收集 Cisco Meraki 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Google Security Operations 转发器收集 Cisco Meraki 日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心。
提取标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 CISCO_MERAKI 注入标签的解析器。
配置 Cisco Meraki
- 登录 Cisco Meraki 控制台。
- 在 Cisco Meraki 信息中心内,依次选择配置 > 提醒和管理。
- 在日志记录部分中,执行以下操作:
- 在服务器 IP 字段中,指定 Google 安全运营转发器 IP 地址。
- 在 Port 字段中,指定端口值,例如 514。
- 在角色字段中,选择四个可用选项以获取所有日志,或根据需要选择任意组合。
- 点击保存更改。
配置 Google Security Operations 转发器和 syslog 以提取 Cisco Meraki 日志
- 依次前往 SIEM 设置 > 转发器。
- 点击添加新转发器。
- 在转发器名称字段中,为转发器输入一个唯一的名称。
- 点击提交。系统会添加转发器,并显示添加收集器配置窗口。
- 在收集器名称字段中,输入名称。
- 选择 Cisco Meraki 作为日志类型。
- 选择 Syslog 作为收集器类型。
- 配置以下必需的输入参数:
- 协议:指定协议。
- 地址:指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
- 端口:指定收集器所在的目标端口,以及收集器监听 syslog 数据的端口。
- 点击提交。
如需详细了解 Google Security Operations 转发器,请参阅 Google Security Operations 转发器文档。
如需了解每种转发器类型的要求,请参阅按类型配置转发器。
如果您在创建转发器时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考文档
此解析器可处理 SYSLOG 或 JSON 格式的 Cisco Meraki(标识为 Cisco/Meraki)日志,并将其标准化为 UDM。它使用 Grok 模式根据 eventType 字段解析 syslog 消息和条件逻辑,以提取相关信息,处理网络流量、网址请求、防火墙事件和通用事件等各种事件类型,将其映射到适当的 UDM 字段,并使用其他情境信息丰富数据。如果输入不是 syslog,则会尝试将其解析为 JSON,并将相关字段映射到 UDM。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
action |
security_result.action |
值会转换为大写。如果值为“deny”,则会替换为“BLOCK”。如果 sc_action 包含“allow”,则该值会替换为“ALLOW”。否则,如果 decision 包含“block”,则该值会替换为“BLOCK”。否则,如果 authorization 为“success”,则设置为“ALLOW”,如果为“failure”,则设置为“BLOCK”。否则,如果 pattern 为“1 all”“deny all”或“Group Policy Deny”,则将其设置为“BLOCK”。如果 pattern 为“允许所有内容”“群组政策允许”或“0 所有内容”,则将其设置为“允许”。否则,该值会设置为“UNKNOWN_ACTION”。如果 decision 包含“block”,则将其设置为“BLOCK”。 |
adId |
principal.user.user_display_name |
直接从 JSON 日志中的 adId 字段映射而来。 |
agent |
network.http.user_agent |
系统会移除撇号。直接从 agent 字段映射。还使用 parseduseragent 过滤器转换为 network.http.parsed_user_agent。 |
aid |
network.session_id |
直接从 aid 字段映射。 |
appProtocol |
network.application_protocol |
已转换为大写。直接从 appProtocol 字段映射。 |
attr |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“attr”。 |
authorization |
security_result.action_details |
直接从 JSON 日志中的 authorization 字段映射而来。 |
band |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“band”。 |
bssids.bssid |
principal.mac |
会转换为小写。已合并到 principal.mac 数组中。 |
bssids.detectedBy.device |
intermediary.asset.asset_id |
格式为“设备 ID: |
bssids.detectedBy.rssi |
intermediary.asset.product_object_id |
已转换为字符串。 |
Channel |
about.resource.attribute.labels |
作为键值对添加到 about.resource.attribute.labels 数组,键为“Channel”。 |
clientDescription |
additional.fields |
已作为键值对添加到 additional.fields 数组,键为“clientDescription”。 |
clientId |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“clientId”。 |
clientIp |
principal.ip,principal.asset.ip |
直接从 clientIp 字段映射。 |
clientMac |
principal.mac |
会转换为小写。直接从 JSON 日志中的 clientMac 字段映射而来。 |
client_ip |
principal.ip,principal.asset.ip |
直接从 client_ip 字段映射。 |
client_mac |
principal.mac |
会转换为小写。直接从 client_mac 字段映射。 |
code |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“code”。 |
collection_time |
metadata.event_timestamp |
seconds 和 nanos 字段会组合起来创建一个时间戳。 |
Conditions |
security_result.about.resource.attribute.labels |
回车符、换行符和制表符会替换为空格,并替换特定值。系统会将修改后的值作为键值对添加到 security_result.about.resource.attribute.labels 数组,键为“Conditions”。 |
decision |
security_result.action |
如果值为“已屏蔽”,则将其设置为“BLOCK”。 |
desc |
metadata.description |
直接从 desc 字段映射。 |
description |
security_result.description |
直接从 JSON 日志中的 description 字段映射而来。 |
DestAddress |
target.ip,target.asset.ip |
直接从 DestAddress 字段映射。 |
DestPort |
target.port |
已转换为整数。直接从 DestPort 字段映射。 |
deviceIp |
target.ip |
直接从 deviceIp 字段映射。 |
deviceMac |
target.mac |
会转换为小写。直接从 deviceMac 字段映射。 |
deviceName |
target.hostname,target.asset.hostname |
直接从 JSON 日志中的 deviceName 字段映射而来。 |
deviceSerial |
target.asset.hardware.serial_number |
直接从 JSON 日志中的 deviceSerial 字段映射而来。 |
Direction |
network.direction |
系统会移除特殊字符,并将值映射到 network.direction。 |
DisabledPrivilegeList |
target.user.attribute |
系统会替换回车、换行符和制表符,并将修改后的值解析为 JSON 并合并到 target.user.attribute 对象中。 |
dport |
target.port |
已转换为整数。直接从 dport 字段映射。 |
dst |
target.ip,target.asset.ip |
直接从 dst 字段映射。 |
dstIp |
target.ip,target.asset.ip |
直接从 dstIp 字段映射。 |
dstPort |
target.port |
已转换为整数。直接从 dstPort 字段映射。 |
dvc |
intermediary.hostname |
直接从 dvc 字段映射。 |
EnabledPrivilegeList |
target.user.attribute |
系统会替换回车、换行符和制表符,并将修改后的值解析为 JSON 并合并到 target.user.attribute 对象中。 |
eventData.aid |
principal.asset_id |
格式为“ASSET_ID: |
eventData.client_ip |
principal.ip,principal.asset.ip |
直接从 JSON 日志中的 eventData.client_ip 字段映射而来。 |
eventData.client_mac |
principal.mac |
会转换为小写。直接从 JSON 日志中的 eventData.client_mac 字段映射而来。 |
eventData.group |
principal.group.group_display_name |
直接从 JSON 日志中的 eventData.group 字段映射而来。 |
eventData.identity |
principal.hostname |
直接从 JSON 日志中的 eventData.identity 字段映射而来。 |
eventData.ip |
principal.ip,principal.asset.ip |
直接从 JSON 日志中的 eventData.ip 字段映射而来。 |
EventID |
metadata.product_event_type,security_result.rule_name |
已转换为字符串。映射到 metadata.product_event_type。也用于创建格式为“EventID: security_result.rule_name。用于确定 event_type 和 sec_action。 |
eventSummary |
security_result.summary,metadata.description |
直接从 eventSummary 字段映射。也用于 security_result.description 中的某些事件。 |
eventType |
metadata.product_event_type |
直接从 eventType 字段映射。用于确定要应用哪种解析逻辑。 |
filename |
principal.process.file.full_path |
直接从 filename 字段映射。 |
FilterId |
target.resource.product_object_id |
直接从事件 ID 5447 的 FilterId 字段映射。 |
FilterName |
target.resource.name |
直接从事件 ID 5447 的 FilterName 字段映射。 |
FilterRTID |
security_result.detection_fields |
已作为键值对添加到 security_result.detection_fields 数组,键为“FilterRTID”。 |
firstSeen |
security_result.detection_fields |
已转换为字符串。作为键值对添加到 security_result.detection_fields 数组,键为“firstSeen”。 |
gatewayDeviceMac |
target.mac |
会转换为小写。已合并到 target.mac 数组中。 |
group |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“group”。 |
GroupMembership |
target.user |
回车符、换行符、制表符和特殊字符会被移除。系统会将修改后的值解析为 JSON 并合并到 target.user 对象中。 |
Hostname |
principal.hostname,principal.asset.hostname |
直接从 Hostname 字段映射。 |
identity |
target.user.userid |
直接从 identity 字段映射。 |
instigator |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“instigator”。 |
int_ip |
intermediary.ip |
直接从 int_ip 字段映射。 |
ip_msg |
principal.resource.attribute.labels |
已作为键值对添加到 principal.resource.attribute.labels 数组,键为“IP”。 |
is_8021x |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“is_8021x”。 |
KeyName |
target.resource.name |
直接从 KeyName 字段映射。 |
KeyFilePath |
target.file.full_path |
直接从 KeyFilePath 字段映射。 |
lastSeen |
security_result.detection_fields |
已转换为字符串。作为键值对添加到 security_result.detection_fields 数组,键为“lastSeen”。 |
last_known_client_ip |
principal.ip,principal.asset.ip |
直接从 last_known_client_ip 字段映射。 |
LayerName |
security_result.detection_fields |
已作为键值对添加到 security_result.detection_fields 数组,键为“图层名称”。 |
LayerRTID |
security_result.detection_fields |
作为键值对添加到 security_result.detection_fields 数组,键为“LayerRTID”。 |
localIp |
principal.ip,principal.asset.ip |
直接从 localIp 字段映射。 |
login |
principal.user.email_addresses |
如果 JSON 日志中的 login 字段与电子邮件地址格式匹配,则直接从该字段映射。 |
LogonGuid |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“LogonGuid”。 |
LogonType |
extensions.auth.mechanism |
根据其值映射到特定的身份验证机制。如果存在 PreAuthType,则会替换 LogonType。值的映射如下:2 -> USERNAME_PASSWORD、3 -> NETWORK、4 -> BATCH、5 -> SERVICE、7 -> UNLOCK、8 -> NETWORK_CLEAR_TEXT、9 -> NEW_CREDENTIALS、10 -> REMOTE_INTERACTIVE、11 -> CACHED_INTERACTIVE、12 -> CACHED_REMOTE_INTERACTIVE、13 -> CACHED_UNLOCK、其他 -> MECHANISM_UNSPECIFIED。 |
mac |
principal.mac |
会转换为小写。已合并到 principal.mac 数组中。 |
MandatoryLabel |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“MandatoryLabel”。 |
Message |
security_result.description,security_result.summary |
如果存在 AccessReason,则 Message 会映射到 security_result.summary,AccessReason 会映射到 security_result.description。否则,Message 会映射到 security_result.description。 |
method |
network.http.method |
直接从 method 字段映射。 |
msg |
security_result.description |
直接从 msg 字段映射。 |
name |
principal.user.user_display_name |
直接从 JSON 日志中的 name 字段映射而来。 |
natsrcIp |
principal.nat_ip |
直接从 natsrcIp 字段映射。 |
natsrcport |
principal.nat_port |
已转换为整数。直接从 natsrcport 字段映射。 |
network_id |
additional.fields |
已作为键值对添加到 additional.fields 数组,键为“广告网络 ID”。 |
NewProcessId |
target.process.pid |
直接从 NewProcessId 字段映射。 |
NewProcessName |
target.process.file.full_path |
直接从 NewProcessName 字段映射。 |
NewSd |
target.resource.attribute.labels |
已作为键值对添加到 target.resource.attribute.labels 数组,键为“New Security Descriptor”。 |
occurredAt |
metadata.event_timestamp |
使用 ISO8601 格式解析为时间戳。 |
ObjectName |
target.file.full_path、target.registry.registry_key、target.process.file.full_path、additional.fields |
如果 EventID 为 4663,ObjectType 为“进程”,则会映射到 target.process.file.full_path。如果 ObjectType 为“Key”,则会映射到 target.registry.registry_key。否则,它会映射到 target.file.full_path。对于其他事件,该参数会作为键值对添加到 additional.fields 数组,键为“ObjectName”。 |
ObjectType |
additional.fields |
已作为键值对添加到 additional.fields 数组,键为“ObjectType”。用于确定 event_type。 |
OldSd |
target.resource.attribute.labels |
作为键值对添加到 target.resource.attribute.labels 数组,键为“Original Security Descriptor”。 |
organizationId |
principal.resource.id |
直接从 JSON 日志中的 organizationId 字段映射而来。 |
ParentProcessName |
target.process.parent_process.file.full_path |
直接从 ParentProcessName 字段映射。 |
pattern |
security_result.description |
直接映射到 security_result.description。用于确定 security_result.action。 |
peer_ident |
target.user.userid |
直接从 peer_ident 字段映射。 |
PreAuthType |
extensions.auth.mechanism |
用于确定身份验证机制(如果有)。此属性会覆盖 LogonType。 |
principalIp |
principal.ip,principal.asset.ip |
直接从 principalIp 字段映射。 |
principalMac |
principal.mac |
会转换为小写。已合并到 principal.mac 数组中。 |
principalPort |
principal.port |
已转换为整数。直接从 principalPort 字段映射。 |
prin_ip2 |
principal.ip,principal.asset.ip |
直接从 prin_ip2 字段映射。 |
prin_url |
principal.url |
直接从 prin_url 字段映射。 |
priority |
security_result.priority |
根据其值映射到优先级等级:1 -> HIGH_PRIORITY、2 -> MEDIUM_PRIORITY、3 -> LOW_PRIORITY、其他 -> UNKNOWN_PRIORITY。 |
ProcessID |
principal.process.pid |
已转换为字符串。直接从 ProcessID 字段映射。 |
ProcessName |
principal.process.file.full_path,target.process.file.full_path |
如果 EventID 为 4689,则会映射到 target.process.file.full_path。否则,它会映射到 principal.process.file.full_path。 |
prod_log_id |
metadata.product_log_id |
直接从 prod_log_id 字段映射。 |
protocol |
network.ip_protocol |
已转换为大写。如果是数字,则会转换为相应的 IP 协议名称。如果是“ICMP6”,则会替换为“ICMP”。直接从 protocol 字段映射。 |
ProviderGuid |
metadata.product_deployment_id |
直接从 ProviderGuid 字段映射。 |
query |
network.dns.questions.name |
直接从 query 字段映射。 |
query_type |
network.dns.questions.type |
已重命名为 question.type 并合并到 network.dns.questions 数组中。根据 DHCP 查询类型映射到数值。 |
radio |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“radio”。 |
reason |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“reason”。 |
rec_bytes |
network.received_bytes |
转换为无符号整数。直接从 rec_bytes 字段映射。 |
RecordNumber |
metadata.product_log_id |
已转换为字符串。直接从 RecordNumber 字段映射。 |
RelativeTargetName |
target.process.file.full_path |
直接从 RelativeTargetName 字段映射。 |
response_ip |
principal.ip,principal.asset.ip |
直接从 response_ip 字段映射。 |
rssi |
intermediary.asset.product_object_id |
直接从 rssi 字段映射。 |
sc_action |
security_result.action_details |
直接从 sc_action 字段映射。 |
sec_action |
security_result.action |
已合并到 security_result.action 数组中。 |
server_ip |
client_ip |
直接映射到 client_ip 字段。 |
Severity |
security_result.severity |
根据其值映射到严重级别:“信息”-> INFORMATIONAL、“错误”-> ERROR、“警告”-> MEDIUM,其他 -> UNKNOWN_SEVERITY。 |
sha256 |
target.file.sha256 |
直接从 sha256 字段映射。 |
signature |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“signature”。 |
SourceAddress |
principal.ip,principal.asset.ip |
直接从 SourceAddress 字段映射。 |
SourceHandleId |
src.resource.id |
直接从 SourceHandleId 字段映射。 |
SourceModuleName |
observer.labels |
已作为键值对添加到 observer.labels 数组,键为“SourceModuleName”。 |
SourceModuleType |
observer.application |
直接从 SourceModuleType 字段映射。 |
SourcePort |
principal.port |
已转换为整数。直接从 SourcePort 字段映射。 |
SourceProcessId |
src.process.pid |
直接从 SourceProcessId 字段映射。 |
source_client_ip |
client_ip |
直接映射到 client_ip 字段。 |
sport |
principal.port |
已转换为整数。直接从 sport 字段映射。 |
src |
principal.ip,principal.asset.ip |
直接从 src 字段映射。 |
ssid |
network.session_id |
直接从 JSON 日志中的 ssid 字段映射而来。 |
ssidName |
additional.fields |
已作为键值对添加到 additional.fields 数组,键为“ssidName”。 |
state |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“state”。 |
Status |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“Status”。 |
status_code |
network.http.response_code |
已转换为整数。直接从 status_code 字段映射。 |
SubjectDomainName |
principal.administrative_domain |
直接从 SubjectDomainName 字段映射。 |
SubjectLogonId |
principal.resource.attribute.labels |
作为键值对添加到 principal.resource.attribute.labels 数组,键为“SubjectLogonId”。 |
SubjectUserName |
principal.user.userid |
直接从 SubjectUserName 字段映射。 |
SubjectUserSid |
principal.user.windows_sid |
直接从 SubjectUserSid 字段映射。 |
targetHost |
target.hostname,target.asset.hostname |
会尽可能转换为 IP 地址。否则,会解析以提取主机名,并映射到 target.hostname 和 target.asset.hostname。 |
TargetHandleId |
target.resource.id |
直接从 TargetHandleId 字段映射。 |
TargetLogonId |
principal.resource.attribute.labels |
作为键值对添加到 principal.resource.attribute.labels 数组中,键为“TargetLogonId”(如果不同于 SubjectLogonId)。 |
TargetProcessId |
target.process.pid |
直接从 TargetProcessId 字段映射。 |
TargetUserName |
target.user.userid |
直接从 TargetUserName 字段映射。 |
TargetUserSid |
target.user.windows_sid |
直接从 TargetUserSid 字段映射。 |
Task |
additional.fields |
已转换为字符串。作为键值对添加到 additional.fields 数组,键为“Task”。 |
timestamp |
metadata.event_timestamp |
秒字段用于创建时间戳。 |
ts |
metadata.event_timestamp |
如果 ts 为空,则系统会通过组合 tsDate、tsTime 和 tsTZ 来创建它。如果它包含“ |
type |
security_result.summary,metadata.product_event_type |
直接从 JSON 日志中的 type 字段映射而来。在某些情况下,也用作 eventSummary 和 metadata.product_event_type。 |
url |
target.url,principal.url |
直接从 url 字段映射。 |
url1 |
target.url |
直接从 url1 字段映射。 |
user |
target.user.group_identifiers |
已合并到 target.user.group_identifiers 数组中。 |
user_id |
target.user.userid |
直接从 user_id 字段映射。 |
UserID |
principal.user.windows_sid |
直接从 UserID 字段映射。 |
UserName |
principal.user.userid |
直接从 UserName 字段映射。 |
user_agent |
network.http.user_agent |
直接从 user_agent 字段映射。 |
userId |
target.user.userid |
直接从 userId 字段映射。 |
vap |
additional.fields |
作为键值对添加到 additional.fields 数组,键为“vap”。 |
VirtualAccount |
security_result.about.labels |
已作为键值对添加到 security_result.about.labels 数组,键为“VirtualAccount”。 |
wiredLastSeen |
security_result.detection_fields |
已转换为字符串。已作为键值对添加到 security_result.detection_fields 数组,键为“wiredLastSeen”。 |
wiredMacs |
intermediary.mac |
会转换为小写。已合并到 intermediary.mac 数组中。 |
WorkstationName |
principal.hostname,principal.asset.hostname |
直接从 WorkstationName 字段映射。 |
变化
2024-03-19
- 添加了 Grok 模式,用于将发送设备 IP 地址映射到“intermediary.ip”。
2024-02-06
- 解析了“eventSummary”为“cli_set_rad_parms”或“cli_set_rad_pmksa_parms”的日志。
- 将“group”和“attr”映射到“additional.fields”。
2023-12-26
- 将包含“eventSummary”的日志解析为“状态已更改”和“更改了 STP 角色”。
2023-10-09
- 如果“pattern”为“1 all”“deny all”或“Group Policy Deny”,请将“sec_res.action”设置为“BLOCK”。
- 如果“pattern”为“0 all”“allow all”或“Group Policy Allow”,请将“sec_res.action”设置为“ALLOW”。
2023-07-19
- bug 修复 -
- 解析了类型为“防火墙”的未解析 syslog 日志。
2023-07-14
- 增强功能 -
- 将类型为“splash_auth”的“event_type”映射到“USER_LOGIN”。
- 对于类型“device_packet_flood”,"packet_flood" 将“event_type”映射到“GENERIC_EVENT”。
- 对于类型为“vpn_connectivity_change”“wpa_deauth”“wpa_auth”的事件,“event_type”已映射到“STATUS_UPDATE”。
- 将“agent”映射到“network.http.parsed_user_agent”。
- 如果“protocol”为“47”,则将“network.ip_protocol”映射到“GRE”。
- 如果“protocol”为“103”,则将“network.ip_protocol”映射到“PIM”。
2023-07-04
- 增强功能 -
- 使用键值对过滤条件(而非 Grok 模式)来解析类型为“urls”“firewall”“vpn_firewall”的日志。
2023-06-16
- 增强功能 -
- 将“src”映射到“principal.ip”
- 将“dst”映射到“target.ip”
- 将“protocol”映射到“network.ip_protocol”
- 将“sport”映射到“principal.port”
- 将“dport”映射到“target.port”
- 将“mac”映射到“principal.mac”。
- 将“pattern”映射到“security_result.description”。
2023-06-09
- 增强功能 -
- 将“metadata.event_type”映射到“USER_LOGOUT”,前提是“type”为“8021x_deauth”。
- 将“radio”“vap”“reason”“is_8021x”“instigator”“band”映射到“type”为“disassociation”的“additional.fields”。
2023-05-26
- 增强功能 -
- 对于类型“security_filtering_file_scanned”,将“metadata.event_type”从“STATUS_UPDATE”修改为“SCAN_FILE”。
- 添加了 Grok 模式来解析 syslog 日志。
- 将“ip”映射到“principal.ip”
- 将“mac”映射到“principal.mac”。
2023-03-03
- 增强功能 -
- 添加了 Grok 模式,用于解析包含“ip_flow_end”字段的日志。
- 映射了“natsrcIp”和“principal.nat_ip”。
- 映射了“natsrcport”和“principal.nat_port”。
2022-11-25
- 增强功能 -
- 添加了对未解析的 JSON 日志、network_dns 查询日志和失败的 syslog+kv_data 日志的支持。
- 将“metadata.eventType”映射到 RESOURCE_CREATION、FILE_UNCATEGORIZED、SETTING_MODIFICATION、NETWORK_UNCATEGORIZED、
- GROUP_UNCATEGORIZED、PROCESS_LAUNCH、PROCESS_TERMINATION、STATUS_UNCATEGORIZED、SYSTEM_AUDIT_LOG_UNCATEGORIZED、
- 对于 JSON 日志,根据“EventID”使用 USER_LOGOUT、USER_LOGIN、RESOURCE_PERMISSIONS_CHANGE、USER_RESOURCE_ACCESS。
- 将“DisabledPrivilegeList”“EnabledPrivilegeList”映射到“target.user.attribute.permissions”。
- 将“GroupMembership”映射到“target.user.group_identifiers”。
- 将“AccessList”映射到“target.resource.attribute”。
- 将“auth_mechanism”映射到“extensions.auth.mechanism”。
- 将“question”映射到“network.dns.questions”。
- 根据“priority”值设置“security_result.priority”。
- 将“RecordNumber”映射到“metadata.product_log_id”。
2022-10-06
- 增强功能 -
- 将“dvc”映射到“intermediary.hostname”。
- 将“eventType”映射到“metadata.product_event_type”。
- 将“pattren”映射到“security_result.action_details”。
- 将“principalMac”映射到“principal.mac”。
- 将“principalIp”映射到“principal.ip”。
- 在映射到 udm 之前,为“dstIp”添加了 null 检查。
2022-07-04
- 增强功能 -
- 如果“protocol”等于“47”,则将“protocol”设置为“GRE”。
- 如果“protocol”等于“50”,则将“protocol”设置为“ESP”。
- 在“eventType”等于“events”时添加了 kv 块。
- 将“identity”映射到“target.user.userid”。
- 将“last_known_client_ip”映射到“principal.ip”。
- “eventSummary”等于“association”时。
- 将“client_ip”映射到“principal.ip”
- 将“client_mac”映射到“principal.mac”。
- 将“rssi”映射到“intermediary.asset.product_object_id”。
- 将“channel”映射到“security_result.detection_fields”。
- 将“aid”映射到“network.session_id”。
2022-06-15
- 增强功能 -
- 将“lastSeen”“firstSeen”“wiredLastSeen”映射到“security_result.detection_fields”。
- 将“wiredMacs”映射到“intermediary.mac”。
- 将“type”映射到“security_result.summary”。
- 将“description”映射到“security_result.description”。
- 将“deviceSerial”映射到“_target_hardware.serial_number”。
- 将“deviceName”映射到“target.hostname”。
- 将“ssidName”“clientId”“clientDescription”映射到“additional.fields”。
- 将“eventData.client_mac”映射到“principal.mac”。
- 将“eventData.identity”映射到“principal.hostname”。
- 将“eventData.aid”映射到“principal.asset_id”。
- 将“organizationId”映射到“principal.resource.id”。
- 将“eventData.group”映射到“principal.group.group_display_name”。
- 将“eventData.client_ip”映射到“principal.ip”。
- 将“occurredAt”映射到“metadata.event_timestamp”。
2022-05-04
- 增强功能 - 添加了主机名的映射。
2022-04-13
- 增强功能 - 添加了 JSON 类型日志的解析。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。