Cisco Meraki-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Cisco Meraki-Logs mit einem Google Security Operations-Weiterleiter erfassen können.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel CISCO_MERAKI.
Cisco Meraki konfigurieren
- Melden Sie sich im Cisco Meraki-Dashboard an.
- Wählen Sie im Cisco Meraki-Dashboard Konfigurieren > Benachrichtigungen und Verwaltung aus.
- Führen Sie im Abschnitt Protokollierung die folgenden Schritte aus:
- Geben Sie im Feld Server-IP die IP-Adresse des Google Security Operations-Weiterleitungsservers an.
- Geben Sie im Feld Port den Portwert ein, z. B. 514.
- Wählen Sie im Feld Rollen die vier verfügbaren Optionen aus, um alle Protokolle zu erhalten, oder eine beliebige Kombination entsprechend Ihren Anforderungen.
- Klicken Sie auf Änderungen speichern.
Google Security Operations-Weiterleitung und syslog für die Aufnahme von Cisco Meraki-Logs konfigurieren
- Gehen Sie zu SIEM-Einstellungen > Weiterleitungen.
- Klicken Sie auf Neuen Weiterleiter hinzufügen.
- Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
- Klicken Sie auf Senden. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Datensammlers einen Namen ein.
- Wählen Sie Cisco Meraki als Logtyp aus.
- Wählen Sie Syslog als Typ des Collectors aus.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Protokoll an.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Ziel-Hostnamen an, unter der bzw. dem der Collector für syslog-Daten lauscht.
- Port: Gibt den Zielport an, an dem sich der Collector befindet und auf Syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu Google Security Operations-Weiterleitungen finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungen.
Informationen zu den Anforderungen für die einzelnen Weiterleitungstypen finden Sie unter Weiterleitungskonfiguration nach Typ.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Dieser Parser verarbeitet Cisco Meraki-Logs (als „Cisco/Meraki“ gekennzeichnet) entweder im SYSLOG- oder JSON-Format und normalisiert sie in UDM. Dabei werden syslog-Nachrichten mithilfe von Grok-Mustern und bedingter Logik basierend auf dem Feld eventType geparst, um relevante Informationen zu extrahieren. Es werden verschiedene Ereignistypen wie Netzwerkflüsse, URL-Anfragen, Firewall-Ereignisse und allgemeine Ereignisse verarbeitet, sie werden den entsprechenden UDM-Feldern zugeordnet und die Daten werden mit zusätzlichen Kontextinformationen angereichert. Wenn die Eingabe kein syslog-Format hat, wird versucht, sie als JSON zu parsen und die relevanten Felder UDM zuzuordnen.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
action |
security_result.action |
Der Wert wird in Großbuchstaben konvertiert. Wenn der Wert „deny“ ist, wird er durch „BLOCK“ ersetzt. Wenn sc_action „allow“ enthält, wird der Wert durch „ALLOW“ ersetzt. Andernfalls, wenn decision „block“ enthält, wird der Wert durch „BLOCK“ ersetzt. Andernfalls wird authorization auf „ALLOW“ gesetzt, wenn „success“ und auf „BLOCK“, wenn „failure“. Andernfalls wird pattern auf „BLOCK“ gesetzt, wenn es „1 all“, „deny all“ oder „Group Policy Deny“ lautet. Wenn pattern „alle zulassen“, „Gruppenrichtlinie zulassen“ oder „0 alle“ ist, ist es auf „ZULASSEN“ festgelegt. Andernfalls wird „UNKNOWN_ACTION“ festgelegt. Wenn decision „block“ enthält, wird es auf „BLOCK“ gesetzt. |
adId |
principal.user.user_display_name |
Wird direkt aus dem Feld adId in JSON-Protokollen zugeordnet. |
agent |
network.http.user_agent |
Apostrophe werden entfernt. Direkt aus dem Feld agent zugeordnet. Wurde auch mit dem Filter parseduseragent in network.http.parsed_user_agent umgewandelt. |
aid |
network.session_id |
Direkt aus dem Feld aid zugeordnet. |
appProtocol |
network.application_protocol |
In Großbuchstaben umgewandelt. Direkt aus dem Feld appProtocol zugeordnet. |
attr |
additional.fields |
Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „attr“ hinzugefügt. |
authorization |
security_result.action_details |
Wird direkt aus dem Feld authorization in JSON-Protokollen zugeordnet. |
band |
additional.fields |
Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „band“ hinzugefügt. |
bssids.bssid |
principal.mac |
In Kleinbuchstaben umgewandelt. Sie werden in das Array principal.mac zusammengeführt. |
bssids.detectedBy.device |
intermediary.asset.asset_id |
Formatiert als „Geräte-ID: |
bssids.detectedBy.rssi |
intermediary.asset.product_object_id |
In einen String konvertiert. |
Channel |
about.resource.attribute.labels |
Wird dem Array about.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „Channel“ hinzugefügt. |
clientDescription |
additional.fields |
Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „clientDescription“ hinzugefügt. |
clientId |
additional.fields |
Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „clientId“ hinzugefügt. |
clientIp |
principal.ip, principal.asset.ip |
Direkt aus dem Feld clientIp zugeordnet. |
clientMac |
principal.mac |
In Kleinbuchstaben umgewandelt. Wird direkt aus dem Feld clientMac in JSON-Protokollen zugeordnet. |
client_ip |
principal.ip, principal.asset.ip |
Direkt aus dem Feld client_ip zugeordnet. |
client_mac |
principal.mac |
In Kleinbuchstaben umgewandelt. Direkt aus dem Feld client_mac zugeordnet. |
code |
additional.fields |
Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „code“ hinzugefügt. |
collection_time |
metadata.event_timestamp |
Die Felder „seconds“ und „nanos“ werden kombiniert, um einen Zeitstempel zu erstellen. |
Conditions |
security_result.about.resource.attribute.labels |
Zeilenumbrüche, neue Zeilen und Tabulatoren werden durch Leerzeichen ersetzt und bestimmte Werte werden ersetzt. Der geänderte Wert wird dem security_result.about.resource.attribute.labels-Array als Schlüssel/Wert-Paar mit dem Schlüssel „Conditions“ hinzugefügt. |
decision |
security_result.action |
Wenn der Wert „blockiert“ ist, wird er auf „BLOCK“ gesetzt. |
desc |
metadata.description |
Direkt aus dem Feld desc zugeordnet. |
description |
security_result.description |
Wird direkt aus dem Feld description in JSON-Protokollen zugeordnet. |
DestAddress |
target.ip, target.asset.ip |
Direkt aus dem Feld DestAddress zugeordnet. |
DestPort |
target.port |
In eine Ganzzahl konvertiert. Direkt aus dem Feld DestPort zugeordnet. |
deviceIp |
target.ip |
Direkt aus dem Feld deviceIp zugeordnet. |
deviceMac |
target.mac |
In Kleinbuchstaben umgewandelt. Direkt aus dem Feld deviceMac zugeordnet. |
deviceName |
target.hostname, target.asset.hostname |
Wird direkt aus dem Feld deviceName in JSON-Protokollen zugeordnet. |
deviceSerial |
target.asset.hardware.serial_number |
Wird direkt aus dem Feld deviceSerial in JSON-Protokollen zugeordnet. |
Direction |
network.direction |
Sonderzeichen werden entfernt und der Wert wird network.direction zugeordnet. |
DisabledPrivilegeList |
target.user.attribute |
Umbruchzeichen, neue Zeilen und Tabulatoren werden ersetzt. Der geänderte Wert wird als JSON geparst und in das target.user.attribute-Objekt eingefügt. |
dport |
target.port |
In eine Ganzzahl konvertiert. Direkt aus dem Feld dport zugeordnet. |
dst |
target.ip, target.asset.ip |
Direkt aus dem Feld dst zugeordnet. |
dstIp |
target.ip, target.asset.ip |
Direkt aus dem Feld dstIp zugeordnet. |
dstPort |
target.port |
In eine Ganzzahl konvertiert. Direkt aus dem Feld dstPort zugeordnet. |
dvc |
intermediary.hostname |
Direkt aus dem Feld dvc zugeordnet. |
EnabledPrivilegeList |
target.user.attribute |
Wagenrückschläge, neue Zeilen und Tabulatorzeichen werden ersetzt. Der geänderte Wert wird als JSON geparst und in das target.user.attribute-Objekt eingefügt. |
eventData.aid |
principal.asset_id |
Formatiert als „ASSET_ID: |
eventData.client_ip |
principal.ip, principal.asset.ip |
Wird direkt aus dem Feld eventData.client_ip in JSON-Protokollen zugeordnet. |
eventData.client_mac |
principal.mac |
In Kleinbuchstaben umgewandelt. Wird direkt aus dem Feld eventData.client_mac in JSON-Protokollen zugeordnet. |
eventData.group |
principal.group.group_display_name |
Wird direkt aus dem Feld eventData.group in JSON-Protokollen zugeordnet. |
eventData.identity |
principal.hostname |
Wird direkt aus dem Feld eventData.identity in JSON-Protokollen zugeordnet. |
eventData.ip |
principal.ip, principal.asset.ip |
Wird direkt aus dem Feld eventData.ip in JSON-Protokollen zugeordnet. |
EventID |
metadata.product_event_type, security_result.rule_name |
In einen String konvertiert. Zugewiesen zu metadata.product_event_type. Wird auch zum Erstellen von security_result.rule_name im Format „EventID: event_type und sec_action zu bestimmen. |
eventSummary |
security_result.summary, metadata.description |
Direkt aus dem Feld eventSummary zugeordnet. Wird auch in security_result.description für einige Ereignisse verwendet. |
eventType |
metadata.product_event_type |
Direkt aus dem Feld eventType zugeordnet. Damit wird festgelegt, welche Parselogik angewendet werden soll. |
filename |
principal.process.file.full_path |
Direkt aus dem Feld filename zugeordnet. |
FilterId |
target.resource.product_object_id |
Direkt aus dem Feld FilterId für die Ereignis-ID 5447 zugeordnet. |
FilterName |
target.resource.name |
Direkt aus dem Feld FilterName für die Ereignis-ID 5447 zugeordnet. |
FilterRTID |
security_result.detection_fields |
Wird dem Array „security_result.detection_fields“ als Schlüssel/Wert-Paar mit dem Schlüssel „FilterRTID“ hinzugefügt. |
firstSeen |
security_result.detection_fields |
In einen String konvertiert. Wird dem Array security_result.detection_fields als Schlüssel/Wert-Paar mit dem Schlüssel „firstSeen“ hinzugefügt. |
gatewayDeviceMac |
target.mac |
In Kleinbuchstaben umgewandelt. Sie werden mit dem Array target.mac zusammengeführt. |
group |
additional.fields |
Wird dem additional.fields-Array als Schlüssel/Wert-Paar mit dem Schlüssel „group“ hinzugefügt. |
GroupMembership |
target.user |
Zeilenumbrüche, Zeilenvorschübe, Tabulatoren und Sonderzeichen werden entfernt. Der geänderte Wert wird als JSON geparst und in das target.user-Objekt eingefügt. |
Hostname |
principal.hostname, principal.asset.hostname |
Direkt aus dem Feld Hostname zugeordnet. |
identity |
target.user.userid |
Direkt aus dem Feld identity zugeordnet. |
instigator |
additional.fields |
Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „instigator“ hinzugefügt. |
int_ip |
intermediary.ip |
Direkt aus dem Feld int_ip zugeordnet. |
ip_msg |
principal.resource.attribute.labels |
Wird dem principal.resource.attribute.labels-Array als Schlüssel/Wert-Paar mit dem Schlüssel „IPs“ hinzugefügt. |
is_8021x |
additional.fields |
Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „is_8021x“ hinzugefügt. |
KeyName |
target.resource.name |
Direkt aus dem Feld KeyName zugeordnet. |
KeyFilePath |
target.file.full_path |
Direkt aus dem Feld KeyFilePath zugeordnet. |
lastSeen |
security_result.detection_fields |
In einen String konvertiert. Wird dem Array security_result.detection_fields als Schlüssel/Wert-Paar mit dem Schlüssel „lastSeen“ hinzugefügt. |
last_known_client_ip |
principal.ip, principal.asset.ip |
Direkt aus dem Feld last_known_client_ip zugeordnet. |
LayerName |
security_result.detection_fields |
Wird dem Array security_result.detection_fields als Schlüssel/Wert-Paar mit dem Schlüssel „Ebenenname“ hinzugefügt. |
LayerRTID |
security_result.detection_fields |
Wird dem security_result.detection_fields-Array als Schlüssel/Wert-Paar mit dem Schlüssel „LayerRTID“ hinzugefügt. |
localIp |
principal.ip, principal.asset.ip |
Direkt aus dem Feld localIp zugeordnet. |
login |
principal.user.email_addresses |
Wird direkt aus dem Feld login in JSON-Logs zugeordnet, wenn es dem Format einer E-Mail-Adresse entspricht. |
LogonGuid |
additional.fields |
Wird dem Array „additional.fields“ als Schlüssel/Wert-Paar mit dem Schlüssel „LogonGuid“ hinzugefügt. |
LogonType |
extensions.auth.mechanism |
Wird basierend auf seinem Wert einem bestimmten Authentifizierungsmechanismus zugeordnet. Wenn PreAuthType vorhanden ist, wird LogonType überschrieben. Die Werte werden folgendermaßen zugeordnet: 2 -> USERNAME_PASSWORD, 3 -> NETWORK, 4 -> BATCH, 5 -> SERVICE, 7 -> UNLOCK, 8 -> NETWORK_CLEAR_TEXT, 9 -> NEW_CREDENTIALS, 10 -> REMOTE_INTERACTIVE, 11 -> CACHED_INTERACTIVE, 12 -> CACHED_REMOTE_INTERACTIVE, 13 -> CACHED_UNLOCK, andere -> MECHANISM_UNSPECIFIED. |
mac |
principal.mac |
In Kleinbuchstaben umgewandelt. Sie werden mit dem Array principal.mac zusammengeführt. |
MandatoryLabel |
additional.fields |
Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „MandatoryLabel“ hinzugefügt. |
Message |
security_result.description, security_result.summary |
Wenn AccessReason vorhanden ist, wird Message security_result.summary und AccessReason security_result.description zugeordnet. Andernfalls wird Message auf security_result.description zugeordnet. |
method |
network.http.method |
Direkt aus dem Feld method zugeordnet. |
msg |
security_result.description |
Direkt aus dem Feld msg zugeordnet. |
name |
principal.user.user_display_name |
Wird direkt aus dem Feld name in JSON-Protokollen zugeordnet. |
natsrcIp |
principal.nat_ip |
Direkt aus dem Feld natsrcIp zugeordnet. |
natsrcport |
principal.nat_port |
In eine Ganzzahl konvertiert. Direkt aus dem Feld natsrcport zugeordnet. |
network_id |
additional.fields |
Wird dem additional.fields-Array als Schlüssel/Wert-Paar mit dem Schlüssel „Netzwerk-ID“ hinzugefügt. |
NewProcessId |
target.process.pid |
Direkt aus dem Feld NewProcessId zugeordnet. |
NewProcessName |
target.process.file.full_path |
Direkt aus dem Feld NewProcessName zugeordnet. |
NewSd |
target.resource.attribute.labels |
Wurde dem Array target.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „New Security Descriptor“ hinzugefügt. |
occurredAt |
metadata.event_timestamp |
Wird als Zeitstempel im ISO 8601-Format geparst. |
ObjectName |
target.file.full_path, target.registry.registry_key, target.process.file.full_path, additional.fields |
Wenn EventID 4663 und ObjectType „Prozess“ ist, wird es target.process.file.full_path zugeordnet. Wenn ObjectType „Schlüssel“ ist, wird es target.registry.registry_key zugeordnet. Andernfalls wird es target.file.full_path zugeordnet. Bei anderen Ereignissen wird es dem additional.fields-Array als Schlüssel/Wert-Paar mit dem Schlüssel „ObjectName“ hinzugefügt. |
ObjectType |
additional.fields |
Wird dem additional.fields-Array als Schlüssel/Wert-Paar mit dem Schlüssel „ObjectType“ hinzugefügt. Wird zur Bestimmung von event_type verwendet. |
OldSd |
target.resource.attribute.labels |
Wird dem Array target.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „Original Security Descriptor“ hinzugefügt. |
organizationId |
principal.resource.id |
Wird direkt aus dem Feld organizationId in JSON-Protokollen zugeordnet. |
ParentProcessName |
target.process.parent_process.file.full_path |
Direkt aus dem Feld ParentProcessName zugeordnet. |
pattern |
security_result.description |
Direkt security_result.description zugeordnet. Wird zur Bestimmung von security_result.action verwendet. |
peer_ident |
target.user.userid |
Direkt aus dem Feld peer_ident zugeordnet. |
PreAuthType |
extensions.auth.mechanism |
Wird verwendet, um den Authentifizierungsmechanismus zu bestimmen, falls vorhanden. überschreibt LogonType. |
principalIp |
principal.ip, principal.asset.ip |
Direkt aus dem Feld principalIp zugeordnet. |
principalMac |
principal.mac |
In Kleinbuchstaben umgewandelt. Sie werden mit dem Array principal.mac zusammengeführt. |
principalPort |
principal.port |
In eine Ganzzahl konvertiert. Direkt aus dem Feld principalPort zugeordnet. |
prin_ip2 |
principal.ip, principal.asset.ip |
Direkt aus dem Feld prin_ip2 zugeordnet. |
prin_url |
principal.url |
Direkt aus dem Feld prin_url zugeordnet. |
priority |
security_result.priority |
Wird basierend auf dem Wert einer Prioritätsstufe zugeordnet: 1 -> HIGH_PRIORITY, 2 -> MEDIUM_PRIORITY, 3 -> LOW_PRIORITY, andere -> UNKNOWN_PRIORITY. |
ProcessID |
principal.process.pid |
In einen String konvertiert. Direkt aus dem Feld ProcessID zugeordnet. |
ProcessName |
principal.process.file.full_path, target.process.file.full_path |
Wenn EventID 4689 ist, wird es target.process.file.full_path zugeordnet. Andernfalls wird es principal.process.file.full_path zugeordnet. |
prod_log_id |
metadata.product_log_id |
Direkt aus dem Feld prod_log_id zugeordnet. |
protocol |
network.ip_protocol |
In Großbuchstaben umgewandelt. Bei einer Zahl wird sie in den entsprechenden IP-Protokollnamen umgewandelt. Wenn es „ICMP6“ lautet, wird es durch „ICMP“ ersetzt. Direkt aus dem Feld protocol zugeordnet. |
ProviderGuid |
metadata.product_deployment_id |
Direkt aus dem Feld ProviderGuid zugeordnet. |
query |
network.dns.questions.name |
Direkt aus dem Feld query zugeordnet. |
query_type |
network.dns.questions.type |
Wurde in question.type umbenannt und in das network.dns.questions-Array eingefügt. Wird basierend auf dem DHCP-Abfragetyp einem numerischen Wert zugeordnet. |
radio |
additional.fields |
Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „radio“ hinzugefügt. |
reason |
additional.fields |
Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „reason“ hinzugefügt. |
rec_bytes |
network.received_bytes |
In eine vorzeichenlose Ganzzahl umgewandelt. Direkt aus dem Feld rec_bytes zugeordnet. |
RecordNumber |
metadata.product_log_id |
In einen String konvertiert. Direkt aus dem Feld RecordNumber zugeordnet. |
RelativeTargetName |
target.process.file.full_path |
Direkt aus dem Feld RelativeTargetName zugeordnet. |
response_ip |
principal.ip, principal.asset.ip |
Direkt aus dem Feld response_ip zugeordnet. |
rssi |
intermediary.asset.product_object_id |
Direkt aus dem Feld rssi zugeordnet. |
sc_action |
security_result.action_details |
Direkt aus dem Feld sc_action zugeordnet. |
sec_action |
security_result.action |
Sie werden mit dem Array security_result.action zusammengeführt. |
server_ip |
client_ip |
Wird direkt dem client_ip-Feld zugeordnet. |
Severity |
security_result.severity |
Wird basierend auf dem Wert einem Schweregrad zugeordnet: „Info“ -> INFORMATIONAL, „Fehler“ -> ERROR, „Warnung“ -> MEDIUM, andere -> UNKNOWN_SEVERITY. |
sha256 |
target.file.sha256 |
Direkt aus dem Feld sha256 zugeordnet. |
signature |
additional.fields |
Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „signature“ hinzugefügt. |
SourceAddress |
principal.ip, principal.asset.ip |
Direkt aus dem Feld SourceAddress zugeordnet. |
SourceHandleId |
src.resource.id |
Direkt aus dem Feld SourceHandleId zugeordnet. |
SourceModuleName |
observer.labels |
Wird dem Array observer.labels als Schlüssel/Wert-Paar mit dem Schlüssel „SourceModuleName“ hinzugefügt. |
SourceModuleType |
observer.application |
Direkt aus dem Feld SourceModuleType zugeordnet. |
SourcePort |
principal.port |
In eine Ganzzahl konvertiert. Direkt aus dem Feld SourcePort zugeordnet. |
SourceProcessId |
src.process.pid |
Direkt aus dem Feld SourceProcessId zugeordnet. |
source_client_ip |
client_ip |
Wird direkt dem client_ip-Feld zugeordnet. |
sport |
principal.port |
In eine Ganzzahl konvertiert. Direkt aus dem Feld sport zugeordnet. |
src |
principal.ip, principal.asset.ip |
Direkt aus dem Feld src zugeordnet. |
ssid |
network.session_id |
Wird direkt aus dem Feld ssid in JSON-Protokollen zugeordnet. |
ssidName |
additional.fields |
Wird dem additional.fields-Array als Schlüssel/Wert-Paar mit dem Schlüssel „ssidName“ hinzugefügt. |
state |
additional.fields |
Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „status“ hinzugefügt. |
Status |
additional.fields |
Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „Status“ hinzugefügt. |
status_code |
network.http.response_code |
In eine Ganzzahl konvertiert. Direkt aus dem Feld status_code zugeordnet. |
SubjectDomainName |
principal.administrative_domain |
Direkt aus dem Feld SubjectDomainName zugeordnet. |
SubjectLogonId |
principal.resource.attribute.labels |
Wird dem principal.resource.attribute.labels-Array als Schlüssel/Wert-Paar mit dem Schlüssel „SubjectLogonId“ hinzugefügt. |
SubjectUserName |
principal.user.userid |
Direkt aus dem Feld SubjectUserName zugeordnet. |
SubjectUserSid |
principal.user.windows_sid |
Direkt aus dem Feld SubjectUserSid zugeordnet. |
targetHost |
target.hostname, target.asset.hostname |
Wird nach Möglichkeit in eine IP-Adresse umgewandelt. Andernfalls wird der Hostname extrahiert und target.hostname und target.asset.hostname zugeordnet. |
TargetHandleId |
target.resource.id |
Direkt aus dem Feld TargetHandleId zugeordnet. |
TargetLogonId |
principal.resource.attribute.labels |
Wird dem Array principal.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „TargetLogonId“ hinzugefügt, wenn er sich von SubjectLogonId unterscheidet. |
TargetProcessId |
target.process.pid |
Direkt aus dem Feld TargetProcessId zugeordnet. |
TargetUserName |
target.user.userid |
Direkt aus dem Feld TargetUserName zugeordnet. |
TargetUserSid |
target.user.windows_sid |
Direkt aus dem Feld TargetUserSid zugeordnet. |
Task |
additional.fields |
In einen String konvertiert. Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „Task“ hinzugefügt. |
timestamp |
metadata.event_timestamp |
Das Feld „Sekunden“ wird zum Erstellen eines Zeitstempels verwendet. |
ts |
metadata.event_timestamp |
Wenn ts leer ist, wird es durch Kombination von tsDate, tsTime und tsTZ erstellt. Wenn er „ |
type |
security_result.summary, metadata.product_event_type |
Wird direkt aus dem Feld type in JSON-Protokollen zugeordnet. Wird in einigen Fällen auch als eventSummary und metadata.product_event_type verwendet. |
url |
target.url, principal.url |
Direkt aus dem Feld url zugeordnet. |
url1 |
target.url |
Direkt aus dem Feld url1 zugeordnet. |
user |
target.user.group_identifiers |
Sie werden mit dem Array target.user.group_identifiers zusammengeführt. |
user_id |
target.user.userid |
Direkt aus dem Feld user_id zugeordnet. |
UserID |
principal.user.windows_sid |
Direkt aus dem Feld UserID zugeordnet. |
UserName |
principal.user.userid |
Direkt aus dem Feld UserName zugeordnet. |
user_agent |
network.http.user_agent |
Direkt aus dem Feld user_agent zugeordnet. |
userId |
target.user.userid |
Direkt aus dem Feld userId zugeordnet. |
vap |
additional.fields |
Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „vap“ hinzugefügt. |
VirtualAccount |
security_result.about.labels |
Wird dem Array security_result.about.labels als Schlüssel/Wert-Paar mit dem Schlüssel „VirtualAccount“ hinzugefügt. |
wiredLastSeen |
security_result.detection_fields |
In einen String konvertiert. Wurde dem Array security_result.detection_fields als Schlüssel/Wert-Paar mit dem Schlüssel „wiredLastSeen“ hinzugefügt. |
wiredMacs |
intermediary.mac |
In Kleinbuchstaben umgewandelt. Sie werden mit dem Array intermediary.mac zusammengeführt. |
WorkstationName |
principal.hostname, principal.asset.hostname |
Direkt aus dem Feld WorkstationName zugeordnet. |
Änderungen
2024-03-19
- Es wurde ein Grok-Muster hinzugefügt, um die IP-Adresse des sendenden Geräts „intermediary.ip“ zuzuordnen.
2024-02-06
- Geparste Protokolle, bei denen „eventSummary“ „cli_set_rad_parms“ oder „cli_set_rad_pmksa_parms“ ist.
- „group“ und „attr“ wurden „additional.fields“ zugeordnet.
2023-12-26
- Geparste Protokolle mit „eventSummary“ als „status changed“ und „changed STP role“
2023-10-09
- Legen Sie „sec_res.action“ auf „BLOCK“, wenn „pattern“ „1 all“, „deny all“ oder „Group Policy Deny“ enthält.
- Legen Sie „sec_res.action“ auf „ALLOW“ fest, wenn „pattern“ „0 all“, „allow all“ oder „Group Policy Allow“ enthält.
2023-07-19
- Fehlerkorrektur –
- Geparste und nicht geparste syslog-Protokolle vom Typ „firewall“
2023-07-14
- Verbesserung –
- Für den Typ „splash_auth“ wurde „event_type“ auf „USER_LOGIN“ zugeordnet.
- Für den Typ „device_packet_flood“ wurde „packet_flood“ als „event_type“ mit „GENERIC_EVENT“ verknüpft.
- Für den Typ „vpn_connectivity_change“, „wpa_deauth“ und „wpa_auth“ wurde „event_type“ auf „STATUS_UPDATE“ umgestellt.
- „agent“ wurde „network.http.parsed_user_agent“ zugeordnet.
- Wenn „protocol“ == „47“, wird „network.ip_protocol“ mit „GRE“ abgeglichen.
- Wenn „protocol“ == „103“, wird „network.ip_protocol“ mit „PIM“ abgeglichen.
2023-07-04
- Verbesserung –
- Es wurden Schlüssel/Wert-Filter anstelle eines Grok-Musters verwendet, um die Protokolle vom Typ „urls“, „firewall“ und „vpn_firewall“ zu parsen.
2023-06-16
- Verbesserung –
- „src“ wurde auf „principal.ip“ zugeordnet
- „dst“ wurde auf „target.ip“ zugeordnet
- „protocol“ wurde in „network.ip_protocol“ umgewandelt
- „sport“ wurde auf „principal.port“ zugeordnet
- „dport“ wurde „target.port“ zugeordnet
- „mac“ wurde „principal.mac“ zugeordnet.
- „pattern“ wurde auf „security_result.description“ zugeordnet.
2023-06-09
- Verbesserung –
- „metadata.event_type“ wurde in „USER_LOGOUT“ umgewandelt, wenn „type“ = „8021x_deauth“.
- „radio“, „vap“, „reason“, „is_8021x“, „instigator“ und „band“ wurden für „type“ = „disassociation“ zu „additional.fields“ zugeordnet.
2023-05-26
- Verbesserung –
- Für den Typ „security_filtering_file_scanned“ wurde „metadata.event_type“ von „STATUS_UPDATE“ in „SCAN_FILE“ geändert.
- Grok-Muster zum Parsen von syslog-Protokollen hinzugefügt.
- „ip“ wurde auf „principal.ip“ zugeordnet
- „mac“ wurde „principal.mac“ zugeordnet.
2023-03-03
- Verbesserung –
- Grok-Muster zum Parsen von Protokollen mit dem Feld „ip_flow_end“ hinzugefügt.
- „natsrcIp“ wurde „principal.nat_ip“ zugeordnet.
- „natsrcport“ wurde „principal.nat_port“ zugeordnet.
2022-11-25
- Verbesserung –
- Unterstützung für nicht geparste JSON-Logs, network_dns-Abfrageprotokolle und fehlgeschlagene syslog- und kv_data-Logs hinzugefügt.
- „metadata.eventType“ wurde den Werten RESOURCE_CREATION, FILE_UNCATEGORIZED, SETTING_MODIFICATION und NETWORK_UNCATEGORIZED zugeordnet.
- GROUP_UNCATEGORIZED, PROCESS_LAUNCH, PROCESS_TERMINATION, STATUS_UNCATEGORIZED, SYSTEM_AUDIT_LOG_UNCATEGORIZED,
- USER_LOGOUT, USER_LOGIN, RESOURCE_PERMISSIONS_CHANGE, USER_RESOURCE_ACCESS basierend auf „EventID“ für JSON-Protokolle.
- „DisabledPrivilegeList“ und „EnabledPrivilegeList“ wurden auf „target.user.attribute.permissions“ zugeordnet.
- „GroupMembership“ wurde „target.user.group_identifiers“ zugeordnet.
- „AccessList“ wurde „target.resource.attribute“ zugeordnet.
- „auth_mechanism“ wurde „extensions.auth.mechanism“ zugeordnet.
- „question“ wurde „network.dns.questions“ zugeordnet.
- Legen Sie „security_result.priority“ anhand des Werts „priority“ fest.
- „RecordNumber“ wurde mit „metadata.product_log_id“ verknüpft.
2022-10-06
- Verbesserung –
- „dvc“ wurde „intermediary.hostname“ zugeordnet.
- „eventType“ wurde auf „metadata.product_event_type“ zugeordnet.
- „pattren“ wurde „security_result.action_details“ zugeordnet.
- „principalMac“ wurde in „principal.mac“ geändert.
- „principalIp“ wurde in „principal.ip“ geändert.
- Null-Prüfung für „dstIp“ vor der Zuordnung zu udm hinzugefügt.
2022-07-04
- Verbesserung –
- Wenn „protocol“ mit „47“ übereinstimmt, setzen Sie „protocol“ auf „GRE“.
- Wenn „protocol“ mit „50“ übereinstimmt, legen Sie „protocol“ auf „ESP“ fest.
- KV-Block hinzugefügt, wenn „eventType“ mit „events“ übereinstimmt.
- „identity“ wurde „target.user.userid“ zugeordnet.
- „last_known_client_ip“ wurde auf „principal.ip“ zugeordnet.
- Wenn „eventSummary“ mit „association“ übereinstimmt.
- „client_ip“ wurde auf „principal.ip“ zugeordnet.
- „client_mac“ wurde „principal.mac“ zugeordnet.
- „rssi“ wurde „intermediary.asset.product_object_id“ zugeordnet.
- „channel“ wurde „security_result.detection_fields“ zugeordnet.
- „aid“ wurde „network.session_id“ zugeordnet.
2022-06-15
- Verbesserung –
- „lastSeen“, „firstSeen“ und „wiredLastSeen“ wurden in „security_result.detection_fields“ zugeordnet.
- „wiredMacs“ wurde „intermediary.mac“ zugeordnet.
- „type“ wurde auf „security_result.summary“ zugeordnet.
- „description“ wurde in „security_result.description“ geändert.
- „deviceSerial“ wurde „_target_hardware.serial_number“ zugeordnet.
- „deviceName“ wurde „target.hostname“ zugeordnet.
- „ssidName“, „clientId“ und „clientDescription“ wurden in „additional.fields“ zugeordnet.
- „eventData.client_mac“ wurde „principal.mac“ zugeordnet.
- „eventData.identity“ wurde „principal.hostname“ zugeordnet.
- „eventData.aid“ wurde „principal.asset_id“ zugeordnet.
- „organizationId“ wurde „principal.resource.id“ zugeordnet.
- „eventData.group“ wurde auf „principal.group.group_display_name“ zugeordnet.
- „eventData.client_ip“ wurde in „principal.ip“ umgewandelt.
- „occurredAt“ wurde „metadata.event_timestamp“ zugeordnet.
2022-05-04
- Verbesserung: Zuordnung für Hostnamen hinzugefügt.
2022-04-13
- Verbesserung: Parsing von Logs vom Typ „JSON“ hinzugefügt.