Mengumpulkan log Dukungan Jarak Jauh BeyondTrust
Didukung di:
Google SecOps
SIEM
Parser ini menangani pesan syslog dari BeyondTrust Remote Support, yang mengubahnya menjadi format UDM. Alat ini memproses log berformat CEF dan non-CEF, mengekstrak kolom, melakukan transformasi data, dan memetakan kolom tersebut ke kolom UDM yang sesuai, termasuk detail hasil keamanan, target, dan akun utama.
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
- Jika berjalan di balik proxy, pastikan port firewall terbuka.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Proses Transfer.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal Agen Bindplane
- Untuk penginstalan Windows, jalankan skrip berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - Untuk penginstalan Linux, jalankan skrip berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.
Mengonfigurasi Agen Bindplane untuk menyerap Syslog dan mengirimnya ke Google SecOps
- Akses komputer tempat Bindplane diinstal.
Edit file
config.yamlsebagai berikut:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: BeyondTrust_Remote_Support raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsMulai ulang Agen Bindplane untuk menerapkan perubahan:
sudo systemctl restart bindplane
Mengonfigurasi ekspor Syslog dari BeyondTrust Remote Support
- Login ke Dukungan Jarak Jauh BeyondTrust Anda.
- Buka Keamanan > Administrasi Appliance.
- Buka bagian Syslog dan tetapkan nilai berikut:
- Server Syslog Jarak Jauh: masukkan nama host atau alamat IP server host syslog (Bindplane). Di kolom ini, Anda dapat menambahkan hingga tiga server syslog.
- Format pesan: pilih RFC 5424.
- Port: masukkan port server host syslog (Bindplane).
- Klik Kirim.
Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| account:expiration | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "account:expiration" dalam log mentah. |
| account:email:locale | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "account:email:locale" dalam log mentah. |
| command_shell_is_whitelist | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "ssions:command_shell_is_whitelist" dalam log mentah. |
| datetime | read_only_udm.metadata.event_timestamp.seconds | Nilai diuraikan dari kolom "datetime" dalam log mentah dan dikonversi menjadi stempel waktu Unix. |
| dtPostTime | read_only_udm.metadata.event_timestamp.seconds | Nilai diuraikan dari kolom "dtPostTime" dalam log mentah dan dikonversi menjadi stempel waktu Unix. |
| event | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom "peristiwa" dalam log mentah. |
| host | read_only_udm.principal.hostname | Nilai diambil dari kolom "host" dalam log mentah. |
| id | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "id" dalam log mentah. |
| license_pool:id | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "license_pool:id" dalam log mentah. |
| login_schedule:timezone | read_only_udm.target.location.country_or_region | Nilai diambil dari kolom "login_schedule:timezone" dalam log mentah. |
| old_account:email:address | read_only_udm.target.user.email_addresses | Nilai diambil dari kolom "old_account:email:address" dalam log mentah. |
| old_account:failed_logins | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_account:failed_logins" dalam log mentah. |
| old_display_number | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_display_number" dalam log mentah. |
| old_login_schedule:timezone | read_only_udm.target.location.country_or_region | Nilai diambil dari kolom "old_login_schedule:timezone" dalam log mentah. |
| old_permissions:api:reporting | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:api:reporting" dalam log mentah. |
| old_permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:jump_item_role:default:id" dalam log mentah. |
| old_permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:jump_item_role:default:name" dalam log mentah. |
| old_permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:jump_item_role:teams:id" dalam log mentah. |
| old_permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:jump_item_role:teams:name" dalam log mentah. |
| old_permissions:presentations:control:status | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:presentations:control:status" dalam log mentah. |
| old_permissions:public_sites:templates:status | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:public_sites:templates:status" dalam log mentah. |
| old_permissions:reporting:presentation_reports | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:reporting:presentation_reports" dalam log mentah. |
| old_permissions:reporting:support_reports | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:reporting:support_reports" dalam log mentah. |
| old_permissions:reporting:vault_reports | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:reporting:vault_reports" dalam log mentah. |
| old_permissions:support | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support" dalam log mentah. |
| old_permissions:support:accept_team_sessions:status | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:accept_team_sessions:status" dalam log mentah. |
| old_permissions:support:bomgar_button:change_public_sites:status | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:bomgar_button:change_public_sites:status" dalam log mentah. |
| old_permissions:support:bomgar_button:personal:deploy:status | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:bomgar_button:personal:deploy:status" dalam log mentah. |
| old_permissions:support:bomgar_button:team:manage | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:bomgar_button:team:manage" dalam log mentah. |
| old_permissions:support:bomgar_button:team:manage:status | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:bomgar_button:team:manage:status" dalam log mentah. |
| old_permissions:support:ios_content | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:ios_content" dalam log mentah. |
| old_permissions:support:jump:local | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:jump:local" dalam log mentah. |
| old_permissions:support:jump:local:status | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:jump:local:status" dalam log mentah. |
| old_permissions:support:jump:remote | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:jump:remote" dalam log mentah. |
| old_permissions:support:jump:remote:status | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:jump:remote:status" dalam log mentah. |
| old_permissions:support:rdp:local | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:rdp:local" dalam log mentah. |
| old_permissions:support:rdp:local:status | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:rdp:local:status" dalam log mentah. |
| old_permissions:support:rdp:remote | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:rdp:remote" dalam log mentah. |
| old_permissions:support:rdp:remote:status | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:rdp:remote:status" dalam log mentah. |
| old_permissions:support:session_assignment:idle_timeout | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:session_assignment:idle_timeout" dalam log mentah. |
| old_permissions:support:session_assignment:idle_timeout:status | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:session_assignment:idle_timeout:status" dalam log mentah. |
| old_permissions:support:session_assignment:session_limit | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:session_assignment:session_limit" dalam log mentah. |
| old_permissions:support:session_assignment:session_limit:status=forbid_override | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:session_assignment:session_limit:status=forbid_override" dalam log mentah. |
| old_permissions:support:session_keys | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:session_keys" dalam log mentah. |
| old_permissions:support:status | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:status" dalam log mentah. |
| old_permissions:support:team_share | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:team_share" dalam log mentah. |
| old_permissions:support:team_transfer | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:team_transfer" dalam log mentah. |
| old_permissions:support:vnc:local | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:vnc:local" dalam log mentah. |
| old_permissions:support:vnc:local:status | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:vnc:local:status" dalam log mentah. |
| old_permissions:support:vnc:remote | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:vnc:remote" dalam log mentah. |
| old_permissions:support:vnc:remote:status | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_permissions:support:vnc:remote:status" dalam log mentah. |
| old_private_display_name | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_private_display_name" dalam log mentah. |
| old_provider:id | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_provider:id" dalam log mentah. |
| old_provider:name | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "old_provider:name" dalam log mentah. |
| permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "permissions:jump_item_role:default:id" dalam log mentah. |
| permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "permissions:jump_item_role:default:name" dalam log mentah. |
| permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "permissions:jump_item_role:teams:id" dalam log mentah. |
| permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "permissions:jump_item_role:teams:name" dalam log mentah. |
| provider:id | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "provider:id" dalam log mentah. |
| provider:name | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "provider:name" dalam log mentah. |
| alasan | read_only_udm.security_result.description | Nilai diambil dari kolom "reason" dalam log mentah dan ditambahkan ke kolom deskripsi dengan awalan " - Reason:". |
| sEventID | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom "sEventID" dalam log mentah. |
| sIpAddress | read_only_udm.principal.ip | Nilai diambil dari kolom "sIpAddress" dalam log mentah. |
| sLoginName | read_only_udm.principal.user.userid | Nilai diuraikan dari kolom "sLoginName" dalam log mentah. Jika kolom berisi domain, domain akan diekstrak dan dipetakan ke read_only_udm.principal.namespace. |
| sMessage | read_only_udm.security_result.description | Nilai diambil dari kolom "sMessage" dalam log mentah. Parser mengekstrak teks dalam tanda petik dan memetakan ke kolom deskripsi. |
| sOriginatingAccount | read_only_udm.principal.user.userid | Nilai diuraikan dari kolom "sOriginatingAccount" dalam log mentah. Jika kolom berisi domain, domain akan diekstrak dan dipetakan ke read_only_udm.principal.namespace. |
| sOriginatingApplicationComponent | read_only_udm.principal.application | Nilai diambil dari kolom "sOriginatingApplicationComponent" dalam log mentah dan ditambahkan ke kolom aplikasi dalam tanda kurung setelah nilai dari sOriginatingApplicationName. |
| sOriginatingApplicationName | read_only_udm.principal.application | Nilai diambil dari kolom "sOriginatingApplicationName" dalam log mentah. |
| sOriginatingSystem | read_only_udm.principal.hostname | Nilai diambil dari kolom "sOriginatingSystem" dalam log mentah. |
| session_policy:id | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "session_policy:id" dalam log mentah. |
| session_policy:name | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "session_policy:name" dalam log mentah. |
| session_policy:purpose | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "session_policy:purpose" dalam log mentah. |
| situs | read_only_udm.target.hostname | Nilai diambil dari kolom "situs" dalam log mentah. |
| status | read_only_udm.security_result.summary | Nilai diambil dari kolom "status" dalam log mentah dan ditambahkan ke kolom ringkasan. |
| support:jump:local | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:jump:local" dalam log mentah. |
| support:permissions:allow_pinned_clients | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:allow_pinned_clients" dalam log mentah. |
| support:permissions:allow_users | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:allow_users" dalam log mentah. |
| support:permissions:canned_scripts | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:canned_scripts" dalam log mentah. |
| support:permissions:chat | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:chat" dalam log mentah. |
| support:permissions:chat:push_url | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:chat:push_url" dalam log mentah. |
| support:permissions:chat:send_file | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:chat:send_file" dalam log mentah. |
| support:permissions:command_shell | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:command_shell" dalam log mentah. |
| support:permissions:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:deploy_callback_button" dalam log mentah. |
| support:permissions:elevation | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:elevation" dalam log mentah. |
| support:permissions:file_transfers:cust | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:file_transfers:cust" dalam log mentah. |
| support:permissions:file_transfers:download | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:file_transfers:download" dalam log mentah. |
| support:permissions:file_transfers:rep | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:file_transfers:rep" dalam log mentah. |
| support:permissions:file_transfers:upload | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:file_transfers:upload" dalam log mentah. |
| support:permissions:registry_access | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:registry_access" dalam log mentah. |
| support:permissions:request_pin_unpin | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:request_pin_unpin" dalam log mentah. |
| support:permissions:screen_sharing | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:screen_sharing" dalam log mentah. |
| support:permissions:screen_sharing:allow_elevated_tools | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:screen_sharing:allow_elevated_tools" dalam log mentah. |
| support:permissions:screen_sharing:annotations | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:screen_sharing:annotations" dalam log mentah. |
| support:permissions:screen_sharing:application_restriction | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:screen_sharing:application_restriction" dalam log mentah. |
| support:permissions:screen_sharing:application_sharing | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:screen_sharing:application_sharing" dalam log mentah. |
| support:permissions:screen_sharing:clipboard_direction | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:screen_sharing:clipboard_direction" dalam log mentah. |
| support:permissions:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:screen_sharing:cobrowse" dalam log mentah. |
| support:permissions:screen_sharing:privacy_mode | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:screen_sharing:privacy_mode" dalam log mentah. |
| support:permissions:screen_sharing:show_screen | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:screen_sharing:show_screen" dalam log mentah. |
| support:permissions:system_info | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:system_info" dalam log mentah. |
| support:permissions:system_info:actions | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:permissions:system_info:actions" dalam log mentah. |
| support:prompting:command_shell | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:prompting:command_shell" dalam log mentah. |
| support:prompting:default | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:prompting:default" dalam log mentah. |
| support:prompting:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:prompting:deploy_callback_button" dalam log mentah. |
| support:prompting:elevate | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:prompting:elevate" dalam log mentah. |
| support:prompting:file_transfer | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:prompting:file_transfer" dalam log mentah. |
| support:prompting:registry | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:prompting:registry" dalam log mentah. |
| support:prompting:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:prompting:screen_sharing:cobrowse" dalam log mentah. |
| support:prompting:screen_sharing:full_access | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "support:prompting:screen_sharing:full_access" dalam log mentah. |
| target | read_only_udm.target.application | Nilai diambil dari kolom "target" dalam log mentah. Parser mengganti "rep_client" dengan "Representative Console" dan "web/login" dengan "Web/Login". |
| two_factor_auth:app | read_only_udm.principal.user.attribute.labels.value | Nilai diambil dari kolom "two_factor_auth:app" dalam log mentah. |
| kapan | read_only_udm.metadata.product_log_id | Nilai diambil dari kolom "when" dalam log mentah. |
| kapan | read_only_udm.metadata.event_timestamp.seconds | Nilai diuraikan dari kolom "when" dalam log mentah dan dikonversi ke stempel waktu Unix. |
| siapa | read_only_udm.principal.user.userid | Nilai diuraikan dari kolom "who" dalam log mentah. Parser mengekstrak teks dalam tanda kurung. |
| siapa | read_only_udm.principal.user.user_display_name | Nilai diuraikan dari kolom "who" dalam log mentah. Parser mengekstrak teks sebelum tanda kurung. |
| who_ip | read_only_udm.principal.ip | Nilai diambil dari kolom "who_ip" dalam log mentah. |
| read_only_udm.metadata.vendor_name | Nilai ditetapkan ke "BeyondTrust" oleh parser. | |
| read_only_udm.metadata.product_name | Nilai ditetapkan ke "BeyondTrust Remote Support" oleh parser. | |
| read_only_udm.metadata.log_type | Nilai ditetapkan ke "BOMGAR" oleh parser. | |
| read_only_udm.extensions.auth.type | Nilai ditetapkan ke "MACHINE" jika targetnya adalah "rep_client", "SSO" jika targetnya adalah "web/login", dan "AUTHTYPE_UNSPECIFIED" jika tidak oleh parser. | |
| read_only_udm.extensions.auth.mechanism | Nilai ditetapkan ke "USERNAME_PASSWORD" jika metodenya "menggunakan sandi", "REMOTE" jika metodenya "menggunakan elevate", dan dibiarkan kosong oleh parser jika tidak. | |
| read_only_udm.security_result.action | Nilai ditetapkan ke "ALLOW" jika statusnya bukan "failure", alasannya bukan "failed" atau "user not found", dan sMessage tidak berisi "failed login to web app". Jika tidak, nilai akan ditetapkan ke "BLOCK" oleh parser. | |
| read_only_udm.security_result.summary | Nilai ditetapkan ke "Login pengguna " atau "Logout pengguna " berdasarkan eventName, diikuti dengan status jika tidak kosong oleh parser. | |
| read_only_udm.security_result.description | Nilai ditetapkan ke "Pengguna ", diikuti dengan userid, alamat IP, status, eventName, konektor ("ke" untuk login dan "dari" untuk logout), target, dan metode. Jika alasan tidak kosong dan bukan "gagal", alasan tersebut akan ditambahkan ke deskripsi dengan awalan " - Alasan:" oleh parser. |
Perubahan
2024-01-12
- Peningkatan penanganan peristiwa status "tantangan".
- Peningkatan pemetaan alamat email untuk akurasi yang lebih baik.
2022-11-24
- Memperbaiki bug dalam mengurai informasi pengguna seperti nama tampilan, ID, dan metode.
- Meningkatkan akurasi klasifikasi jenis autentikasi untuk peristiwa login pengguna.
2022-10-13
- Mengintegrasikan parser khusus pelanggan ke dalam parser default untuk penerapan yang lebih luas.
2022-09-26
- Mengintegrasikan parser khusus pelanggan ke dalam parser default untuk penerapan yang lebih luas.
2022-08-19
- Menggabungkan parser kustom ke dalam parser default untuk performa dan pemeliharaan yang lebih baik.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.