Protokolle für den BeyondTrust-Remotesupport erfassen
Unterstützt in:
Google SecOps
SIEM
Dieser Parser verarbeitet Syslog-Nachrichten vom BeyondTrust-Remote-Support und wandelt sie in das UDM-Format um. Es werden sowohl CEF- als auch nicht CEF-formatierte Protokolle verarbeitet, Felder extrahiert, Datentransformationen durchgeführt und sie den entsprechenden UDM-Feldern zugeordnet, einschließlich Details zu Haupt-, Ziel- und Sicherheitsergebnissen.
Hinweis
- Sie benötigen eine Google Security Operations-Instanz.
- Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
- Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei zur Authentifizierung der Datenaufnahme herunter.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profil.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
- Führen Sie für die Windows-Installation das folgende Script aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - Führen Sie für die Linux-Installation das folgende Script aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet
- Rufen Sie den Computer auf, auf dem BindPlane installiert ist.
Bearbeiten Sie die Datei
config.yamlso:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: BeyondTrust_Remote_Support raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsStarten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden:
sudo systemctl restart bindplane
Syslog-Export aus dem BeyondTrust-Remote-Support konfigurieren
- Melden Sie sich in Ihrem BeyondTrust-Remote-Support an.
- Gehen Sie zu Sicherheit > Appliance-Verwaltung.
- Gehen Sie zum Abschnitt Syslog und legen Sie die folgenden Werte fest:
- Remote Syslog-Server: Geben Sie den Hostnamen oder die IP-Adresse des syslog-Hostservers (Bindplane) ein. In diesem Feld können Sie bis zu drei syslog-Server hinzufügen.
- Nachrichtenformat: Wählen Sie RFC 5424 aus.
- Port: Geben Sie den Port des Syslog-Hostservers (Bindebene) ein.
- Klicken Sie auf Senden.
UDM-Zuordnung
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| account:expiration | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „account:expiration“ im Rohprotokoll übernommen. |
| account:email:locale | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „account:email:locale“ im Rohprotokoll übernommen. |
| command_shell_is_whitelist | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „ssions:command_shell_is_whitelist“ im Rohprotokoll übernommen. |
| Datum/Uhrzeit | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld „datetime“ im Rohprotokoll geparst und in einen Unix-Zeitstempel konvertiert. |
| dtPostTime | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld „dtPostTime“ im Rohprotokoll geparst und in einen Unix-Zeitstempel konvertiert. |
| event | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „event“ im Rohprotokoll übernommen. |
| Host | read_only_udm.principal.hostname | Der Wert wird aus dem Feld „host“ im Rohprotokoll übernommen. |
| id | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „id“ im Rohprotokoll übernommen. |
| license_pool:id | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „license_pool:id“ im Rohprotokoll übernommen. |
| login_schedule:timezone | read_only_udm.target.location.country_or_region | Der Wert wird aus dem Feld „login_schedule:timezone“ im Rohprotokoll übernommen. |
| old_account:email:address | read_only_udm.target.user.email_addresses | Der Wert wird aus dem Feld „old_account:email:address“ im Rohprotokoll übernommen. |
| old_account:failed_logins | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_account:failed_logins“ im Rohprotokoll übernommen. |
| old_display_number | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_display_number“ im Rohprotokoll übernommen. |
| old_login_schedule:timezone | read_only_udm.target.location.country_or_region | Der Wert wird aus dem Feld „old_login_schedule:timezone“ im Rohprotokoll übernommen. |
| old_permissions:api:reporting | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:api:reporting“ im Rohprotokoll übernommen. |
| old_permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:jump_item_role:default:id“ im Rohprotokoll übernommen. |
| old_permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:jump_item_role:default:name“ im Rohprotokoll übernommen. |
| old_permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:jump_item_role:teams:id“ im Rohprotokoll übernommen. |
| old_permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:jump_item_role:teams:name“ im Rohprotokoll übernommen. |
| old_permissions:presentations:control:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:presentations:control:status“ im Rohprotokoll übernommen. |
| old_permissions:public_sites:templates:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:public_sites:templates:status“ im Rohprotokoll übernommen. |
| old_permissions:reporting:presentation_reports | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:reporting:presentation_reports“ im Rohprotokoll übernommen. |
| old_permissions:reporting:support_reports | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:reporting:support_reports“ im Rohprotokoll übernommen. |
| old_permissions:reporting:vault_reports | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:reporting:vault_reports“ im Rohprotokoll übernommen. |
| old_permissions:support | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support“ im Rohprotokoll übernommen. |
| old_permissions:support:accept_team_sessions:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:accept_team_sessions:status“ im Rohprotokoll übernommen. |
| old_permissions:support:bomgar_button:change_public_sites:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:bomgar_button:change_public_sites:status“ im Rohprotokoll übernommen. |
| old_permissions:support:bomgar_button:personal:deploy:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:bomgar_button:personal:deploy:status“ im Rohprotokoll übernommen. |
| old_permissions:support:bomgar_button:team:manage | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:bomgar_button:team:manage“ im Rohprotokoll übernommen. |
| old_permissions:support:bomgar_button:team:manage:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:bomgar_button:team:manage:status“ im Rohprotokoll übernommen. |
| old_permissions:support:ios_content | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:ios_content“ im Rohprotokoll übernommen. |
| old_permissions:support:jump:local | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:jump:local“ im Rohprotokoll übernommen. |
| old_permissions:support:jump:local:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:jump:local:status“ im Rohprotokoll übernommen. |
| old_permissions:support:jump:remote | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:jump:remote“ im Rohprotokoll übernommen. |
| old_permissions:support:jump:remote:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:jump:remote:status“ im Rohprotokoll übernommen. |
| old_permissions:support:rdp:local | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „old_permissions:support:rdp:local“ im Rohprotokoll. |
| old_permissions:support:rdp:local:status | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „old_permissions:support:rdp:local:status“ im Rohprotokoll. |
| old_permissions:support:rdp:remote | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:rdp:remote“ im Rohprotokoll übernommen. |
| old_permissions:support:rdp:remote:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:rdp:remote:status“ im Rohprotokoll übernommen. |
| old_permissions:support:session_assignment:idle_timeout | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:session_assignment:idle_timeout“ im Rohprotokoll übernommen. |
| old_permissions:support:session_assignment:idle_timeout:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:session_assignment:idle_timeout:status“ im Rohprotokoll übernommen. |
| old_permissions:support:session_assignment:session_limit | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:session_assignment:session_limit“ im Rohprotokoll übernommen. |
| old_permissions:support:session_assignment:session_limit:status=forbid_override | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:session_assignment:session_limit:status=forbid_override“ im Rohprotokoll übernommen. |
| old_permissions:support:session_keys | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:session_keys“ im Rohprotokoll übernommen. |
| old_permissions:support:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:status“ im Rohprotokoll übernommen. |
| old_permissions:support:team_share | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:team_share“ im Rohprotokoll übernommen. |
| old_permissions:support:team_transfer | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „old_permissions:support:team_transfer“ im Rohprotokoll. |
| old_permissions:support:vnc:local | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „old_permissions:support:vnc:local“ im Rohprotokoll. |
| old_permissions:support:vnc:local:status | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „old_permissions:support:vnc:local:status“ im Rohprotokoll. |
| old_permissions:support:vnc:remote | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:vnc:remote“ im Rohprotokoll übernommen. |
| old_permissions:support:vnc:remote:status | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_permissions:support:vnc:remote:status“ im Rohprotokoll übernommen. |
| old_private_display_name | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_private_display_name“ im Rohprotokoll übernommen. |
| old_provider:id | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_provider:id“ im Rohprotokoll übernommen. |
| old_provider:name | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „old_provider:name“ im Rohprotokoll übernommen. |
| permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „permissions:jump_item_role:default:id“ im Rohprotokoll übernommen. |
| permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „permissions:jump_item_role:default:name“ im Rohprotokoll übernommen. |
| permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „permissions:jump_item_role:teams:id“ im Rohprotokoll übernommen. |
| permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „permissions:jump_item_role:teams:name“ im Rohprotokoll übernommen. |
| provider:id | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „provider:id“ im Rohprotokoll übernommen. |
| provider:name | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „provider:name“ im Rohprotokoll übernommen. |
| reason | read_only_udm.security_result.description | Der Wert wird aus dem Feld „Grund“ im Rohprotokoll übernommen und dem Feld „Beschreibung“ mit dem Präfix „– Grund:“ angehängt. |
| sEventID | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „sEventID“ im Rohprotokoll übernommen. |
| sIpAddress | read_only_udm.principal.ip | Der Wert wird aus dem Feld „sIpAddress“ im Rohprotokoll übernommen. |
| sLoginName | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „sLoginName“ im Rohprotokoll geparst. Wenn das Feld eine Domain enthält, wird die Domain extrahiert und read_only_udm.principal.namespace zugeordnet. |
| sMessage | read_only_udm.security_result.description | Der Wert wird aus dem Feld „sMessage“ im Rohprotokoll übernommen. Der Parser extrahiert den Text in den Anführungszeichen und ordnet ihn dem Beschreibungsfeld zu. |
| sOriginatingAccount | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „sOriginatingAccount“ im Rohprotokoll geparst. Wenn das Feld eine Domain enthält, wird die Domain extrahiert und read_only_udm.principal.namespace zugeordnet. |
| sOriginatingApplicationComponent | read_only_udm.principal.application | Der Wert wird aus dem Feld „sOriginatingApplicationComponent“ im Rohprotokoll übernommen und nach dem Wert aus „sOriginatingApplicationName“ in eckigen Klammern an das Anwendungsfeld angehängt. |
| sOriginatingApplicationName | read_only_udm.principal.application | Der Wert wird aus dem Feld „sOriginatingApplicationName“ im Rohprotokoll übernommen. |
| sOriginatingSystem | read_only_udm.principal.hostname | Der Wert wird aus dem Feld „sOriginatingSystem“ im Rohprotokoll übernommen. |
| session_policy:id | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „session_policy:id“ im Rohprotokoll übernommen. |
| session_policy:name | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „session_policy:name“ im Rohprotokoll übernommen. |
| session_policy:purpose | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „session_policy:purpose“ im Rohprotokoll übernommen. |
| Website | read_only_udm.target.hostname | Der Wert wird aus dem Feld „site“ im Rohprotokoll übernommen. |
| Status | read_only_udm.security_result.summary | Der Wert wird aus dem Feld „status“ im Rohprotokoll übernommen und an das Zusammenfassungsfeld angehängt. |
| support:jump:local | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:jump:local“ im Rohprotokoll übernommen. |
| support:permissions:allow_pinned_clients | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:allow_pinned_clients“ im Rohprotokoll übernommen. |
| support:permissions:allow_users | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:allow_users“ im Rohprotokoll übernommen. |
| support:permissions:canned_scripts | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:canned_scripts“ im Rohprotokoll übernommen. |
| support:permissions:chat | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:chat“ im Rohprotokoll übernommen. |
| support:permissions:chat:push_url | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:chat:push_url“ im Rohprotokoll übernommen. |
| support:permissions:chat:send_file | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:chat:send_file“ im Rohprotokoll übernommen. |
| support:permissions:command_shell | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:command_shell“ im Rohprotokoll übernommen. |
| support:permissions:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:deploy_callback_button“ im Rohprotokoll übernommen. |
| support:permissions:elevation | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:elevation“ im Rohprotokoll übernommen. |
| support:permissions:file_transfers:cust | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:file_transfers:cust“ im Rohprotokoll übernommen. |
| support:permissions:file_transfers:download | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:file_transfers:download“ im Rohprotokoll übernommen. |
| support:permissions:file_transfers:rep | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:file_transfers:rep“ im Rohprotokoll übernommen. |
| support:permissions:file_transfers:upload | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:file_transfers:upload“ im Rohprotokoll übernommen. |
| support:permissions:registry_access | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:registry_access“ im Rohprotokoll übernommen. |
| support:permissions:request_pin_unpin | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:request_pin_unpin“ im Rohprotokoll übernommen. |
| support:permissions:screen_sharing | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing“ im Rohprotokoll übernommen. |
| support:permissions:screen_sharing:allow_elevated_tools | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:allow_elevated_tools“ im Rohprotokoll übernommen. |
| support:permissions:screen_sharing:annotations | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:annotations“ im Rohprotokoll übernommen. |
| support:permissions:screen_sharing:application_restriction | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:application_restriction“ im Rohprotokoll übernommen. |
| support:permissions:screen_sharing:application_sharing | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:application_sharing“ im Rohprotokoll übernommen. |
| support:permissions:screen_sharing:clipboard_direction | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:clipboard_direction“ im Rohprotokoll übernommen. |
| support:permissions:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:cobrowse“ im Rohprotokoll übernommen. |
| support:permissions:screen_sharing:privacy_mode | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:privacy_mode“ im Rohprotokoll übernommen. |
| support:permissions:screen_sharing:show_screen | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:screen_sharing:show_screen“ im Rohprotokoll übernommen. |
| support:permissions:system_info | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:system_info“ im Rohprotokoll übernommen. |
| support:permissions:system_info:actions | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:permissions:system_info:actions“ im Rohprotokoll übernommen. |
| support:prompting:command_shell | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „support:prompting:command_shell“ im Rohprotokoll. |
| support:prompting:default | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:prompting:default“ im Rohprotokoll übernommen. |
| support:prompting:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:prompting:deploy_callback_button“ im Rohprotokoll übernommen. |
| support:prompting:elevate | read_only_udm.principal.user.attribute.labels.value | Der Wert stammt aus dem Feld „support:prompting:elevate“ im Rohprotokoll. |
| support:prompting:file_transfer | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:prompting:file_transfer“ im Rohprotokoll übernommen. |
| support:prompting:registry | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:prompting:registry“ im Rohprotokoll übernommen. |
| support:prompting:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:prompting:screen_sharing:cobrowse“ im Rohprotokoll übernommen. |
| support:prompting:screen_sharing:full_access | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „support:prompting:screen_sharing:full_access“ im Rohprotokoll übernommen. |
| Ziel | read_only_udm.target.application | Der Wert wird aus dem Feld „target“ im Rohprotokoll übernommen. Der Parser ersetzt „rep_client“ durch „Kundenservicekonsole“ und „web/login“ durch „Web/Anmelden“. |
| two_factor_auth:app | read_only_udm.principal.user.attribute.labels.value | Der Wert wird aus dem Feld „two_factor_auth:app“ im Rohprotokoll übernommen. |
| when | read_only_udm.metadata.product_log_id | Der Wert wird aus dem Feld „when“ im Rohprotokoll übernommen. |
| when | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld „when“ im Rohprotokoll geparst und in einen Unix-Zeitstempel konvertiert. |
| wer | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „who“ im Rohprotokoll geparst. Der Parser extrahiert den Text in den Klammern. |
| wer | read_only_udm.principal.user.user_display_name | Der Wert wird aus dem Feld „who“ im Rohprotokoll geparst. Der Parser extrahiert den Text vor den Klammern. |
| who_ip | read_only_udm.principal.ip | Der Wert wird aus dem Feld „who_ip“ im Rohprotokoll übernommen. |
| read_only_udm.metadata.vendor_name | Der Wert wird vom Parser auf „BeyondTrust“ festgelegt. | |
| read_only_udm.metadata.product_name | Der Wert wird vom Parser auf „BeyondTrust Remote Support“ festgelegt. | |
| read_only_udm.metadata.log_type | Der Wert wird vom Parser auf „BOMGAR“ festgelegt. | |
| read_only_udm.extensions.auth.type | Der Wert wird vom Parser auf „MACHINE“ gesetzt, wenn das Ziel „rep_client“ ist, auf „SSO“, wenn das Ziel „web/login“ ist, und andernfalls auf „AUTHTYPE_UNSPECIFIED“. | |
| read_only_udm.extensions.auth.mechanism | Der Wert wird auf „USERNAME_PASSWORD“ festgelegt, wenn die Methode „using password“ ist, auf „REMOTE“, wenn die Methode „using elevate“ ist, und andernfalls vom Parser leer gelassen. | |
| read_only_udm.security_result.action | Der Wert wird auf „ALLOW“ gesetzt, wenn der Status nicht „failure“ (Fehlgeschlagen) ist, der Grund nicht „failed“ (Fehlgeschlagen) oder „user not found“ (Nutzer nicht gefunden) ist und die sMessage nicht „failed login to web app“ (Anmeldung in der Webanwendung fehlgeschlagen) enthält. Andernfalls wird der Wert vom Parser auf „BLOCK“ gesetzt. | |
| read_only_udm.security_result.summary | Der Wert wird basierend auf dem Ereignisnamen auf „Nutzeranmeldung“ oder „Nutzerabmeldung“ festgelegt, gefolgt vom Status, sofern er vom Parser nicht leer ist. | |
| read_only_udm.security_result.description | Der Wert ist auf „Nutzer“ gefolgt von der User-ID, der IP-Adresse, dem Status, dem Ereignisnamen, dem Connector („zu“ für die Anmeldung und „von“ für die Abmeldung), dem Ziel und der Methode festgelegt. Wenn der Grund nicht leer und nicht „failed“ ist, wird er vom Parser mit dem Präfix „– Grund:“ an die Beschreibung angehängt. |
Änderungen
2024-01-12
- Verbesserte Verarbeitung von Statusereignissen vom Typ „Herausforderung“.
- Verbesserte Zuordnung von E-Mail-Adressen für mehr Genauigkeit.
2022-11-24
- Ein Fehler beim Parsen von Nutzerinformationen wie Anzeigename, ID und Methode wurde behoben.
- Die Genauigkeit der Klassifizierung des Authentifizierungstyps für Nutzeranmeldeereignisse wurde verbessert.
2022-10-13
- Ein kundenspezifischer Parser wurde in den Standardparser integriert, um die Anwendbarkeit zu erweitern.
2022-09-26
- Ein kundenspezifischer Parser wurde in den Standardparser integriert, um die Anwendbarkeit zu erweitern.
2022-08-19
- Benutzerdefinierte Parser wurden im Standardparser zusammengeführt, um die Wartbarkeit und Leistung zu verbessern.