BeyondTrust Remote Support のログを収集する
以下でサポートされています。
Google SecOpsSIEM
このパーサーは、BeyondTrust Remote Support からの Syslog メッセージを処理し、UDM 形式に変換します。CEF 形式と CEF 以外の形式の両方のログを処理し、フィールドを抽出してデータ変換を行い、プリンシパル、ターゲット、セキュリティ結果の詳細など、適切な UDM フィールドにマッピングします。
始める前に
- Google Security Operations インスタンスがあることを確認します。
- Windows 2016 以降、または systemd を使用した Linux ホストを使用していることを確認します。
- プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
Google SecOps 取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- 取り込み認証ファイルをダウンロードします。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細] セクションから [お客様 ID] をコピーして保存します。
BindPlane Agent をインストールする
- Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する
- BindPlane がインストールされているマシンにアクセスします。
config.yamlファイルを次のように編集します。receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: BeyondTrust_Remote_Support raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsBindPlane エージェントを再起動して変更を適用します。
sudo systemctl restart bindplane
BeyondTrust リモート サポートから Syslog のエクスポートを構成する
- BeyondTrust リモート サポートにログインします。
- [セキュリティ] > [アプライアンス管理] に移動します。
- [Syslog] セクションに移動し、次の値を設定します。
- リモート Syslog サーバー: syslog ホストサーバー(Bindplane)のホスト名または IP アドレスを入力します。このフィールドには、最大 3 つの Syslog サーバーを追加できます。
- メッセージ形式: [RFC 5424] を選択します。
- ポート: syslog ホストサーバー(Bindplane)のポート番号を入力します。
- [送信] をクリックします。
UDM マッピング
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| account:expiration | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「account:expiration」フィールドから取得されます。 |
| account:email:locale | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「account:email:locale」フィールドから取得されます。 |
| command_shell_is_whitelist | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「ssions:command_shell_is_whitelist」フィールドから取得されます。 |
| datetime | read_only_udm.metadata.event_timestamp.seconds | 値は、未加工ログの「datetime」フィールドから解析され、Unix タイムスタンプに変換されます。 |
| dtPostTime | read_only_udm.metadata.event_timestamp.seconds | この値は、未加工ログの「dtPostTime」フィールドから解析され、UNIX タイムスタンプに変換されます。 |
| イベント | read_only_udm.metadata.product_event_type | この値は、未加工ログの「event」フィールドから取得されます。 |
| ホスト | read_only_udm.principal.hostname | この値は、未加工ログの「host」フィールドから取得されます。 |
| id | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「id」フィールドから取得されます。 |
| license_pool:id | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「license_pool:id」フィールドから取得されます。 |
| login_schedule:timezone | read_only_udm.target.location.country_or_region | この値は、未加工ログの「login_schedule:timezone」フィールドから取得されます。 |
| old_account:email:address | read_only_udm.target.user.email_addresses | この値は、未加工ログの「old_account:email:address」フィールドから取得されます。 |
| old_account:failed_logins | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_account:failed_logins」フィールドから取得されます。 |
| old_display_number | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_display_number」フィールドから取得されます。 |
| old_login_schedule:timezone | read_only_udm.target.location.country_or_region | この値は、未加工ログの「old_login_schedule:timezone」フィールドから取得されます。 |
| old_permissions:api:reporting | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:api:reporting」フィールドから取得されます。 |
| old_permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:jump_item_role:default:id」フィールドから取得されます。 |
| old_permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:jump_item_role:default:name」フィールドから取得されます。 |
| old_permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:jump_item_role:teams:id」フィールドから取得されます。 |
| old_permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:jump_item_role:teams:name」フィールドから取得されます。 |
| old_permissions:presentations:control:status | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:presentations:control:status」フィールドから取得されます。 |
| old_permissions:public_sites:templates:status | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:public_sites:templates:status」フィールドから取得されます。 |
| old_permissions:reporting:presentation_reports | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:reporting:presentation_reports」フィールドから取得されます。 |
| old_permissions:reporting:support_reports | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:reporting:support_reports」フィールドから取得されます。 |
| old_permissions:reporting:vault_reports | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:reporting:vault_reports」フィールドから取得されます。 |
| old_permissions:support | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support」フィールドから取得されます。 |
| old_permissions:support:accept_team_sessions:status | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:accept_team_sessions:status」フィールドから取得されます。 |
| old_permissions:support:bomgar_button:change_public_sites:status | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:bomgar_button:change_public_sites:status」フィールドから取得されます。 |
| old_permissions:support:bomgar_button:personal:deploy:status | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:bomgar_button:personal:deploy:status」フィールドから取得されます。 |
| old_permissions:support:bomgar_button:team:manage | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:bomgar_button:team:manage」フィールドから取得されます。 |
| old_permissions:support:bomgar_button:team:manage:status | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:bomgar_button:team:manage:status」フィールドから取得されます。 |
| old_permissions:support:ios_content | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:ios_content」フィールドから取得されます。 |
| old_permissions:support:jump:local | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:jump:local」フィールドから取得されます。 |
| old_permissions:support:jump:local:status | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:jump:local:status」フィールドから取得されます。 |
| old_permissions:support:jump:remote | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:jump:remote」フィールドから取得されます。 |
| old_permissions:support:jump:remote:status | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:jump:remote:status」フィールドから取得されます。 |
| old_permissions:support:rdp:local | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:rdp:local」フィールドから取得されます。 |
| old_permissions:support:rdp:local:status | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:rdp:local:status」フィールドから取得されます。 |
| old_permissions:support:rdp:remote | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:rdp:remote」フィールドから取得されます。 |
| old_permissions:support:rdp:remote:status | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:rdp:remote:status」フィールドから取得されます。 |
| old_permissions:support:session_assignment:idle_timeout | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:session_assignment:idle_timeout」フィールドから取得されます。 |
| old_permissions:support:session_assignment:idle_timeout:status | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:session_assignment:idle_timeout:status」フィールドから取得されます。 |
| old_permissions:support:session_assignment:session_limit | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:session_assignment:session_limit」フィールドから取得されます。 |
| old_permissions:support:session_assignment:session_limit:status=forbid_override | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:session_assignment:session_limit:status=forbid_override」フィールドから取得されます。 |
| old_permissions:support:session_keys | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:session_keys」フィールドから取得されます。 |
| old_permissions:support:status | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:status」フィールドから取得されます。 |
| old_permissions:support:team_share | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:team_share」フィールドから取得されます。 |
| old_permissions:support:team_transfer | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:team_transfer」フィールドから取得されます。 |
| old_permissions:support:vnc:local | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:vnc:local」フィールドから取得されます。 |
| old_permissions:support:vnc:local:status | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:vnc:local:status」フィールドから取得されます。 |
| old_permissions:support:vnc:remote | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:vnc:remote」フィールドから取得されます。 |
| old_permissions:support:vnc:remote:status | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_permissions:support:vnc:remote:status」フィールドから取得されます。 |
| old_private_display_name | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_private_display_name」フィールドから取得されます。 |
| old_provider:id | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_provider:id」フィールドから取得されます。 |
| old_provider:name | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「old_provider:name」フィールドから取得されます。 |
| permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「permissions:jump_item_role:default:id」フィールドから取得されます。 |
| permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「permissions:jump_item_role:default:name」フィールドから取得されます。 |
| permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「permissions:jump_item_role:teams:id」フィールドから取得されます。 |
| permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「permissions:jump_item_role:teams:name」フィールドから取得されます。 |
| provider:id | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「provider:id」フィールドから取得されます。 |
| provider:name | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「provider:name」フィールドから取得されます。 |
| reason | read_only_udm.security_result.description | この値は、未加工ログの「reason」フィールドから取得され、「- Reason:」という接頭辞を付けて説明フィールドに追加されます。 |
| sEventID | read_only_udm.metadata.product_event_type | この値は、未加工ログの「sEventID」フィールドから取得されます。 |
| sIpAddress | read_only_udm.principal.ip | この値は、未加工ログの「sIpAddress」フィールドから取得されます。 |
| sLoginName | read_only_udm.principal.user.userid | この値は、未加工ログの「sLoginName」フィールドからパースされます。フィールドにドメインが含まれている場合、ドメインが抽出され、read_only_udm.principal.namespace にマッピングされます。 |
| sMessage | read_only_udm.security_result.description | この値は、未加工ログの「sMessage」フィールドから取得されます。パーサーは引用符内のテキストを抽出し、説明フィールドにマッピングします。 |
| sOriginatingAccount | read_only_udm.principal.user.userid | この値は、未加工ログの「sOriginatingAccount」フィールドからパースされます。フィールドにドメインが含まれている場合、ドメインが抽出され、read_only_udm.principal.namespace にマッピングされます。 |
| sOriginatingApplicationComponent | read_only_udm.principal.application | この値は、未加工ログの「sOriginatingApplicationComponent」フィールドから取得され、sOriginatingApplicationName の値の後にかっこで囲んでアプリケーション フィールドに追加されます。 |
| sOriginatingApplicationName | read_only_udm.principal.application | この値は、未加工ログの「sOriginatingApplicationName」フィールドから取得されます。 |
| sOriginatingSystem | read_only_udm.principal.hostname | この値は、未加工ログの「sOriginatingSystem」フィールドから取得されます。 |
| session_policy:id | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「session_policy:id」フィールドから取得されます。 |
| session_policy:name | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「session_policy:name」フィールドから取得されます。 |
| session_policy:purpose | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「session_policy:purpose」フィールドから取得されます。 |
| サイト | read_only_udm.target.hostname | この値は、未加工ログの「site」フィールドから取得されます。 |
| ステータス | read_only_udm.security_result.summary | この値は、未加工ログの「status」フィールドから取得され、概要フィールドに追加されます。 |
| support:jump:local | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:jump:local」フィールドから取得されます。 |
| support:permissions:allow_pinned_clients | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:allow_pinned_clients」フィールドから取得されます。 |
| support:permissions:allow_users | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:allow_users」フィールドから取得されます。 |
| support:permissions:canned_scripts | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:canned_scripts」フィールドから取得されます。 |
| support:permissions:chat | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:chat」フィールドから取得されます。 |
| support:permissions:chat:push_url | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:chat:push_url」フィールドから取得されます。 |
| support:permissions:chat:send_file | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:chat:send_file」フィールドから取得されます。 |
| support:permissions:command_shell | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:command_shell」フィールドから取得されます。 |
| support:permissions:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:deploy_callback_button」フィールドから取得されます。 |
| support:permissions:elevation | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:elevation」フィールドから取得されます。 |
| support:permissions:file_transfers:cust | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:file_transfers:cust」フィールドから取得されます。 |
| support:permissions:file_transfers:download | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:file_transfers:download」フィールドから取得されます。 |
| support:permissions:file_transfers:rep | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:file_transfers:rep」フィールドから取得されます。 |
| support:permissions:file_transfers:upload | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:file_transfers:upload」フィールドから取得されます。 |
| support:permissions:registry_access | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:registry_access」フィールドから取得されます。 |
| support:permissions:request_pin_unpin | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:request_pin_unpin」フィールドから取得されます。 |
| support:permissions:screen_sharing | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:screen_sharing」フィールドから取得されます。 |
| support:permissions:screen_sharing:allow_elevated_tools | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:screen_sharing:allow_elevated_tools」フィールドから取得されます。 |
| support:permissions:screen_sharing:annotations | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:screen_sharing:annotations」フィールドから取得されます。 |
| support:permissions:screen_sharing:application_restriction | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:screen_sharing:application_restriction」フィールドから取得されます。 |
| support:permissions:screen_sharing:application_sharing | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:screen_sharing:application_sharing」フィールドから取得されます。 |
| support:permissions:screen_sharing:clipboard_direction | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:screen_sharing:clipboard_direction」フィールドから取得されます。 |
| support:permissions:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:screen_sharing:cobrowse」フィールドから取得されます。 |
| support:permissions:screen_sharing:privacy_mode | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:screen_sharing:privacy_mode」フィールドから取得されます。 |
| support:permissions:screen_sharing:show_screen | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:screen_sharing:show_screen」フィールドから取得されます。 |
| support:permissions:system_info | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:system_info」フィールドから取得されます。 |
| support:permissions:system_info:actions | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:permissions:system_info:actions」フィールドから取得されます。 |
| support:prompting:command_shell | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:prompting:command_shell」フィールドから取得されます。 |
| support:prompting:default | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:prompting:default」フィールドから取得されます。 |
| support:prompting:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:prompting:deploy_callback_button」フィールドから取得されます。 |
| support:prompting:elevate | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:prompting:elevate」フィールドから取得されます。 |
| support:prompting:file_transfer | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:prompting:file_transfer」フィールドから取得されます。 |
| support:prompting:registry | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:prompting:registry」フィールドから取得されます。 |
| support:prompting:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:prompting:screen_sharing:cobrowse」フィールドから取得されます。 |
| support:prompting:screen_sharing:full_access | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「support:prompting:screen_sharing:full_access」フィールドから取得されます。 |
| ターゲット | read_only_udm.target.application | この値は、未加工ログの「target」フィールドから取得されます。パーサーは、「rep_client」を「Representative Console」、および「web/login」を「Web/Login」に置き換えます。 |
| two_factor_auth:app | read_only_udm.principal.user.attribute.labels.value | この値は、未加工ログの「two_factor_auth:app」フィールドから取得されます。 |
| when | read_only_udm.metadata.product_log_id | この値は、未加工ログの「when」フィールドから取得されます。 |
| when | read_only_udm.metadata.event_timestamp.seconds | この値は、未加工ログの「when」フィールドから解析され、Unix タイムスタンプに変換されます。 |
| who | read_only_udm.principal.user.userid | この値は、未加工ログの「who」フィールドからパースされます。パーサーは、かっこ内のテキストを抽出します。 |
| who | read_only_udm.principal.user.user_display_name | この値は、未加工ログの「who」フィールドからパースされます。パーサーは、かっこの前のテキストを抽出します。 |
| who_ip | read_only_udm.principal.ip | この値は、未加工ログの「who_ip」フィールドから取得されます。 |
| read_only_udm.metadata.vendor_name | この値は、パーサーによって「BeyondTrust」に設定されます。 | |
| read_only_udm.metadata.product_name | この値は、パーサーによって「BeyondTrust Remote Support」に設定されます。 | |
| read_only_udm.metadata.log_type | この値は、パーサーによって「BOMGAR」に設定されます。 | |
| read_only_udm.extensions.auth.type | 値は、ターゲットが「rep_client」の場合は「MACHINE」、ターゲットが「web/login」の場合は「SSO」、それ以外の場合はパーサーによって「AUTHTYPE_UNSPECIFIED」に設定されます。 | |
| read_only_udm.extensions.auth.mechanism | 値は、メソッドが「パスワードを使用」の場合は「USERNAME_PASSWORD」、メソッドが「昇格を使用」の場合は「REMOTE」に設定され、それ以外の場合は空になります。 | |
| read_only_udm.security_result.action | ステータスが「failure」でない場合、理由が「failed」または「user not found」でない場合、sMessage に「failed login to web app」が含まれていない場合、値は「ALLOW」に設定されます。それ以外の場合、値はパーサーによって「BLOCK」に設定されます。 | |
| read_only_udm.security_result.summary | この値は、eventName に基づいて「ユーザーのログイン」または「ユーザーのログアウト」に設定され、その後に、パーサーによって空でない場合のステータスが付加されます。 | |
| read_only_udm.security_result.description | 値は「ユーザー」に設定され、その後にユーザー ID、IP アドレス、ステータス、イベント名、コネクタ(ログインの場合は「to」、ログアウトの場合は「from」)、ターゲット、メソッドが続きます。理由が空でない場合、または「failed」でない場合、パーサーによって「- Reason:」という接頭辞が付加されて説明に追加されます。 |
変更
2024-01-12
- 「challenge」ステータス イベントの処理を改善しました。
- メールアドレスのマッピングを強化し、精度を高めました。
2022-11-24
- 表示名、ID、メソッドなどのユーザー情報の解析に関するバグを修正しました。
- ユーザーのログイン イベントの認証タイプの分類の精度が向上しました。
2022-10-13
- 適用範囲を広げるために、お客様固有のパーサーをデフォルト パーサーに統合しました。
2022-09-26
- 適用範囲を広げるために、お客様固有のパーサーをデフォルト パーサーに統合しました。
2022-08-19
- カスタム パーサーをデフォルトのパーサーに統合し、保守性とパフォーマンスを向上させました。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。