果 postbody 不是空白,請建立新的 detection_fields 項目,並將鍵設為 post_body_info,值設為 postbody。 |
| proto | network.application_protocol | 已從「proto」重新命名。 |
| protoVer | network.tls.version、network.tls.cipher | 如果 protoVer 不是空白,系統會剖析並擷取 tls_version 和 tls_cipher,然後分別重新命名為 network.tls.version 和 network.tls.cipher。 |
| 要求 | target.url | 已從「kv.request」重新命名。 |
| requestClientApplication | network.http.user_agent | 已從「requestClientApplication」重新命名。 |
| requestMethod | network.http.method | 已從「requestMethod」重新命名。轉換為大寫。 |
| resource_id | target.resource.id | 已從「resource_id」重新命名。 |
| resource_type_key | target.resource.type | 已從「resource_type_key」重新命名。 |
| rt | metadata.event_timestamp | 剖析以擷取 deviceReceiptTime,然後剖析為日期並設為 metadata.event_timestamp。 |
| security_result.action | security_result.action | 與 _action 欄位的值合併。 |
| security_result.severity | security_result.severity | 如果 sevs 為 error 或 warning,請設為 HIGH。如果 sevs 是 critical,則設為 CRITICAL。如果 sevs 為 medium 或 notice,請設為 MEDIUM。如果 sevs 是 information 或 info,請設為 LOW。 |
| server.domain | target.hostname、target.asset.hostname | 已從「server.domain」重新命名。 |
| server.geo.name | target.location.name | 已從「server.geo.name」重新命名。 |
| 嚴重性 | security_result.threat_id | 已從「severity」重新命名。 |
| siteid | security_result.detection_fields | 如果 siteid 不是空白,請建立新的 detection_fields 項目,並將鍵設為 siteid,值設為 siteid。 |
| sourceServiceName | target.hostname | 已從「kv.sourceServiceName」重新命名。 |
| spt | principal.port | 已從「kv.spt」重新命名。轉換成整數。 |
| src | principal.ip、principal.asset.ip | 如果 src 不是空白,則會合併至 principal.ip 和 principal.asset.ip。 |
| srcPort | principal.port | 已從「srcPort」重新命名。轉換成整數。 |
| 開始 | security_result.detection_fields、metadata.event_timestamp | 如果 start 不是空白,請建立新的 detection_fields 項目,並將鍵設為 event_start_time,值設為 start。如果 deviceReceiptTime 為空白,系統也會將其剖析為日期,並設為 metadata.event_timestamp。 |
| successful_logins_last_24h | security_result.detection_fields | 已轉換為字串。如果不是空白,請建立新的 detection_fields 項目,其中鍵為 successful_logins_last_24h,值為 successful_logins_last_24h。 |
| suid | target.user.userid | 已從「suid」重新命名。 |
| 時間 | metadata.event_timestamp | 已轉換為字串。剖析為日期,並設為 metadata.event_timestamp。 |
| type_key | metadata.product_event_type | 已從「type_key」重新命名。 |
| 網址 | target.process.file.full_path | 如果 url.path 不是空白或 /,請設為 target.process.file.full_path。 |
| 網址 | target.url | 已從「url」重新命名。如果 qstr 不是空白,則會附加至 url,並以 ? 分隔符分隔。 |
| user.email | principal.user.email_addresses | 如果 user.email 不為空白且符合規則運算式 ^.+@.+$,則會合併至 principal.user.email_addresses。 |
| user_agent | network.http.user_agent | 已從「user_agent」重新命名。 |
| user_agent.original | network.http.parsed_user_agent | 如果 user_agent.original 不是空白或 *,則會轉換為 parseduseragent 並重新命名為 network.http.parsed_user_agent。 |
| user_details | principal.user.email_addresses | 如果 user_details 不為空白且符合規則運算式 ^.+@.+$,則會合併至 principal.user.email_addresses。 |
| user_id | principal.user.userid | 已從「user_id」重新命名。 |
| ver | network.tls.version、network.tls.cipher | 如果 ver 不是空白,系統會剖析並擷取 tls_version 和 tls_cipher,然後分別重新命名為 network.tls.version 和 network.tls.cipher。 |
| xff | intermediary.ip、intermediary.asset.ip、intermediary.hostname、intermediary.asset.hostname | 如果 xff 不為空白,系統會處理並擷取 IP 位址和主機名稱。IP 位址會合併至 intermediary.ip 和 intermediary.asset.ip。主機名稱設為 intermediary.hostname 和 intermediary.asset.hostname。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。