Raccogli i log di General Dynamics Fidelis XPS

Supportato in:

Questo documento descrive come raccogliere i log di General Dynamics Fidelis XPS utilizzando un forwarder di Google Security Operations.

Per ulteriori informazioni, consulta la Panoramica dell'importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione FIDELIS_NETWORK.

Configurare General Dynamics Fidelis XPS

  1. Accedi a CommandPost per gestire l'appliance Fidelis XPS.
  2. Seleziona Sistema > Esporta.
  3. Fai clic sulla scheda Nuovo.
  4. Nell'elenco Metodo di esportazione, seleziona ArcSight.
  5. Nel campo Destinazione, inserisci l'indirizzo IP e il numero di porta del server di inoltro di Google Security Operations, ad esempio 514.
  6. Nella sezione Esporta avvisi, seleziona la casella di controllo Tutti.
  7. Nella sezione Frequenza dell'esportazione, seleziona la casella di controllo Ogni avviso.
  8. Nella sezione Trasporto, seleziona la casella di controllo UDP o TCP.
  9. Nel campo Salva come, inserisci un nome per la configurazione dell'esportazione.

  10. Nella casella Elenco colonne, sposta le voci nell'Elenco colonne in modo che vengano visualizzate nell'ordine seguente:

    • ORARIO

    • AZIONE

    • ALERTUUID

    • APPLICATION_USER

    • COMPONENTE

    • COMPR

    • DSTADDR

    • DSTPORT

    • FILENAME

    • FROM

    • GRUPPO

    • MALWARE NAME

    • MALWARE TYPE

    • MD5

    • NORME

    • PROTO

    • REQUEST_METHOD

    • REQUEST_AGENT

    • REQUEST_URL

    • REGOLA

    • SENIP

    • GRAVITÀ

    • SRCADDR

    • SRCPORT

    • RIEPILOGO

    • TARGET

    • A

    • VIOLATION_INFO

    • VLAN_ID

    La versione 8.1 di Fidelis XPS introduce dati aggiuntivi che puoi configurare per esportare nuovi dati. I nuovi campi includono REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO e VLAN_ID.

    VIOLATION_INFO include tutti i dati della sezione Informazioni sulla violazione della pagina Dettagli avviso. Questi dati includono i dati corrispondenti che generano l'avviso. Sono inoltre incluse eventuali informazioni aggiuntive incluse nei dati del feed quando questi corrispondono. VIOLATION_INFO può avere dimensioni elevate. Devi attivare TCP quando utilizzi questa funzionalità nelle esportazioni di syslog.

  11. Seleziona Sistema > Malware > Rilevamento malware.

  12. Seleziona le caselle di controllo Motore di rilevamento del malware e Criteri di malware automatico.

  13. Fai clic su Salva.

Configura il forwarder di Google Security Operations per importare i log di Fidelis Network

  1. Seleziona Impostazioni SIEM > Inoltratori.
  2. Fai clic su Aggiungi nuovo mittente.
  3. Inserisci un nome univoco nel campo Nome mittente.
  4. Fai clic su Invia e poi su Conferma. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del collettore.
  5. Nel campo Nome del raccoglitore, inserisci un nome univoco per il raccoglitore.
  6. Seleziona Fidelis Network come Tipo di log.
  7. Seleziona Syslog come Tipo di collettore.
  8. Configura i seguenti parametri di input:
    • Protocollo: specifica il protocollo di connessione utilizzato dal collector per ascoltare i dati syslog.
    • Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
    • Porta: specifica la porta di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
  9. Fai clic su Invia.

Per ulteriori informazioni sui forwarder di Google Security Operations, consulta Gestire le configurazioni dei forwarder tramite l'interfaccia utente di Google Security Operations.

Se riscontri problemi durante la creazione dei reindirizzamenti, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser elabora i log di Fidelis Network nei formati SYSLOG, coppia chiave-valore e JSON, trasformandoli in UDM. Estrae i campi, gestisce varie strutture di log, esegue la mappatura ai campi UDM e arricchisce gli eventi con etichette come _is_alert e _is_significant in base a gravità e indicatori di minaccia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
aaction event.idm.read_only_udm.security_result.action_details Mappato direttamente se non "none" o stringa vuota.
alert_threat_score event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: valore di alert_threat_score Mappato direttamente come campo di rilevamento.
alert_type event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: valore di alert_type Mappato direttamente come campo di rilevamento.
answers event.idm.read_only_udm.network.dns.answers[].data Mappato direttamente per gli eventi DNS.
application_user event.idm.read_only_udm.principal.user.userid Mappatura diretta.
asset_os event.idm.read_only_udm.target.platform Normalizzato in WINDOWS, LINUX, MAC o UNKNOWN_PLATFORM.
certificate.end_date event.idm.read_only_udm.network.tls.client.certificate.not_after Analizzati e convertiti in timestamp.
certificate.extended_key_usage event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: valore di certificate.extended_key_usage Mappato come campo aggiuntivo.
certificate.issuer_name event.idm.read_only_udm.network.tls.server.certificate.issuer Mappatura diretta.
certificate.key_length event.idm.read_only_udm.additional.fields[].key: "Lunghezza chiave", event.idm.read_only_udm.additional.fields[].value.string_value: valore di certificate.key_length Mappato come campo aggiuntivo.
certificate.key_usage event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: valore di certificate.key_usage Mappato come campo aggiuntivo.
certificate.start_date event.idm.read_only_udm.network.tls.client.certificate.not_before Analizzati e convertiti in timestamp.
certificate.subject_altname event.idm.read_only_udm.additional.fields[].key: "Nome alternativo del certificato", event.idm.read_only_udm.additional.fields[].value.string_value: valore di certificate.subject_altname Mappato come campo aggiuntivo.
certificate.subject_name event.idm.read_only_udm.network.tls.server.certificate.subject Mappatura diretta.
certificate.type event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: valore di certificate.type Mappato come campo aggiuntivo.
cipher event.idm.read_only_udm.network.tls.cipher Mappatura diretta.
client_asset_name event.idm.read_only_udm.principal.application Mappatura diretta.
client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: valore di client_asset_subnet Mappato come campo aggiuntivo.
client_ip event.idm.read_only_udm.principal.ip Mappatura diretta.
client_port event.idm.read_only_udm.principal.port Mappato direttamente e convertito in numero intero.
ClientIP event.idm.read_only_udm.principal.ip Mappatura diretta.
ClientPort event.idm.read_only_udm.principal.port Mappato direttamente e convertito in numero intero.
ClientCountry event.idm.read_only_udm.principal.location.country_or_region Mappato direttamente se non "UNKNOWN" o stringa vuota.
ClientAssetID event.idm.read_only_udm.principal.asset_id Deve essere preceduto da "Asset:" se non è "0" o una stringa vuota.
ClientAssetName event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valore di ClientAssetName Mappato come etichetta della risorsa principale.
ClientAssetRole event.idm.read_only_udm.principal.asset.attribute.roles[].name Mappatura diretta.
ClientAssetServices event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valore di ClientAssetServices Mappato come etichetta della risorsa principale.
Client event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valore di Client Mappato come etichetta della risorsa principale.
Collector event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: valore di Collector Mappato come campo di rilevamento.
command event.idm.read_only_udm.network.http.method Mappato direttamente per gli eventi HTTP.
Command event.idm.read_only_udm.security_result.detection_fields[].key: "Comando", event.idm.read_only_udm.security_result.detection_fields[].value: valore di Command Mappato come campo di rilevamento.
Connection event.idm.read_only_udm.security_result.detection_fields[].key: "Connessione", event.idm.read_only_udm.security_result.detection_fields[].value: valore di Connection Mappato come campo di rilevamento.
DecodingPath event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: valore di DecodingPath Mappato come campo di rilevamento.
dest_country event.idm.read_only_udm.target.location.country_or_region Mappatura diretta.
dest_domain event.idm.read_only_udm.target.hostname Mappatura diretta.
dest_ip event.idm.read_only_udm.target.ip Mappatura diretta.
dest_port event.idm.read_only_udm.target.port Mappato direttamente e convertito in numero intero.
Direction event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: valore di Direction Mappato come campo di rilevamento.
dns.host event.idm.read_only_udm.network.dns.questions[].name Mappato direttamente per gli eventi DNS.
DomainName event.idm.read_only_udm.target.administrative_domain Mappatura diretta.
DomainAlexaRank event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: valore di DomainAlexaRank Mappato come campo di rilevamento.
dport event.idm.read_only_udm.target.port Mappato direttamente e convertito in numero intero.
dnsresolution.server_fqdn event.idm.read_only_udm.target.hostname Mappatura diretta.
Duration event.idm.read_only_udm.security_result.detection_fields[].key: "Durata", event.idm.read_only_udm.security_result.detection_fields[].value: valore di Duration Mappato come campo di rilevamento.
Encrypted event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: valore di Encrypted Mappato come campo di rilevamento.
Entropy event.idm.read_only_udm.security_result.detection_fields[].key: "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value: valore di Entropy Mappato come campo di rilevamento.
event.idm.is_alert event.idm.is_alert Impostato su true se la gravità è Critica o se è presente malware_type (tranne per l'etichetta "Ricerca di minacce").
event.idm.is_significant event.idm.is_significant Impostato su true se la gravità è Critica o se è presente malware_type (tranne per l'etichetta "Ricerca di minacce").
event.idm.read_only_udm.additional.fields event.idm.read_only_udm.additional.fields Contiene vari campi aggiuntivi in base alla logica del parser.
event.idm.read_only_udm.metadata.description event.idm.read_only_udm.metadata.description Mappato direttamente dal campo summary.
event.idm.read_only_udm.metadata.event_type event.idm.read_only_udm.metadata.event_type Determinato in base a vari campi di log e alla logica del parser. Può essere GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE, NETWORK_FLOW.
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type Impostato su "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.product_name event.idm.read_only_udm.metadata.product_name Impostato su "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Impostato su "FIDELIS_NETWORK".
event.idm.read_only_udm.network.application_protocol event.idm.read_only_udm.network.application_protocol Determinato in base al campo server_port o protocol. Può essere HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS, AOLMAIL.
event.idm.read_only_udm.network.direction event.idm.read_only_udm.network.direction Determinato in base al campo direction o alle parole chiave in summary. Può essere INBOUND o OUTBOUND.
event.idm.read_only_udm.network.dns.answers event.idm.read_only_udm.network.dns.answers Viene compilato per gli eventi DNS.
event.idm.read_only_udm.network.dns.id event.idm.read_only_udm.network.dns.id Mappato dal campo number per gli eventi DNS.
event.idm.read_only_udm.network.dns.questions event.idm.read_only_udm.network.dns.questions Viene compilato per gli eventi DNS.
event.idm.read_only_udm.network.email.from event.idm.read_only_udm.network.email.from Mappato direttamente da From se si tratta di un indirizzo email valido.
event.idm.read_only_udm.network.email.subject event.idm.read_only_udm.network.email.subject Mappata direttamente da Subject.
event.idm.read_only_udm.network.email.to event.idm.read_only_udm.network.email.to Mappata direttamente da To.
event.idm.read_only_udm.network.ftp.command event.idm.read_only_udm.network.ftp.command Mappata direttamente da ftp.command.
event.idm.read_only_udm.network.http.method event.idm.read_only_udm.network.http.method Mappato direttamente da http.command o Command.
event.idm.read_only_udm.network.http.referral_url event.idm.read_only_udm.network.http.referral_url Mappata direttamente da Referer.
event.idm.read_only_udm.network.http.response_code event.idm.read_only_udm.network.http.response_code Mappato direttamente da http.status_code o StatusCode e convertito in numero intero.
event.idm.read_only_udm.network.http.user_agent event.idm.read_only_udm.network.http.user_agent Mappato direttamente da http.useragent o UserAgent.
event.idm.read_only_udm.network.ip_protocol event.idm.read_only_udm.network.ip_protocol Mappato direttamente da tproto se è TCP o UDP.
event.idm.read_only_udm.network.received_bytes event.idm.read_only_udm.network.received_bytes Rinominato da event1.server_packet_count e convertito in numero intero non firmato.
event.idm.read_only_udm.network.sent_bytes event.idm.read_only_udm.network.sent_bytes Rinominato da event1.client_packet_count e convertito in numero intero non firmato.
event.idm.read_only_udm.network.session_duration.seconds event.idm.read_only_udm.network.session_duration.seconds È stato rinominato da event1.session_size e convertito in numero intero.
event.idm.read_only_udm.network.session_id event.idm.read_only_udm.network.session_id Mappato direttamente da event1.rel_sesid o UserSessionID.
event.idm.read_only_udm.network.tls.client.certificate.issuer event.idm.read_only_udm.network.tls.client.certificate.issuer Mappata direttamente da event1.certificate_issuer_name.
event.idm.read_only_udm.network.tls.client.certificate.not_after event.idm.read_only_udm.network.tls.client.certificate.not_after Analizzata da event1.certificate_end_date e convertita in timestamp.
event.idm.read_only_udm.network.tls.client.certificate.not_before event.idm.read_only_udm.network.tls.client.certificate.not_before Analizzata da event1.certificate_start_date e convertita in timestamp.
event.idm.read_only_udm.network.tls.client.certificate.subject event.idm.read_only_udm.network.tls.client.certificate.subject Mappata direttamente da event1.certificate_subject_name.
event.idm.read_only_udm.network.tls.client.ja3 event.idm.read_only_udm.network.tls.client.ja3 Mappato direttamente da event1.ja3digest e convertito in stringa.
event.idm.read_only_udm.network.tls.cipher event.idm.read_only_udm.network.tls.cipher Mappato direttamente da event1.cipher, CipherSuite, cipher o event1.tls_ciphersuite.
event.idm.read_only_udm.network.tls.server.certificate.issuer event.idm.read_only_udm.network.tls.server.certificate.issuer Mappata direttamente da certificate_issuer_name.
event.idm.read_only_udm.network.tls.server.certificate.subject event.idm.read_only_udm.network.tls.server.certificate.subject Mappata direttamente da certificate_subject_name.
event.idm.read_only_udm.network.tls.server.ja3s event.idm.read_only_udm.network.tls.server.ja3s Mappato direttamente da event1.ja3sdigest e convertito in stringa.
event.idm.read_only_udm.network.tls.version event.idm.read_only_udm.network.tls.version Mappata direttamente da event1.version.
event.idm.read_only_udm.principal.application event.idm.read_only_udm.principal.application Mappata direttamente da event1.client_asset_name.
event.idm.read_only_udm.principal.asset.attribute.roles[].name event.idm.read_only_udm.principal.asset.attribute.roles[].name Mappata direttamente da ClientAssetRole.
event.idm.read_only_udm.principal.asset_id event.idm.read_only_udm.principal.asset_id Mappato direttamente da ClientAssetID o ServerAssetID (con il prefisso "Asset:").
event.idm.read_only_udm.principal.hostname event.idm.read_only_udm.principal.hostname Mappato direttamente da event1.sld o src_domain.
event.idm.read_only_udm.principal.ip event.idm.read_only_udm.principal.ip Mappato direttamente da event1.src_ip6, client_ip o ClientIP.
event.idm.read_only_udm.principal.location.country_or_region event.idm.read_only_udm.principal.location.country_or_region Mappato direttamente da ClientCountry o src_country, se non "UNKNOWN" o stringa vuota.
event.idm.read_only_udm.principal.port event.idm.read_only_udm.principal.port Mappato direttamente da event1.sport o client_port e convertito in numero intero.
event.idm.read_only_udm.principal.resource.attribute.labels event.idm.read_only_udm.principal.resource.attribute.labels Contiene varie etichette in base alla logica del parser.
event.idm.read_only_udm.principal.user.userid event.idm.read_only_udm.principal.user.userid Mappato direttamente da ftp.user o AppUser.
event.idm.read_only_udm.security_result.action event.idm.read_only_udm.security_result.action Determinato in base a severity. Può essere ALLOW, BLOCK o UNKNOWN_ACTION.
event.idm.read_only_udm.security_result.action_details event.idm.read_only_udm.security_result.action_details Mappato direttamente da Action se non "none" o stringa vuota.
event.idm.read_only_udm.security_result.category event.idm.read_only_udm.security_result.category Imposta su NETWORK_SUSPICIOUS se è presente malware_type.
event.idm.read_only_udm.security_result.detection_fields event.idm.read_only_udm.security_result.detection_fields Contiene vari campi di rilevamento in base alla logica del parser.
event.idm.read_only_udm.security_result.rule_name event.idm.read_only_udm.security_result.rule_name Mappata direttamente da rule_name.
event.idm.read_only_udm.security_result.severity event.idm.read_only_udm.security_result.severity Determinato in base a severity. Può essere INFORMATIONAL, MEDIUM, ERROR o CRITICAL.
event.idm.read_only_udm.security_result.summary event.idm.read_only_udm.security_result.summary Mappata direttamente da label.
event.idm.read_only_udm.security_result.threat_name event.idm.read_only_udm.security_result.threat_name Mappato direttamente da malware_type o analizzato da summary se contiene "CVE-".
event.idm.read_only_udm.target.administrative_domain event.idm.read_only_udm.target.administrative_domain Mappata direttamente da DomainName.
event.idm.read_only_udm.target.asset.attribute.roles[].name event.idm.read_only_udm.target.asset.attribute.roles[].name Mappata direttamente da ServerAssetRole.
event.idm.read_only_udm.target.file.full_path event.idm.read_only_udm.target.file.full_path Mappato direttamente da ftp.filename o Filename.
event.idm.read_only_udm.target.file.md5 event.idm.read_only_udm.target.file.md5 Mappato direttamente da event1.md5 o md5.
event.idm.read_only_udm.target.file.mime_type event.idm.read_only_udm.target.file.mime_type Mappata direttamente da event1.filetype.
event.idm.read_only_udm.target.file.sha1 event.idm.read_only_udm.target.file.sha1 Mappata direttamente da event1.srvcerthash.
event.idm.read_only_udm.target.file.sha256 event.idm.read_only_udm.target.file.sha256 Mappato direttamente da event1.sha256 o sha256.
event.idm.read_only_udm.target.file.size event.idm.read_only_udm.target.file.size Rinominato da event1.filesize e convertito in numero intero non firmato se diverso da 0.
event.idm.read_only_udm.target.hostname event.idm.read_only_udm.target.hostname Mappato direttamente da event1.sni, dest_domain o Host.
event.idm.read_only_udm.target.ip event.idm.read_only_udm.target.ip Mappato direttamente da event1.dst_ip6 o server_ip o ServerIP.
event.idm.read_only_udm.target.location.country_or_region event.idm.read_only_udm.target.location.country_or_region Mappato direttamente da dest_country o ServerCountry.
event.idm.read_only_udm.target.platform event.idm.read_only_udm.target.platform Mappato da asset_os dopo la normalizzazione.
event.idm.read_only_udm.target.platform_version event.idm.read_only_udm.target.platform_version Mappata direttamente da os_version.
event.idm.read_only_udm.target.port event.idm.read_only_udm.target.port Mappato direttamente da event1.dport o server_port e convertito in numero intero.
event.idm.read_only_udm.target.resource.attribute.labels event.idm.read_only_udm.target.resource.attribute.labels Contiene varie etichette in base alla logica del parser.
event.idm.read_only_udm.target.url event.idm.read_only_udm.target.url Mappato direttamente da url o URL.
event.idm.read_only_udm.target.user.product_object_id event.idm.read_only_udm.target.user.product_object_id Mappata direttamente da uuid.
event1.certificate_end_date event.idm.read_only_udm.network.tls.client.certificate.not_after Analizzati e convertiti in timestamp.
event1.certificate_extended_key_usage event.idm.read_only_udm.additional.fields[].key: "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: valore di event1.certificate_extended_key_usage Mappato come campo aggiuntivo.
event1.certificate_issuer_name event.idm.read_only_udm.network.tls.client.certificate.issuer Mappatura diretta.
event1.certificate_key_length event.idm.read_only_udm.additional.fields[].key: "Lunghezza chiave", event.idm.read_only_udm.additional.fields[].value.string_value: valore di event1.certificate_key_length Mappato come campo aggiuntivo.
event1.certificate_key_usage event.idm.read_only_udm.additional.fields[].key: "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value: valore di event1.certificate_key_usage Mappato come campo aggiuntivo.
event1.certificate_start_date event.idm.read_only_udm.network.tls.client.certificate.not_before Analizzati e convertiti in timestamp.
event1.certificate_subject_altname event.idm.read_only_udm.additional.fields[].key: "Nome alternativo del certificato", event.idm.read_only_udm.additional.fields[].value.string_value: valore di event1.certificate_subject_altname Mappato come campo aggiuntivo.
event1.certificate_subject_name event.idm.read_only_udm.network.tls.client.certificate.subject Mappatura diretta.
event1.client_asset_name event.idm.read_only_udm.principal.application Mappatura diretta.
event1.client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: valore di event1.client_asset_subnet Mappato come campo aggiuntivo.
event1.client_packet_count event.idm.read_only_udm.network.sent_bytes Convertito in numero intero senza segno e rinominato.
event1.cipher event.idm.read_only_udm.network.tls.cipher Mappatura diretta.
event1.direction event.idm.read_only_udm.network.direction Mappato a INBOUND se "s2c" o OUTBOUND se "c2s".
`event1.d

Modifiche

2024-06-04

  • È stato aggiunto il supporto di un nuovo pattern di log JSON.
  • "protocol" è stato mappato a "network.application_protocol".
  • "alert_type" è stato mappato a "security_result.detection_fields".

2023-09-04

  • Miglioramento:
  • "event1.sld" è stato mappato a "principal.hostname".
  • "event1.sni" è stato mappato a "target.hostname".
  • "event1.src_ip6" è stato mappato a "principal.ip".
  • "event1.dst_ip6" è stato mappato a "target.ip".
  • "event1.sport" è stato mappato a "principal.port".
  • "event1.dport" è stato mappato a "target.port".
  • "event1.cipher" è stato mappato a "network.tls.cipher".
  • "event1.tproto" è stato mappato a "network.ip_protocol".
  • "event1.client_asset_name" è stato mappato a "principal.application".
  • "event1.direction" è stato mappato a "network.direction".
  • "event1.rel_sesid" è stato mappato a "network.session_id".
  • "event1.tls_ciphersuite" è stato mappato a "network.tls.cipher".
  • "event1.ja3sdigest" è stato mappato a "network.tls.server.ja3s".
  • "event1.ja3digest" è stato mappato a "network.tls.client.ja3".
  • "event1.srvcerthash" è stato mappato a "target.file.sha1".
  • "event1.sha256" è stato mappato a "target.file.sha256".
  • "event1.md5" è stato mappato a "target.file.md5".
  • "event1.filetype" è stato mappato a "target.file.mime_type".
  • "event1.filesize" è stato mappato a "target.file.size".
  • "event1.certificate_issuer_name" è stato mappato a "network.tls.client.certificate.issuer".
  • "event1.certificate_subject_name" è stato mappato a "network.tls.client.certificate.subject".
  • "event1.certificate_start_date" è stato mappato a "network.tls.client.certificate.not_before".
  • "event1.certificate_end_date" è stato mappato a "network.tls.client.certificate.not_after".
  • "event1.client_packet_count" è stato mappato a "network.sent_bytes".
  • "event1.server_packet_count" è stato mappato a "network.received_bytes".
  • "event1.session_size" è stato mappato a "network.session_duration.seconds".
  • "event1.server_asset_subnet" è stato mappato a "read_only_udm.additional.fields".
  • "event1.client_asset_subnet" è stato mappato a "read_only_udm.additional.fields".
  • "event1.sha1hash" è stato mappato a "read_only_udm.additional.fields".
  • "event1.type" è stato mappato a "read_only_udm.additional.fields".
  • "event1.histbuf" è stato mappato a "read_only_udm.additional.fields".
  • "event1.sen_name" è stato mappato a "read_only_udm.additional.fields".
  • "event1.certificate_subject_altname" è stato mappato a "read_only_udm.additional.fields".
  • "event1.certificate_key_usage" è stato mappato a "read_only_udm.additional.fields".
  • "event1.certificate_key_length" è stato mappato a "read_only_udm.additional.fields".
  • "event1.certificate_extended_key_usage" è stato mappato a "read_only_udm.additional.fields".
  • "event1.version" è stato mappato a "network.tls.version".

2023-05-19

  • Miglioramento:
  • Sono stati mappati "exe_richsignaturehash", "exe_richsignaturepvhash", "alert_threat_score" a "security_result.detection_fields".