Symantec VIP Authentication Hub-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Symantec VIP Authentication Hub-Logs mithilfe von Bindplane in Google Security Operations aufnehmen. Der Parsercode bereinigt und verarbeitet die eingegebene Log-Nachricht zuerst. Dabei werden bestimmte Felder konvertiert und Daten aus Schlüssel-Wert-Paaren umstrukturiert. Anschließend werden mithilfe von Grok-Mustern und bedingter Logik relevante Informationen aus verschiedenen Feldern extrahiert und den entsprechenden Attributen im Unified Data Model (UDM) zugeordnet, um Sicherheitsereignisse standardisiert darzustellen.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Windows 2016 oder höher oder Linux-Host mit systemd
  • Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
  • Privilegierter Zugriff auf Symantec VIP Authentication Hub

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

  1. Rufen Sie die Konfigurationsdatei auf:
    • Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'SYMANTEC_VIP_AUTHHUB'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart bindplane-agent

  • Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

Syslog im Symantec VIP Authentication Hub konfigurieren

  1. Melden Sie sich in der Web-UI von Symantec VIP Gateway an.
  2. Rufen Sie Logs> Syslog Configuration auf.
  3. Wenn Sie Syslog zum ersten Mal konfigurieren, werden Sie aufgefordert, die Syslog-Einstellungen zu konfigurieren. Wählen Sie Ja aus.
  4. Wenn Sie Syslog bereits konfiguriert haben, klicken Sie unten auf der Seite auf Bearbeiten.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Syslog Facility (Syslog-Einrichtung): Wählen Sie LOG_LOCAL0 aus.
    • Syslog-Host: Geben Sie die IP-Adresse des Bindplane-Agents ein.
    • Syslog-Port: Geben Sie die Portnummer des Bindplane-Agents ein, z. B. 514 für UDP.
  6. Klicken Sie auf Speichern.
  7. Rufen Sie Identitätsanbieter > Konfiguration des Self-Service-Portals auf.
  8. Bearbeiten Sie die folgenden Konfigurationsdetails:
    • Logging Level (Protokollierungsstufe): Wählen Sie Info aus.
    • Syslog aktivieren: Wählen Sie Ja aus.
  9. Klicken Sie auf Senden.
  10. Rufen Sie Identitätsanbieter > VIP Manager-Authentifizierungskonfiguration auf.
  11. Bearbeiten Sie die folgenden Konfigurationsdetails:
    • Logging Level (Protokollierungsstufe): Wählen Sie Info aus.
    • Syslog aktivieren: Wählen Sie Ja aus.
  12. Klicken Sie auf Senden.
  13. Gehen Sie zu User Store > LDAP Directory Synchronization (Nutzer-Store > LDAP-Verzeichnissynchronisierung).
  14. Bearbeiten Sie die folgenden Konfigurationsdetails:
    • Protokollebene: Wählen Sie Info aus.
    • Syslog aktivieren: Wählen Sie Ja aus.
  15. Klicken Sie auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
/auth/v1/authenticate security_result.detection_fields[].value Der Wert wird aus dem Feld /auth/v1/authenticate im Rohlog übernommen und einem security_result.detection_fields-Objekt mit dem Schlüssel api zugewiesen.
__isAuditIdLcmIdStore additional.fields[].value.string_value Der Wert wird aus dem Feld __isAuditIdLcmIdStore im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel __isAuditIdLcmIdStore zugewiesen.
accessTokenScopes security_result.detection_fields[].value Der Wert wird aus dem Feld accessTokenScopes im Rohlog übernommen und einem security_result.detection_fields-Objekt mit dem Schlüssel accessTokenScopes zugewiesen.
accessTokenTid security_result.detection_fields[].value Der Wert wird aus dem Feld accessTokenTid im Rohlog übernommen und einem security_result.detection_fields-Objekt mit dem Schlüssel accessTokenTid zugewiesen.
api security_result.detection_fields[].value Der Wert wird aus dem Feld api im Rohlog übernommen und einem security_result.detection_fields-Objekt mit dem Schlüssel api zugewiesen.
appId additional.fields[].value.string_value Der Wert wird aus dem Feld appId im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel appId zugewiesen.
appName principal.application Der Wert wird aus dem Feld appName im Rohlog übernommen.
azpName additional.fields[].value.string_value Der Wert wird aus dem Feld azpName im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel azpName zugewiesen.
bytes_sent network.sent_bytes Der Wert wird aus dem Feld bytes_sent im Rohlog übernommen.
client principal.asset.ip, principal.ip Die IP-Adresse wird mithilfe eines Grok-Musters aus dem Feld client im Rohlog extrahiert und den Feldern principal.ip und principal.asset.ip hinzugefügt.
clientId additional.fields[].value.string_value, principal.user.userid Der Wert wird aus dem Feld clientId im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel clientId zugewiesen. Wenn das Feld clientId nicht leer ist, wird es auch zum Ausfüllen des Felds principal.user.userid verwendet.
clientIp principal.asset.ip, principal.ip Der Wert wird aus dem Feld clientIp im Rohlog übernommen und den Feldern principal.ip und principal.asset.ip hinzugefügt.
clientTid additional.fields[].value.string_value Der Wert wird aus dem Feld clientTid im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel clientTid zugewiesen.
clientTxnId additional.fields[].value.string_value Der Wert wird aus dem Feld clientTxnId im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel clientTxnId zugewiesen.
contentType additional.fields[].value.string_value Der Wert wird aus dem Feld contentType im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel contentType zugewiesen.
countryISO principal.location.country_or_region Der Wert wird aus dem Feld countryISO im Rohlog übernommen.
eventId metadata.product_event_type Der Wert wird aus dem Feld eventId im Rohlog übernommen.
flowStateId additional.fields[].value.string_value Der Wert wird aus dem Feld flowStateId im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel flowStateId zugewiesen.
geo.city_name principal.location.city Der Wert wird aus dem Feld geo.city_name im Rohlog übernommen.
geo.country_name principal.location.country_or_region Der Wert wird aus dem Feld geo.country_name im Rohlog übernommen.
geo.location.lat principal.location.region_coordinates.latitude Der Wert wird aus dem Feld geo.location.lat im Rohlog übernommen, in einen Gleitkommawert konvertiert und in principal.location.region_coordinates.latitude umbenannt.
geo.location.lon principal.location.region_coordinates.longitude Der Wert wird aus dem Feld geo.location.lon im Rohlog übernommen, in einen Gleitkommawert konvertiert und in principal.location.region_coordinates.longitude umbenannt.
guid metadata.product_log_id Der Wert wird aus dem Feld guid im Rohlog übernommen.
host principal.asset.hostname, principal.hostname Der Wert wird aus dem Feld host im Rohlog übernommen, alle Anführungszeichen werden entfernt und er wird den Feldern principal.hostname und principal.asset.hostname hinzugefügt.
httpMethod network.http.method Der Wert wird aus dem Feld httpMethod im Rohlog übernommen.
httpReferrer network.http.referral_url Der Wert wird aus dem Feld httpReferrer im Rohlog übernommen.
identitySourceId additional.fields[].value.string_value Der Wert wird aus dem Feld identitySourceId im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel identitySourceId zugewiesen.
internal-user-sync-ext-resourceGuid target.user.userid Der Wert wird aus dem Feld internal-user-sync-ext-resourceGuid im Rohlog übernommen.
internal-user-sync-ext-resourceName target.user.email_addresses Der Wert wird aus dem Feld internal-user-sync-ext-resourceName im Rohlog übernommen und dem Feld target.user.email_addresses hinzugefügt.
issuerUrl target.url Der Wert wird aus dem Feld issuerUrl im Rohlog übernommen.
kubernetes.annotations.cni.projectcalico.org_containerID target.resource.product_object_id Der Wert wird aus dem Feld kubernetes.annotations.cni.projectcalico.org_containerID im Rohlog übernommen.
kubernetes.annotations.cni.projectcalico.org_podIP target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.annotations.cni.projectcalico.org_podIP im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel podIP zugewiesen.
kubernetes.annotations.cni.projectcalico.org_podIPs target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.annotations.cni.projectcalico.org_podIPs im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel podIPs zugewiesen.
kubernetes.container_hash target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.container_hash im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel container_hash zugewiesen.
kubernetes.container_image target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.container_image im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel container_image zugewiesen.
kubernetes.container_name target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.container_name im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel container_name zugewiesen.
kubernetes.docker_id target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.docker_id im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel docker_id zugewiesen.
kubernetes.host principal.asset.hostname, principal.hostname Der Wert wird aus dem Feld kubernetes.host im Rohlog übernommen und den Feldern principal.hostname und principal.asset.hostname hinzugefügt.
kubernetes.labels.app Dieses Feld ist im UDM nicht dem IDM-Objekt zugeordnet.
kubernetes.labels.app.kubernetes.io/component target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.labels.app.kubernetes.io/component im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel io_component zugewiesen.
kubernetes.labels.app.kubernetes.io/instance target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.labels.app.kubernetes.io/instance im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel io_instance zugewiesen.
kubernetes.labels.app.kubernetes.io/managed-by target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.labels.app.kubernetes.io/managed-by im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel io_managed-by zugewiesen.
kubernetes.labels.app.kubernetes.io/name target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.labels.app.kubernetes.io/name im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel io_name zugewiesen.
kubernetes.labels.app.kubernetes.io/part-of target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.labels.app.kubernetes.io/part-of im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel io_part-of zugewiesen.
kubernetes.labels.app.kubernetes.io/version target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.labels.app.kubernetes.io/version im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel io_version zugewiesen.
kubernetes.labels.helm.sh/chart target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.labels.helm.sh/chart im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel helm_sh_chart zugewiesen.
kubernetes.labels.helmChartName target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.labels.helmChartName im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel helmChartName zugewiesen.
kubernetes.labels.imageTag target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.labels.imageTag im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel imageTag zugewiesen.
kubernetes.labels.pod-template-hash target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.labels.pod-template-hash im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel pod-template-hash zugewiesen.
kubernetes.namespace_name target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.namespace_name im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel namespace_name zugewiesen.
kubernetes.pod_id target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.pod_id im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel pod_id zugewiesen.
kubernetes.pod_name target.resource.attribute.labels[].value Der Wert wird aus dem Feld kubernetes.pod_name im Rohlog übernommen und einem target.resource.attribute.labels-Objekt mit dem Schlüssel pod_name zugewiesen.
level security_result.severity Wenn das Feld level im Rohlog mit notice oder info übereinstimmt (ohne Berücksichtigung der Groß- und Kleinschreibung), wird das Feld security_result.severity auf INFORMATIONAL gesetzt.
log security_result.description, level, kv_data Die Felder level und kv_data werden mithilfe eines Grok-Musters aus dem Feld log im Rohlog extrahiert. Das Feld security_result.description wird mit dem gesamten Feld log ausgefüllt.
logtag additional.fields[].value.string_value Der Wert wird aus dem Feld logtag im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel logtag zugewiesen.
method network.http.method Der Wert wird aus dem Feld method im Rohlog übernommen.
msg metadata.event_type, security_result.description Der Wert wird aus dem Feld msg im Rohlog übernommen und zum Ausfüllen des Felds security_result.description verwendet. Das Feld metadata.event_type wird anhand des Inhalts des Felds msg bestimmt: * USER_CREATION, wenn msg Internal user created or updated enthält. * USER_LOGIN, wenn msg Authorization Initiated Succesfully, Authentication Initiated Successfully oder Authentication Successful enthält. * USER_RESOURCE_ACCESS, wenn msg Token Generated oder token verified enthält. * NETWORK_CONNECTION, wenn sowohl has_principal als auch has_target wahr sind. * STATUS_UPDATE, wenn has_principal wahr ist. * Andernfalls GENERIC_EVENT.
path principal.file.full_path Der Wert wird aus dem Feld path im Rohlog übernommen.
principalId additional.fields[].value.string_value, principal.user.userid Der Wert wird aus dem Feld principalId im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel principalId zugewiesen. Wenn das Feld principalId nicht clientId und nicht leer ist, wird es auch verwendet, um das Feld principal.user.userid zu füllen.
principalType additional.fields[].value.string_value Der Wert wird aus dem Feld principalType im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel principalType zugewiesen.
protocol network.application_protocol Wenn das Feld protocol im Rohlog mit HTTP übereinstimmt (ohne Berücksichtigung der Groß-/Kleinschreibung), wird das Feld network.application_protocol auf HTTP gesetzt.
referrer network.http.referral_url Der Wert wird aus dem Feld referrer im Rohlog übernommen, von allen Anführungszeichen befreit und dem Feld network.http.referral_url zugewiesen.
relVersion metadata.product_version Der Wert wird aus dem Feld relVersion im Rohlog übernommen.
remoteAddr additional.fields[].value.string_value Der Wert wird aus dem Feld remoteAddr im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel remoteAddr zugewiesen.
requestId additional.fields[].value.string_value Der Wert wird aus dem Feld requestId im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel requestId zugewiesen.
requestTime additional.fields[].value.string_value Der Wert wird aus dem Feld requestTime im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel requestTime zugewiesen.
responseCode network.http.response_code Der numerische Wert wird mit einem Grok-Muster aus dem Feld responseCode im Rohlog extrahiert, in eine Ganzzahl konvertiert und dem Feld network.http.response_code zugewiesen.
request method, path, protocol Die Felder method, path und protocol werden aus dem Feld request im Rohlog extrahiert. Dazu wird ein Grok-Muster verwendet, nachdem alle Anführungszeichen entfernt wurden.
server target.asset.hostname, target.hostname Der Wert wird aus dem Feld server im Rohlog übernommen und den Feldern target.hostname und target.asset.hostname hinzugefügt.
service additional.fields[].value.string_value Der Wert wird aus dem Feld service im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel service zugewiesen.
status network.http.response_code Der Wert wird aus dem Feld status im Rohlog übernommen, in eine Ganzzahl konvertiert und dem Feld network.http.response_code zugewiesen.
stream additional.fields[].value.string_value Der Wert wird aus dem Feld stream im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel stream zugewiesen.
sub additional.fields[].value.string_value Der Wert wird aus dem Feld sub im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel sub zugewiesen.
subType additional.fields[].value.string_value Der Wert wird aus dem Feld subType im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel subType zugewiesen.
tid additional.fields[].value.string_value Der Wert wird aus dem Feld tid im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel tid zugewiesen.
timestamp metadata.event_timestamp Der Wert wird aus dem Feld timestamp im Rohlog übernommen und als ISO8601-Zeitstempel geparst.
tname additional.fields[].value.string_value Der Wert wird aus dem Feld tname im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel tname zugewiesen.
txnId additional.fields[].value.string_value Der Wert wird aus dem Feld txnId im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel txnId zugewiesen.
type additional.fields[].value.string_value Der Wert wird aus dem Feld type im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel type zugewiesen.
userAgent network.http.parsed_user_agent, network.http.user_agent Der Wert wird aus dem Feld userAgent im Rohlog übernommen und den Feldern network.http.user_agent und network.http.parsed_user_agent zugewiesen. Das Feld network.http.parsed_user_agent wird dann in ein geparstes User-Agent-Objekt umgewandelt.
userDN additional.fields[].value.string_value Der Wert wird aus dem Feld userDN im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel userDN zugewiesen.
userGuid additional.fields[].value.string_value Der Wert wird aus dem Feld userGuid im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel userGuid zugewiesen.
userIdpGuid additional.fields[].value.string_value Der Wert wird aus dem Feld userIdpGuid im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel userIdpGuid zugewiesen.
userIP principal.asset.ip: principal.ip, target.asset.ip, target.ip, intermediary.ip Die IP-Adressen werden aus dem Feld userIP im Rohlog mithilfe eines Grok-Musters extrahiert. Die erste IP-Adresse wird den Feldern principal.ip und principal.asset.ip hinzugefügt. Die zweite IP-Adresse wird den Feldern target.ip und target.asset.ip hinzugefügt. Die dritte IP-Adresse wird dem Feld intermediary.ip hinzugefügt.
userLoginId target.user.email_addresses Wenn das Feld userLoginId im Rohlog nicht leer ist und einem E-Mail-Adressmuster entspricht, wird es dem Feld target.user.email_addresses hinzugefügt.
userLoginIdAttributeMappingName target.user.user_display_name Der Wert wird aus dem Feld userLoginIdAttributeMappingName im Rohlog übernommen.
userRiskLevel additional.fields[].value.string_value Der Wert wird aus dem Feld userRiskLevel im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel userRiskLevel zugewiesen.
userRiskScore additional.fields[].value.string_value Der Wert wird aus dem Feld userRiskScore im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel userRiskScore zugewiesen.
userIp principal.asset.ip, principal.ip Der Wert wird aus dem Feld userIp im Rohlog übernommen und den Feldern principal.ip und principal.asset.ip hinzugefügt.
userUniversalId additional.fields[].value.string_value Der Wert wird aus dem Feld userUniversalId im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel userUniversalId zugewiesen.
vhost additional.fields[].value.string_value Der Wert wird aus dem Feld vhost im Rohlog übernommen und einem additional.fields-Objekt mit dem Schlüssel vhost zugewiesen.
extensions.auth.type Der Wert wird auf SSO gesetzt, wenn das Feld metadata.event_type USER_LOGIN ist.
metadata.log_type Der Wert wird auf SYMANTEC_VIP_AUTHHUB festgelegt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten