Raccogli i log di General Dynamics Fidelis XPS
Questo documento descrive come raccogliere i log di General Dynamics Fidelis XPS utilizzando un forwarder di Google Security Operations.
Per ulteriori informazioni, consulta la Panoramica dell'importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione FIDELIS_NETWORK
.
Configurare General Dynamics Fidelis XPS
- Accedi a CommandPost per gestire l'appliance Fidelis XPS.
- Seleziona Sistema > Esporta.
- Fai clic sulla scheda Nuovo.
- Nell'elenco Metodo di esportazione, seleziona ArcSight.
- Nel campo Destinazione, inserisci l'indirizzo IP e il numero di porta del server di inoltro di Google Security Operations, ad esempio
514
. - Nella sezione Esporta avvisi, seleziona la casella di controllo Tutti.
- Nella sezione Frequenza dell'esportazione, seleziona la casella di controllo Ogni avviso.
- Nella sezione Trasporto, seleziona la casella di controllo UDP o TCP.
- Nel campo Salva come, inserisci un nome per la configurazione dell'esportazione.
Nella casella Elenco colonne, sposta le voci nell'Elenco colonne in modo che vengano visualizzate nell'ordine seguente:
ORARIO
AZIONE
ALERTUUID
APPLICATION_USER
COMPONENTE
COMPR
DSTADDR
DSTPORT
FILENAME
FROM
GRUPPO
MALWARE NAME
MALWARE TYPE
MD5
POLICY
PROTO
REQUEST_METHOD
REQUEST_AGENT
REQUEST_URL
REGOLA
SENIP
GRAVITÀ
SRCADDR
SRCPORT
RIEPILOGO
TARGET
A
VIOLATION_INFO
VLAN_ID
La versione 8.1 di Fidelis XPS introduce dati aggiuntivi che puoi configurare per esportare nuovi dati. I nuovi campi includono REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO e VLAN_ID.
VIOLATION_INFO include tutti i dati della sezione Informazioni sulla violazione della pagina Dettagli avviso. Questi dati includono i dati corrispondenti che generano l'avviso. Sono inoltre incluse eventuali informazioni aggiuntive incluse nei dati del feed quando questi corrispondono. VIOLATION_INFO può avere dimensioni elevate. Devi attivare TCP quando utilizzi questa funzionalità nelle esportazioni di syslog.
Seleziona Sistema > Malware > Rilevamento malware.
Seleziona le caselle di controllo Motore di rilevamento del malware e Criteri di malware automatico.
Fai clic su Salva.
Configura il forwarder di Google Security Operations per importare i log di Fidelis Network
- Seleziona Impostazioni SIEM > Inoltratori.
- Fai clic su Aggiungi nuovo mittente.
- Inserisci un nome univoco nel campo Nome mittente.
- Fai clic su Invia e poi su Conferma. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del collettore.
- Nel campo Nome del raccoglitore, inserisci un nome univoco per il raccoglitore.
- Seleziona Fidelis Network come Tipo di log.
- Seleziona Syslog come Tipo di collettore.
- Configura i seguenti parametri di input:
- Protocollo: specifica il protocollo di connessione utilizzato dal collector per ascoltare i dati syslog.
- Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
- Porta: specifica la porta di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
- Fai clic su Invia.
Per ulteriori informazioni sui forwarder di Google Security Operations, consulta Gestire le configurazioni dei forwarder tramite l'interfaccia utente di Google Security Operations.
Se riscontri problemi durante la creazione dei reindirizzamenti, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser elabora i log di Fidelis Network nei formati SYSLOG, coppia chiave-valore e JSON, trasformandoli in UDM. Estrae i campi, gestisce varie strutture di log, esegue la mappatura ai campi UDM e arricchisce gli eventi con etichette come _is_alert
e _is_significant
in base a gravità e indicatori di minaccia.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
aaction |
event.idm.read_only_udm.security_result.action_details |
Mappato direttamente se non è "none" o una stringa vuota. |
alert_threat_score |
event.idm.read_only_udm.security_result.detection_fields[].key : "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value : valore di alert_threat_score |
Mappato direttamente come campo di rilevamento. |
alert_type |
event.idm.read_only_udm.security_result.detection_fields[].key : "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value : valore di alert_type |
Mappato direttamente come campo di rilevamento. |
answers |
event.idm.read_only_udm.network.dns.answers[].data |
Mappato direttamente per gli eventi DNS. |
application_user |
event.idm.read_only_udm.principal.user.userid |
Mappatura diretta. |
asset_os |
event.idm.read_only_udm.target.platform |
Normalizzato in WINDOWS, LINUX, MAC o UNKNOWN_PLATFORM. |
certificate.end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Analizzati e convertiti in timestamp. |
certificate.extended_key_usage |
event.idm.read_only_udm.additional.fields[].key : "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value : valore di certificate.extended_key_usage |
Mappato come campo aggiuntivo. |
certificate.issuer_name |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Mappatura diretta. |
certificate.key_length |
event.idm.read_only_udm.additional.fields[].key : "Lunghezza chiave", event.idm.read_only_udm.additional.fields[].value.string_value : valore di certificate.key_length |
Mappato come campo aggiuntivo. |
certificate.key_usage |
event.idm.read_only_udm.additional.fields[].key : "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value : valore di certificate.key_usage |
Mappato come campo aggiuntivo. |
certificate.start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Analizzati e convertiti in timestamp. |
certificate.subject_altname |
event.idm.read_only_udm.additional.fields[].key : "Nome alternativo del certificato", event.idm.read_only_udm.additional.fields[].value.string_value : valore di certificate.subject_altname |
Mappato come campo aggiuntivo. |
certificate.subject_name |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Mappatura diretta. |
certificate.type |
event.idm.read_only_udm.additional.fields[].key : "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value : valore di certificate.type |
Mappato come campo aggiuntivo. |
cipher |
event.idm.read_only_udm.network.tls.cipher |
Mappatura diretta. |
client_asset_name |
event.idm.read_only_udm.principal.application |
Mappatura diretta. |
client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key : "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value : valore di client_asset_subnet |
Mappato come campo aggiuntivo. |
client_ip |
event.idm.read_only_udm.principal.ip |
Mappatura diretta. |
client_port |
event.idm.read_only_udm.principal.port |
Mappato direttamente e convertito in numero intero. |
ClientIP |
event.idm.read_only_udm.principal.ip |
Mappatura diretta. |
ClientPort |
event.idm.read_only_udm.principal.port |
Mappato direttamente e convertito in numero intero. |
ClientCountry |
event.idm.read_only_udm.principal.location.country_or_region |
Mappato direttamente se non "UNKNOWN" o stringa vuota. |
ClientAssetID |
event.idm.read_only_udm.principal.asset_id |
Deve essere preceduto da "Asset:" se non è "0" o una stringa vuota. |
ClientAssetName |
event.idm.read_only_udm.principal.resource.attribute.labels[].key : "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value : valore di ClientAssetName |
Mappato come etichetta della risorsa principale. |
ClientAssetRole |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Mappatura diretta. |
ClientAssetServices |
event.idm.read_only_udm.principal.resource.attribute.labels[].key : "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value : valore di ClientAssetServices |
Mappato come etichetta della risorsa principale. |
Client |
event.idm.read_only_udm.principal.resource.attribute.labels[].key : "Client", event.idm.read_only_udm.principal.resource.attribute.labels[].value : valore di Client |
Mappato come etichetta della risorsa principale. |
Collector |
event.idm.read_only_udm.security_result.detection_fields[].key : "Collector", event.idm.read_only_udm.security_result.detection_fields[].value : valore di Collector |
Mappato come campo di rilevamento. |
command |
event.idm.read_only_udm.network.http.method |
Mappato direttamente per gli eventi HTTP. |
Command |
event.idm.read_only_udm.security_result.detection_fields[].key : "Comando", event.idm.read_only_udm.security_result.detection_fields[].value : valore di Command |
Mappato come campo di rilevamento. |
Connection |
event.idm.read_only_udm.security_result.detection_fields[].key : "Connessione", event.idm.read_only_udm.security_result.detection_fields[].value : valore di Connection |
Mappato come campo di rilevamento. |
DecodingPath |
event.idm.read_only_udm.security_result.detection_fields[].key : "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value : valore di DecodingPath |
Mappato come campo di rilevamento. |
dest_country |
event.idm.read_only_udm.target.location.country_or_region |
Mappatura diretta. |
dest_domain |
event.idm.read_only_udm.target.hostname |
Mappatura diretta. |
dest_ip |
event.idm.read_only_udm.target.ip |
Mappatura diretta. |
dest_port |
event.idm.read_only_udm.target.port |
Mappato direttamente e convertito in numero intero. |
Direction |
event.idm.read_only_udm.security_result.detection_fields[].key : "Direction", event.idm.read_only_udm.security_result.detection_fields[].value : valore di Direction |
Mappato come campo di rilevamento. |
dns.host |
event.idm.read_only_udm.network.dns.questions[].name |
Mappato direttamente per gli eventi DNS. |
DomainName |
event.idm.read_only_udm.target.administrative_domain |
Mappatura diretta. |
DomainAlexaRank |
event.idm.read_only_udm.security_result.detection_fields[].key : "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value : valore di DomainAlexaRank |
Mappato come campo di rilevamento. |
dport |
event.idm.read_only_udm.target.port |
Mappato direttamente e convertito in numero intero. |
dnsresolution.server_fqdn |
event.idm.read_only_udm.target.hostname |
Mappatura diretta. |
Duration |
event.idm.read_only_udm.security_result.detection_fields[].key : "Durata", event.idm.read_only_udm.security_result.detection_fields[].value : valore di Duration |
Mappato come campo di rilevamento. |
Encrypted |
event.idm.read_only_udm.security_result.detection_fields[].key : "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value : valore di Encrypted |
Mappato come campo di rilevamento. |
Entropy |
event.idm.read_only_udm.security_result.detection_fields[].key : "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value : valore di Entropy |
Mappato come campo di rilevamento. |
event.idm.is_alert |
event.idm.is_alert |
Impostato su true se la gravità è Critica o se è presente malware_type (tranne per l'etichetta "Ricerca di minacce"). |
event.idm.is_significant |
event.idm.is_significant |
Impostato su true se la gravità è Critica o se è presente malware_type (tranne per l'etichetta "Ricerca di minacce"). |
event.idm.read_only_udm.additional.fields |
event.idm.read_only_udm.additional.fields |
Contiene vari campi aggiuntivi in base alla logica del parser. |
event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo summary . |
event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Determinato in base a vari campi di log e alla logica del parser. Può essere GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE, NETWORK_FLOW. |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
Impostato su "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Impostato su "FIDELIS_NETWORK". |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Impostato su "FIDELIS_NETWORK". |
event.idm.read_only_udm.network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
Determinato in base al campo server_port o protocol . Può essere HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS, AOLMAIL. |
event.idm.read_only_udm.network.direction |
event.idm.read_only_udm.network.direction |
Determinato in base al campo direction o alle parole chiave in summary . Può essere INBOUND o OUTBOUND. |
event.idm.read_only_udm.network.dns.answers |
event.idm.read_only_udm.network.dns.answers |
Viene compilato per gli eventi DNS. |
event.idm.read_only_udm.network.dns.id |
event.idm.read_only_udm.network.dns.id |
Mappato dal campo number per gli eventi DNS. |
event.idm.read_only_udm.network.dns.questions |
event.idm.read_only_udm.network.dns.questions |
Viene compilato per gli eventi DNS. |
event.idm.read_only_udm.network.email.from |
event.idm.read_only_udm.network.email.from |
Mappato direttamente da From se si tratta di un indirizzo email valido. |
event.idm.read_only_udm.network.email.subject |
event.idm.read_only_udm.network.email.subject |
Mappata direttamente da Subject . |
event.idm.read_only_udm.network.email.to |
event.idm.read_only_udm.network.email.to |
Mappata direttamente da To . |
event.idm.read_only_udm.network.ftp.command |
event.idm.read_only_udm.network.ftp.command |
Mappata direttamente da ftp.command . |
event.idm.read_only_udm.network.http.method |
event.idm.read_only_udm.network.http.method |
Mappato direttamente da http.command o Command . |
event.idm.read_only_udm.network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
Mappata direttamente da Referer . |
event.idm.read_only_udm.network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
Mappato direttamente da http.status_code o StatusCode e convertito in numero intero. |
event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Mappato direttamente da http.useragent o UserAgent . |
event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Mappato direttamente da tproto se è TCP o UDP. |
event.idm.read_only_udm.network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
Rinominato da event1.server_packet_count e convertito in numero intero non firmato. |
event.idm.read_only_udm.network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Rinominato da event1.client_packet_count e convertito in numero intero non firmato. |
event.idm.read_only_udm.network.session_duration.seconds |
event.idm.read_only_udm.network.session_duration.seconds |
È stato rinominato da event1.session_size e convertito in numero intero. |
event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
Mappato direttamente da event1.rel_sesid o UserSessionID . |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Mappata direttamente da event1.certificate_issuer_name . |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Analizzati da event1.certificate_end_date e convertiti in timestamp. |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Analizzati da event1.certificate_start_date e convertiti in timestamp. |
event.idm.read_only_udm.network.tls.client.certificate.subject |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Mappata direttamente da event1.certificate_subject_name . |
event.idm.read_only_udm.network.tls.client.ja3 |
event.idm.read_only_udm.network.tls.client.ja3 |
Mappato direttamente da event1.ja3digest e convertito in stringa. |
event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
Mappato direttamente da event1.cipher , CipherSuite , cipher o event1.tls_ciphersuite . |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Mappata direttamente da certificate_issuer_name . |
event.idm.read_only_udm.network.tls.server.certificate.subject |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Mappata direttamente da certificate_subject_name . |
event.idm.read_only_udm.network.tls.server.ja3s |
event.idm.read_only_udm.network.tls.server.ja3s |
Mappato direttamente da event1.ja3sdigest e convertito in stringa. |
event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
Mappata direttamente da event1.version . |
event.idm.read_only_udm.principal.application |
event.idm.read_only_udm.principal.application |
Mappata direttamente da event1.client_asset_name . |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Mappata direttamente da ClientAssetRole . |
event.idm.read_only_udm.principal.asset_id |
event.idm.read_only_udm.principal.asset_id |
Mappato direttamente da ClientAssetID o ServerAssetID (con il prefisso "Asset:"). |
event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
Mappato direttamente da event1.sld o src_domain . |
event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
Mappato direttamente da event1.src_ip6 , client_ip o ClientIP . |
event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Mappato direttamente da ClientCountry o src_country , se non "UNKNOWN" o stringa vuota. |
event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
Mappato direttamente da event1.sport o client_port e convertito in numero intero. |
event.idm.read_only_udm.principal.resource.attribute.labels |
event.idm.read_only_udm.principal.resource.attribute.labels |
Contiene varie etichette in base alla logica del parser. |
event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente da ftp.user o AppUser . |
event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
Determinato in base a severity . Può essere ALLOW, BLOCK o UNKNOWN_ACTION. |
event.idm.read_only_udm.security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
Mappato direttamente da Action se non "none" o stringa vuota. |
event.idm.read_only_udm.security_result.category |
event.idm.read_only_udm.security_result.category |
Imposta su NETWORK_SUSPICIOUS se è presente malware_type . |
event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
Contiene vari campi di rilevamento in base alla logica del parser. |
event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
Mappata direttamente da rule_name . |
event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
Determinato in base a severity . Può essere INFORMATIONAL, MEDIUM, ERROR o CRITICAL. |
event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
Mappata direttamente da label . |
event.idm.read_only_udm.security_result.threat_name |
event.idm.read_only_udm.security_result.threat_name |
Mappato direttamente da malware_type o analizzato da summary se contiene "CVE-". |
event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
Mappata direttamente da DomainName . |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
Mappata direttamente da ServerAssetRole . |
event.idm.read_only_udm.target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
Mappato direttamente da ftp.filename o Filename . |
event.idm.read_only_udm.target.file.md5 |
event.idm.read_only_udm.target.file.md5 |
Mappato direttamente da event1.md5 o md5 . |
event.idm.read_only_udm.target.file.mime_type |
event.idm.read_only_udm.target.file.mime_type |
Mappata direttamente da event1.filetype . |
event.idm.read_only_udm.target.file.sha1 |
event.idm.read_only_udm.target.file.sha1 |
Mappata direttamente da event1.srvcerthash . |
event.idm.read_only_udm.target.file.sha256 |
event.idm.read_only_udm.target.file.sha256 |
Mappato direttamente da event1.sha256 o sha256 . |
event.idm.read_only_udm.target.file.size |
event.idm.read_only_udm.target.file.size |
Rinominato da event1.filesize e convertito in numero intero non firmato se diverso da 0. |
event.idm.read_only_udm.target.hostname |
event.idm.read_only_udm.target.hostname |
Mappato direttamente da event1.sni , dest_domain o Host . |
event.idm.read_only_udm.target.ip |
event.idm.read_only_udm.target.ip |
Mappato direttamente da event1.dst_ip6 o server_ip o ServerIP . |
event.idm.read_only_udm.target.location.country_or_region |
event.idm.read_only_udm.target.location.country_or_region |
Mappato direttamente da dest_country o ServerCountry . |
event.idm.read_only_udm.target.platform |
event.idm.read_only_udm.target.platform |
Mappato da asset_os dopo la normalizzazione. |
event.idm.read_only_udm.target.platform_version |
event.idm.read_only_udm.target.platform_version |
Mappata direttamente da os_version . |
event.idm.read_only_udm.target.port |
event.idm.read_only_udm.target.port |
Mappato direttamente da event1.dport o server_port e convertito in numero intero. |
event.idm.read_only_udm.target.resource.attribute.labels |
event.idm.read_only_udm.target.resource.attribute.labels |
Contiene varie etichette in base alla logica del parser. |
event.idm.read_only_udm.target.url |
event.idm.read_only_udm.target.url |
Mappato direttamente da url o URL . |
event.idm.read_only_udm.target.user.product_object_id |
event.idm.read_only_udm.target.user.product_object_id |
Mappata direttamente da uuid . |
event1.certificate_end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Analizzati e convertiti in timestamp. |
event1.certificate_extended_key_usage |
event.idm.read_only_udm.additional.fields[].key : "Extended Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value : valore di event1.certificate_extended_key_usage |
Mappato come campo aggiuntivo. |
event1.certificate_issuer_name |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Mappatura diretta. |
event1.certificate_key_length |
event.idm.read_only_udm.additional.fields[].key : "Lunghezza chiave", event.idm.read_only_udm.additional.fields[].value.string_value : valore di event1.certificate_key_length |
Mappato come campo aggiuntivo. |
event1.certificate_key_usage |
event.idm.read_only_udm.additional.fields[].key : "Key Usage", event.idm.read_only_udm.additional.fields[].value.string_value : valore di event1.certificate_key_usage |
Mappato come campo aggiuntivo. |
event1.certificate_start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Analizzati e convertiti in timestamp. |
event1.certificate_subject_altname |
event.idm.read_only_udm.additional.fields[].key : "Nome alternativo del certificato", event.idm.read_only_udm.additional.fields[].value.string_value : valore di event1.certificate_subject_altname |
Mappato come campo aggiuntivo. |
event1.certificate_subject_name |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Mappatura diretta. |
event1.client_asset_name |
event.idm.read_only_udm.principal.application |
Mappatura diretta. |
event1.client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key : "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value : valore di event1.client_asset_subnet |
Mappato come campo aggiuntivo. |
event1.client_packet_count |
event.idm.read_only_udm.network.sent_bytes |
Convertito in numero intero senza segno e rinominato. |
event1.cipher |
event.idm.read_only_udm.network.tls.cipher |
Mappatura diretta. |
event1.direction |
event.idm.read_only_udm.network.direction |
Mappato a INBOUND se "s2c" o OUTBOUND se "c2s". |
`event1.d |
Modifiche
2024-06-04
- È stato aggiunto il supporto di un nuovo pattern di log JSON.
- "protocol" è stato mappato a "network.application_protocol".
- "alert_type" è stato mappato a "security_result.detection_fields".
2023-09-04
- Miglioramento:
- "event1.sld" è stato mappato a "principal.hostname".
- "event1.sni" è stato mappato a "target.hostname".
- "event1.src_ip6" è stato mappato a "principal.ip".
- "event1.dst_ip6" è stato mappato a "target.ip".
- "event1.sport" è stato mappato a "principal.port".
- "event1.dport" è stato mappato a "target.port".
- "event1.cipher" è stato mappato a "network.tls.cipher".
- "event1.tproto" è stato mappato a "network.ip_protocol".
- "event1.client_asset_name" è stato mappato a "principal.application".
- "event1.direction" è stato mappato a "network.direction".
- "event1.rel_sesid" è stato mappato a "network.session_id".
- "event1.tls_ciphersuite" è stato mappato a "network.tls.cipher".
- "event1.ja3sdigest" è stato mappato a "network.tls.server.ja3s".
- "event1.ja3digest" è stato mappato a "network.tls.client.ja3".
- "event1.srvcerthash" è stato mappato a "target.file.sha1".
- "event1.sha256" è stato mappato a "target.file.sha256".
- "event1.md5" è stato mappato a "target.file.md5".
- "event1.filetype" è stato mappato a "target.file.mime_type".
- "event1.filesize" è stato mappato a "target.file.size".
- "event1.certificate_issuer_name" è stato mappato a "network.tls.client.certificate.issuer".
- "event1.certificate_subject_name" è stato mappato a "network.tls.client.certificate.subject".
- "event1.certificate_start_date" è stato mappato a "network.tls.client.certificate.not_before".
- "event1.certificate_end_date" è stato mappato a "network.tls.client.certificate.not_after".
- "event1.client_packet_count" è stato mappato a "network.sent_bytes".
- "event1.server_packet_count" è stato mappato a "network.received_bytes".
- "event1.session_size" è stato mappato a "network.session_duration.seconds".
- "event1.server_asset_subnet" è stato mappato a "read_only_udm.additional.fields".
- "event1.client_asset_subnet" è stato mappato a "read_only_udm.additional.fields".
- "event1.sha1hash" è stato mappato a "read_only_udm.additional.fields".
- "event1.type" è stato mappato a "read_only_udm.additional.fields".
- "event1.histbuf" è stato mappato a "read_only_udm.additional.fields".
- "event1.sen_name" è stato mappato a "read_only_udm.additional.fields".
- "event1.certificate_subject_altname" è stato mappato a "read_only_udm.additional.fields".
- "event1.certificate_key_usage" è stato mappato a "read_only_udm.additional.fields".
- "event1.certificate_key_length" è stato mappato a "read_only_udm.additional.fields".
- "event1.certificate_extended_key_usage" è stato mappato a "read_only_udm.additional.fields".
- "event1.version" è stato mappato a "network.tls.version".
2023-05-19
- Miglioramento:
- Sono stati mappati "exe_richsignaturehash", "exe_richsignaturepvhash", "alert_threat_score" a "security_result.detection_fields".