Diese Seite wurde von der Cloud Translation API übersetzt.

Juniper NetScreen-Firewall-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Juniper NetScreen-Firewall-Logs so einrichten, dass sie an Google Security Operations gesendet werden. Der Parser extrahiert Felder mithilfe von Grok-Mustern und verarbeitet verschiedene syslog-Formate und JSON-Nutzlasten. Diese extrahierten Felder werden dann dem UDM zugeordnet und Ereignisse werden je nach Vorhandensein bestimmter Felder wie IP-Adressen, Nutzernamen und Ports als Netzwerkverbindungen, Nutzeranmeldungen, Statusaktualisierungen oder allgemeine Ereignisse kategorisiert.

Hinweise

Sie benötigen Administratorzugriff auf Ihre Juniper NetScreen-Firewall.
Sie benötigen eine Google Security Operations-Instanz.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profil.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

Rufen Sie die Konfigurationsdatei auf:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: juniper_firewall
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Juniper Networks NetScreen-Firewall konfigurieren

Melden Sie sich in der Weboberfläche von Juniper NetScreen an.
Wählen Sie Konfiguration > Berichtseinstellungen > Protokolleinstellungen aus.
Setzen Sie ein Häkchen in alle Kästchen unter Ereignisschwere.
Klicken Sie auf Übernehmen.
Wählen Sie Konfiguration > Berichtseinstellungen > Syslog aus.
Klicken Sie das Kästchen Syslog-Nachrichten aktivieren an.
Wählen Sie in der Liste Source interface (Quellschnittstelle) die NetScreen-Schnittstelle aus, über die die syslog-Pakete gesendet werden müssen.
Klicken Sie im Bereich Syslog-Server das Kästchen Aktivieren an und geben Sie Folgendes ein:
1. IP/Hostname: Geben Sie die IP-Adresse von Bindplane ein.
2. Port: Geben Sie die Portnummer Bindplane ein.
3. MDR-Einrichtung: Wählen Sie die Einrichtungsebene Local0 aus.
4. Facility (Einrichtung): Wählen Sie die Einrichtungsebene Local0 aus.
Klicken Sie auf Übernehmen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`ACTION`	`security_result.action_details`	Direkt aus dem Feld `ACTION` zugeordnet, das über GROK- und KV-Filter extrahiert wurde.
`APPLICATION`	`principal.application`	Direkt aus dem Feld `APPLICATION` zugeordnet, das über GROK- und KV-Filter extrahiert wurde.
`application`	`target.application`	Direkt aus dem über GROK extrahierten Feld `application` zugeordnet.
`attack-name`	`security_result.threat_name`	Direkt aus dem über GROK extrahierten Feld `attack-name` zugeordnet.
`bytes-from-client`	`network.sent_bytes`	Direkt aus dem über GROK extrahierten Feld `bytes-from-client` zugeordnet.
`bytes-from-server`	`network.received_bytes`	Direkt aus dem über GROK extrahierten Feld `bytes-from-server` zugeordnet.
`command`	`target.process.command_line`	Direkt aus dem über GROK extrahierten Feld `command` zugeordnet.
`destination-address`	`target.ip`	Direkt aus dem über GROK extrahierten Feld `destination-address` zugeordnet.
`destination-port`	`target.port`	Direkt aus dem über GROK extrahierten Feld `destination-port` zugeordnet.
`destination-zone`	`additional.fields[].value.string_value`	Direkt aus dem Feld `destination-zone` zugeordnet, das über GROK- und KV-Filter extrahiert wurde. `key` ist auf `destination-zone` festgelegt.
`destination_zone-name`	`security_result.detection_fields[].value`	Direkt aus dem über GROK extrahierten Feld `destination_zone-name` zugeordnet. `key` ist auf `dstzone` festgelegt.
`dst-nat-rule-name`	`security_result.detection_fields[].value`	Direkt aus dem über GROK extrahierten Feld `dst-nat-rule-name` zugeordnet. `key` ist auf `dst-nat-rule-name` festgelegt.
`dst-nat-rule-type`	`security_result.detection_fields[].value`	Direkt aus dem über GROK extrahierten Feld `dst-nat-rule-type` zugeordnet. `key` ist auf `dst-nat-rule-type` festgelegt.
`elapsed-time`	`network.session_duration.seconds`	Direkt aus dem über GROK extrahierten Feld `elapsed-time` zugeordnet.
`encrypted`	`security_result.detection_fields[].value`	Direkt aus dem über GROK extrahierten Feld `encrypted` zugeordnet. `key` ist auf `encrypted` festgelegt.
`event_time`	`metadata.event_timestamp`	Der Zeitstempel wird mithilfe verschiedener GROK-Muster aus dem Rohprotokoll extrahiert. Dabei wird `event_time`, dann `TIMESTAMP_ISO8601` und schließlich `SYSLOGTIMESTAMP` priorisiert. Anschließend wird es in ein Zeitstempelobjekt umgewandelt.
`host`	`principal.hostname`, `intermediary.hostname`	Wenn `type` = `NetScreen` ist, wird `intermediary.hostname` zugeordnet. Andernfalls wird `principal.hostname` zugeordnet.
`host_ip`	`intermediary.ip`	Direkt aus dem über GROK extrahierten Feld `host_ip` zugeordnet.
`icmp-type`	`network.icmp_type`	Direkt aus dem über GROK extrahierten Feld `icmp-type` zugeordnet.
`ident`	`target.application`	Direkt aus dem Feld `ident` zugeordnet, das über GROK- und JSON-Filter extrahiert wurde.
`inbound-bytes`	`network.received_bytes`	Direkt aus dem über GROK extrahierten Feld `inbound-bytes` zugeordnet.
`inbound-packets`	`network.received_packets`	Direkt aus dem über GROK extrahierten Feld `inbound-packets` zugeordnet.
`ip`	`principal.ip`, `intermediary.ip`	Wenn `type` = `NetScreen` ist, wird `intermediary.ip` zugeordnet. Andernfalls wird `principal.hostname` zugeordnet.
`message`	`security_result.description`	Wenn die Nachricht JSON ist und das Feld `log_message_data` nicht vorhanden ist, wird das Feld `message` als Beschreibung verwendet.
`msg_data`	`security_result.summary`	Direkt aus dem über GROK extrahierten Feld `msg_data` zugeordnet.
`nat-destination-address`	`target.nat_ip`	Direkt aus dem über GROK extrahierten Feld `nat-destination-address` zugeordnet.
`nat-destination-port`	`target.nat_port`	Direkt aus dem über GROK extrahierten Feld `nat-destination-port` zugeordnet.
`nat-source-address`	`principal.nat_ip`	Direkt aus dem über GROK extrahierten Feld `nat-source-address` zugeordnet.
`nat-source-port`	`principal.nat_port`	Direkt aus dem über GROK extrahierten Feld `nat-source-port` zugeordnet.
`outbound-bytes`	`network.sent_bytes`	Direkt aus dem über GROK extrahierten Feld `outbound-bytes` zugeordnet.
`outbound-packets`	`network.sent_packets`	Direkt aus dem über GROK extrahierten Feld `outbound-packets` zugeordnet.
`packets-from-client`	`network.sent_packets`	Direkt aus dem über GROK extrahierten Feld `packets-from-client` zugeordnet.
`packets-from-server`	`network.received_packets`	Direkt aus dem über GROK extrahierten Feld `packets-from-server` zugeordnet.
`packet-incoming-interface`	`security_result.detection_fields[].value`	Direkt aus dem über GROK extrahierten Feld `packet-incoming-interface` zugeordnet. `key` ist auf `packet-incoming-interface` festgelegt.
`pid`	`target.process.pid`	Direkt aus dem Feld `pid` zugeordnet, das über GROK- und JSON-Filter extrahiert wurde.
`policy-name`	`security_result.rule_name`	Direkt aus dem über GROK extrahierten Feld `policy-name` zugeordnet.
`PROFILE`	`additional.fields[].value.string_value`	Direkt aus dem Feld `PROFILE` zugeordnet, das über GROK- und KV-Filter extrahiert wurde. `key` ist auf `PROFILE` festgelegt.
`protocol-id`, `protocol-name`	`network.ip_protocol`	Über GROK aus dem Feld `protocol-id` oder `protocol-name` zugeordnet. Der Wert wird in das entsprechende IP‑Protokoll-Enum umgewandelt.
`REASON`	`additional.fields[].value.string_value`	Direkt aus dem Feld `REASON` zugeordnet, das über GROK- und KV-Filter extrahiert wurde. `key` ist auf `REASON` festgelegt.
`reason`	`security_result.description`	Direkt aus dem über GROK extrahierten Feld `reason` zugeordnet.
`rule-name`	`security_result.rule_name`	Direkt aus dem über GROK extrahierten Feld `rule-name` zugeordnet.
`SESSION_ID`	`network.session_id`	Direkt aus dem Feld `SESSION_ID` zugeordnet, das über GROK- und KV-Filter extrahiert wurde.
`service-name`	`security_result.detection_fields[].value`	Direkt aus dem über GROK extrahierten Feld `service-name` zugeordnet. `key` ist auf `srvname` festgelegt.
`source-address`	`principal.ip`	Direkt aus dem über GROK extrahierten Feld `source-address` zugeordnet.
`source-port`	`principal.port`	Direkt aus dem über GROK extrahierten Feld `source-port` zugeordnet.
`source-zone`	`additional.fields[].value.string_value`	Direkt aus dem Feld `source-zone` zugeordnet, das über GROK- und KV-Filter extrahiert wurde. `key` ist auf `source-zone` festgelegt.
`source_zone-name`	`security_result.detection_fields[].value`	Direkt aus dem über GROK extrahierten Feld `source_zone-name` zugeordnet. `key` ist auf `srczone` festgelegt.
`src-nat-rule-name`	`security_result.detection_fields[].value`	Direkt aus dem über GROK extrahierten Feld `src-nat-rule-name` zugeordnet. `key` ist auf `src-nat-rule-name` festgelegt.
`src-nat-rule-type`	`security_result.detection_fields[].value`	Direkt aus dem über GROK extrahierten Feld `src-nat-rule-type` zugeordnet. `key` ist auf `src-nat-rule-type` festgelegt.
`subtype`	`metadata.product_event_type`	Direkt aus dem über GROK extrahierten Feld `subtype` zugeordnet.
`threat-severity`	`security_result.severity_details`	Direkt aus dem über GROK extrahierten Feld `threat-severity` zugeordnet.
`time`	`metadata.event_timestamp`	Direkt aus dem Feld `time` zugeordnet, das über GROK- und JSON-Filter extrahiert wurde. In ein Zeitstempelobjekt konvertiert.
`username`	`target.user.userid`	Direkt aus dem über GROK extrahierten Feld `username` zugeordnet.
	`metadata.log_type`	Hartcodiert auf `JUNIPER_FIREWALL`. Fest auf `JUNIPER_FIREWALL` oder `NetScreen` codiert, je nach dem Feld `type`. Hartcodiert auf `JUNIPER_FIREWALL`. Wird basierend auf der Logik im Parser auf „ALLOW“ (Zulassen) oder „BLOCK“ (Blockieren) gesetzt. Legen Sie anhand der Felder `subtype` und `severity_details` den Wert „LOW“, „MEDIUM“, „HIGH“, „INFORMATIONAL“ oder „CRITICAL“ fest.

Änderungen

2025-02-20

Optimierung:

Die Zuordnung von target.user.userid zu additional.fields wurde geändert, wenn user_value mit RT_FLOW beginnt.

2025-02-06

Optimierung:

Wenn user_value UI_LOGIN_EVENT ist, ordnen Sie ihm additional.fields zu.

2025-01-15

Optimierung:

Wenn user_name RT_FLOW_SESSION_DENY hat, ordnen Sie es security_result.action als BLOCK zu. Andernfalls ändern Sie die Zuordnung von user_name von target.user.userid zu security_result.summary.
sec_desc wurde security_result.description zugeordnet.

2024-10-31

Optimierung:

Es wurde ein neues Grok-Muster zum Parsen nicht geparster Protokolle hinzugefügt.
processid wurde target.process.id zugeordnet
TSr und TSi wurden additional.fields zugeordnet.
Die Funktion gsub wurde hinzugefügt, um Remote-IP auf target.ip abzubilden.
Die Funktion gsub wurde hinzugefügt, um TSi und Local_IKE_ID zu additional.fields zuzuordnen.
kv_data1 wurde der KV-Filter hinzugefügt, um nicht geparste Felder zu analysieren.

2024-10-30

Optimierung:

Es wurde ein neues Grok-Muster zum Parsen eines neuen Protokollmusters hinzugefügt.
fw wurde intermediary.ip zugeordnet.
msg1 wurde security_result.summary zugeordnet.
desc wurde metadata.description zugeordnet.

2024-10-24

Optimierung:

Es wurde ein neues Grok-Muster hinzugefügt, um Protokolle im neuen SYSLOG+KV-Format zu parsen.
local_ip wurde principal.ip und principal.assest.ip zugeordnet.
remote_ip wurde target.ip und target.asset.ip zugeordnet.

2024-10-11

Optimierung:

hostn wurde principal.hostname zugeordnet.
app wurde principal.application zugeordnet.
pid wurde principal.process.pid zugeordnet.
event_title wurde metadata.product_event_type zugeordnet.
event_message wurde metadata.description zugeordnet.
Local-ip wurde principal.ip und principal.asset.ip zugeordnet.
Gateway_Name, vpn, tunnel_id, tunnel_if, Local_IKE_ID, Remote_IKE_ID, AAA_username, VR_id, Traffic_selector, Traffic_selector_Remote_ID, Traffic_selector_local_ID, SA_Type, Reason, threshold, time-period und error-message_data auf observer.resource.attribute.labels
target_ip wurde target.ip und target.asset.ip zugeordnet.
data wurde target.ip und target.asset.ip zugeordnet.

2024-06-28

Optimierung:

Die Grok-Muster wurden geändert, um nicht geparste Protokolle zu analysieren.
Grok-Muster wurden dem Feld msg_data hinzugefügt, um die Felder user_id, principal_host, file_path, pid_2 und server_ip zu extrahieren.
principal_host wurde principal.hostname zugeordnet.
user_id wurde target.user.userid zugeordnet.
file_path wurde target.file.full_path zugeordnet.
pid_2 wurde target.process.pid zugeordnet.
server_ip wurde target.ip zugeordnet.
event_time wurde korrekt auf metadata.event_timestamp zugeordnet, indem rebase entfernt wurde, wenn das Jahr vorhanden ist.

2024-01-22

Fehlerkorrektur:

Es wurden neue Grok-Muster hinzugefügt, um das Feld message mit Schlüssel/Wert-Daten zu parsen.
ACTION wurde security_result.action_details zugeordnet.
SESSION_ID wurde network.session_id zugeordnet.
APPLICATION wurde principal.application zugeordnet.
pingCtlOwnerIndex, pingCtlTestName, usp_lsys_max_num_rpd, usp_lsys_max_num, urlcategory_risk, application_sub_category, source-zone, destination-zone, NESTED-APPLICATION, CATEGORY, REASON, PROFILE, source_rule, retrans_timer und arp_unicast_mode auf additional.fields.
time wurde metadata.event_timestamp zugeordnet.

2023-12-31

Fehlerkorrektur:

Unterstützung für ein neues Muster von JSON-Protokollen hinzugefügt.
time wurde metadata.event_timestamp zugeordnet.
host wurde principal.hostname zugeordnet.
ident wurde target.application zugeordnet.
pid wurde target.process.pid zugeordnet.
Grok-Muster zum Parsen des Felds message wurden hinzugefügt.

2023-12-15

Optimierung:

internal-protocol wurde network.ip_protocol zugeordnet .
state wurde security_result.detection_fields zugeordnet.
internal-ip wurde principal.ip zugeordnet.
reflexive-ip wurde target.ip zugeordnet.
internal-port wurde principle.port zugeordnet.
reflexive-port wurde target.port zugeordnet.
local-address wurde principal.ip zugeordnet.
remote-address wurde target.ip zugeordnet.
KV-Filter mit der Quelle task_summary hinzugefügt.
dns-server-address wurde principal.ip zugeordnet.
domain-name wurde principal.administrative_domain zugeordnet.
argument1 wurde network.direction zugeordnet.
state wurde security_result.detection_fields zugeordnet.
test-owner wurde additional.fields zugeordnet.
local-initiator wurde additional.fields zugeordnet.
test-name wurde additional.fields zugeordnet.
SPI wurde additional.fields zugeordnet.
AUX-SPI wurde additional.fields zugeordnet.
Type wurde additional.fields zugeordnet.
error-message wurde security_result.summary zugeordnet.

2023-11-02

Optimierung:

Neues Grok-Muster zum Parsen von Protokollen im neuen SYSLOG+KV-Format hinzugefügt.

2023-08-24

Optimierung:

Die Funktion „gsub“ wurde hinzugefügt, um Sonderzeichen zu entfernen.

2023-08-02

Optimierung:

Das Grok-Muster wurde geändert, um neue Protokollformate für den NetScreen-Typ zu unterstützen.
Unterstützung für die Typen RT_FLOW_SESSION_CREATE_LS, RT_FLOW_SESSION_CLOSE_LS und RT_FLOW_SESSION_DENY_LS hinzugefügt.
sent wurde network.sent_bytes zugeordnet.
rcvd wurde network.received_bytes zugeordnet.

2023-05-05

Optimierung:

rule-name wurde security_result.rule_id zugeordnet.
rulebase-name wurde security_result.detection_fields zugeordnet.
export-id wurde security_result.detection_fields zugeordnet.
repeat-count wurde security_result.detection_fields zugeordnet.
packet-log-id wurde security_result.detection_fields zugeordnet.
alert wird is_alert zugeordnet, wenn der Wert yes ist.
outbound-packets wurde network.sent_packets zugeordnet.
inbound-packets wurde network.received_packets zugeordnet.
outbound-bytes wurde network.sent_bytes zugeordnet.
inbound-bytes wurde network.received_bytes zugeordnet.

2023-03-08

Optimierung:

application wurde target.application zugeordnet.
reason wurde security_result.description zugeordnet.
application-characteristics wurde security_result.summary zugeordnet.
application-risk wurde security_result.severity_details zugeordnet.
application-category wurde security_result.detection_fields zugeordnet.
application-sub-category wurde security_result.detection_fields zugeordnet.
dst-nat-rule-name wurde security_result.detection_fields zugeordnet.
dst-nat-rule-type wurde security_result.detection_fields zugeordnet.
src-nat-rule-name wurde security_result.detection_fields zugeordnet.
src-nat-rule-type wurde security_result.detection_fields zugeordnet.
encrypted wurde security_result.detection_fields zugeordnet.
nested-application wurde security_result.detection_fields zugeordnet.
packet-incoming-interface wurde security_result.detection_fields zugeordnet.
session-id-32 wurde network.session_id zugeordnet.
packets-from-client wurde network.sent_packets zugeordnet.
packets-from-server wurde network.received_packets zugeordnet.
bytes-from-client wurde network.sent_bytes zugeordnet.
bytes-from-server wurde network.received_bytes zugeordnet.
elapsed-time wurde network.session_duration.seconds zugeordnet.
nat-destination-address wurde target.nat_ip zugeordnet.
nat-destination-port wurde target.nat_port zugeordnet.
source-destination-address wurde principal.nat_ip zugeordnet.
source-destination-port wurde principal.nat_port zugeordnet.

2023-01-18

Fehlerkorrektur:

Die Bedingung wurde so geändert, dass die Groß- und Kleinschreibung ignoriert wird, um BLOCK zu security_result.action zuzuordnen, wenn action drop/DROP ist.
msg_data wurde security_result.description zugeordnet, wenn no_app_name auf „falsch“ gesetzt ist.
threat-severity wurde security_result.severity zugeordnet.
Das Feld message wurde metadata.description zugeordnet.
app_name wurde target.application zugeordnet.
pid wurde target.process.pid zugeordnet.
desc wurde metadata.description zugeordnet.
username wurde principal.user.userid zugeordnet.
command wurde target.process.command_line zugeordnet.
action wurde security_result.action_details zugeordnet.
sec_description wurde security_result.description zugeordnet.
application-name wurde network.application_protocol zugeordnet.

2023-01-15

Optimierung:

Modifiziertes Grok-Muster zur Unterstützung nicht geparster Protokolle vom Typ UI_CMDLINE_READ_LINE, UI_COMMIT_PROGRESS, UI_CHILD_START, UI_CFG_AUDIT_OTHER, UI_LOGIN_EVENT, UI_CHILD_STATUS, UI_LOGOUT_EVENT, UI_LOAD_EVENT, JTASK_IO_CONNECT_FAILED, UI_AUTH_EVENT, UI_NETCONF_CMD, UI_COMMIT_NO_MASTER_PASSWORD, UI_CFG_AUDIT_SET, UI_JUNOSCRIPT_CMD, SNMPD_AUTH_FAILURE, UI_CFG_AUDIT_NEW, UI_COMMIT , LIBJNX_LOGIN_ACCOUNT_LOCKED, UI_COMMIT_COMPLETED, PAM_USER_LOCK_LOGIN_REQUESTS_DENIED, RTPERF_CPU_USAGE_OK, RTPERF_CPU_THRESHOLD_EXCEEDED, LIBJNX_LOGIN_ACCOUNT_UNLOCKED, JSRPD_SET_OTHER_INTF_MON_FAIL, JSRPD_SET_SCHED_MON_FAILURE, UI_CHILD_WAITPID, UI_DBASE_LOGIN_EVENT.

2022-11-07

Optimierung:

subtype wurde metadata.product_event_type zugeordnet.
attack-name wurde security_result.threat_name zugeordnet.
policy-name wurde security_result.rule_name zugeordnet.
action wurde security_result.action zugeordnet, wobei der Wert drop „BLOCKIEREN“ und der Wert drop „ZULASSEN“ zugeordnet ist.
source-interface-name wurde security_result.detection_fields zugeordnet.
destination-interface-name wurde security_result.detection_fields zugeordnet.
source-zone-name wurde security_result.detection_fields zugeordnet.
destination-zone-name wurde security_result.detection_fields zugeordnet.
service-name wurde security_result.detection_fields zugeordnet.
application-name wurde security_result.detection_fields zugeordnet.
Zugewiesen metadata.product_name
Zugewiesen metadata.vendor_name

2022-10-04

Optimierung:

„attack-name“ wurde „security_result.rule_name“ zugeordnet.
Konvertierte SDM-Zuordnungen in die folgenden Felder des UDM:
source-address wurde principal.ip zugeordnet.
destination-address wurde target.ip zugeordnet.
source-port wurde principal.port zugeordnet.
host wurde principal.hostname zugeordnet.
bytes-from-server wurde network.received_bytes zugeordnet.
policy-name wurde security_result.rule_name zugeordnet.
protocol-id wurde network.ip_protocol zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten