General Dynamics Fidelis XPS-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie die General Dynamics Fidelis XPS-Logs mit einem Google Security Operations-Weiterleiter erfassen.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel FIDELIS_NETWORK.
General Dynamics Fidelis XPS konfigurieren
- Melden Sie sich in CommandPost an, um Ihre Fidelis XPS-Appliance zu verwalten.
- Wählen Sie System > Exportieren aus.
- Klicken Sie auf den Tab Neu.
- Wählen Sie in der Liste Exportmethode die Option ArcSight aus.
- Geben Sie im Feld Ziel die IP-Adresse und die Portnummer des Google Security Operations-Weiterleitungsservers ein, z. B.
514. - Klicken Sie im Bereich Benachrichtigungen exportieren auf das Kästchen Alle.
- Klicken Sie im Bereich Exporthäufigkeit das Kästchen Bei jeder Benachrichtigung an.
- Klicken Sie im Bereich Transport das Kästchen UDP oder TCP an.
- Geben Sie im Feld Als einen Namen für die Exportkonfiguration ein.
Verschieben Sie die Einträge im Feld Spaltenliste so, dass sie in der folgenden Reihenfolge angezeigt werden:
TIME
AKTION
ALERTUUID
APPLICATION_USER
COMPONENT
COMPR
DSTADDR
DSTPORT
FILENAME
FROM
GRUPPE
MALWARE NAME
MALWARE TYPE
MD5
POLICY
PROTO
REQUEST_METHOD
REQUEST_AGENT
REQUEST_URL
REGEL
SENIP
SEVERITY
SRCADDR
SRCPORT
SUMMARY
TARGET
AN
VIOLATION_INFO
VLAN_ID
In Fidelis XPS Version 8.1 werden zusätzliche Daten eingeführt, die Sie zum Exportieren neuer Daten konfigurieren können. Zu den neuen Feldern gehören REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO und VLAN_ID.
VIOLATION_INFO enthält alle Daten aus dem Abschnitt Informationen zur Verwarnung auf der Seite Benachrichtigungsdetails. Dazu gehören auch übereinstimmende Daten, die eine Benachrichtigung auslösen. Außerdem enthält sie alle zusätzlichen Informationen in den Feeddaten, sofern diese übereinstimmen. VIOLATION_INFO kann groß sein. Wenn Sie diese Funktion in Syslog-Exporten verwenden, müssen Sie TCP aktivieren.
Wählen Sie System > Malware > Malware-Erkennung aus.
Klicken Sie die Kästchen Malware-Erkennungs-Engine und Automatische Malware-Richtlinie an.
Klicken Sie auf Speichern.
Google Security Operations-Weiterleiter für die Aufnahme von Fidelis Network-Logs konfigurieren
- Wählen Sie SIEM-Einstellungen > Weiterleitungen aus.
- Klicken Sie auf Neuen Weiterleiter hinzufügen.
- Geben Sie im Feld Name des Weiterleiters einen eindeutigen Namen ein.
- Klicken Sie auf Senden und dann auf Bestätigen. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
- Wählen Sie Fidelis Network als Logtyp aus.
- Wählen Sie Syslog als Typ des Collectors aus.
- Konfigurieren Sie die folgenden Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector zum Abhören von syslog-Daten verwendet.
- Address (Adresse): Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, unter der bzw. dem sich der Collector befindet und auf syslog-Daten wartet.
- Port: Geben Sie den Zielport an, an dem sich der Collector befindet und der syslog-Daten zuhört.
- Klicken Sie auf Senden.
Weitere Informationen zu den Google Security Operations-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google Security Operations-Benutzeroberfläche verwalten.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Dieser Parser verarbeitet Fidelis Network-Protokolle im SYSLOG-, Schlüssel/Wert-Paar- und JSON-Format und wandelt sie in UDM um. Es werden Felder extrahiert, verschiedene Logstrukturen verarbeitet, UDM-Felder zugeordnet und Ereignisse anhand von Schweregrad- und Bedrohungsmesswerten mit Labels wie _is_alert und _is_significant angereichert.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
aaction |
event.idm.read_only_udm.security_result.action_details |
Wird direkt zugeordnet, wenn der Wert nicht „none“ oder ein leerer String ist. |
alert_threat_score |
event.idm.read_only_udm.security_result.detection_fields[].key: „alert_threat_score“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von alert_threat_score |
Wird direkt als Erkennungsfeld zugeordnet. |
alert_type |
event.idm.read_only_udm.security_result.detection_fields[].key: „alert_type“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von alert_type |
Wird direkt als Erkennungsfeld zugeordnet. |
answers |
event.idm.read_only_udm.network.dns.answers[].data |
Wird direkt für DNS-Ereignisse zugeordnet. |
application_user |
event.idm.read_only_udm.principal.user.userid |
Direkt zugeordnet. |
asset_os |
event.idm.read_only_udm.target.platform |
Normalisiert zu WINDOWS, LINUX, MAC oder UNKNOWN_PLATFORM. |
certificate.end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Geparst und in einen Zeitstempel umgewandelt. |
certificate.extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: „Extended Key Usage“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von certificate.extended_key_usage |
Wird als zusätzliches Feld zugeordnet. |
certificate.issuer_name |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Direkt zugeordnet. |
certificate.key_length |
event.idm.read_only_udm.additional.fields[].key: „Schlüssellänge“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von certificate.key_length |
Wird als zusätzliches Feld zugeordnet. |
certificate.key_usage |
event.idm.read_only_udm.additional.fields[].key: „Key Usage“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von certificate.key_usage |
Wird als zusätzliches Feld zugeordnet. |
certificate.start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Geparst und in einen Zeitstempel umgewandelt. |
certificate.subject_altname |
event.idm.read_only_udm.additional.fields[].key: „Certificate Alternate Name“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von certificate.subject_altname |
Wird als zusätzliches Feld zugeordnet. |
certificate.subject_name |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Direkt zugeordnet. |
certificate.type |
event.idm.read_only_udm.additional.fields[].key: „Certificate_Type“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von certificate.type |
Wird als zusätzliches Feld zugeordnet. |
cipher |
event.idm.read_only_udm.network.tls.cipher |
Direkt zugeordnet. |
client_asset_name |
event.idm.read_only_udm.principal.application |
Direkt zugeordnet. |
client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: „client_asset_subnet“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von client_asset_subnet |
Wird als zusätzliches Feld zugeordnet. |
client_ip |
event.idm.read_only_udm.principal.ip |
Direkt zugeordnet. |
client_port |
event.idm.read_only_udm.principal.port |
Direkt zugeordnet und in eine Ganzzahl umgewandelt. |
ClientIP |
event.idm.read_only_udm.principal.ip |
Direkt zugeordnet. |
ClientPort |
event.idm.read_only_udm.principal.port |
Direkt zugeordnet und in eine Ganzzahl umgewandelt. |
ClientCountry |
event.idm.read_only_udm.principal.location.country_or_region |
Wird direkt zugeordnet, wenn der Wert nicht „UNKNOWN“ oder ein leerer String ist. |
ClientAssetID |
event.idm.read_only_udm.principal.asset_id |
Wenn der Wert nicht „0“ oder ein leerer String ist, wird ihm „Asset:“ vorangestellt. |
ClientAssetName |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: „ClientAssetName“, event.idm.read_only_udm.principal.resource.attribute.labels[].value: Wert von ClientAssetName |
Als Hauptressourcenlabel zugeordnet. |
ClientAssetRole |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Direkt zugeordnet. |
ClientAssetServices |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: „ClientAssetServices“, event.idm.read_only_udm.principal.resource.attribute.labels[].value: Wert von ClientAssetServices |
Als Hauptressourcenlabel zugeordnet. |
Client |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: „Client“, event.idm.read_only_udm.principal.resource.attribute.labels[].value: Wert von Client |
Als Hauptressourcenlabel zugeordnet. |
Collector |
event.idm.read_only_udm.security_result.detection_fields[].key: „Abnehmer“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von Collector |
Als Erkennungsfeld zugeordnet. |
command |
event.idm.read_only_udm.network.http.method |
Direkt für HTTP-Ereignisse zugeordnet. |
Command |
event.idm.read_only_udm.security_result.detection_fields[].key: „Befehl“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von Command |
Als Erkennungsfeld zugeordnet. |
Connection |
event.idm.read_only_udm.security_result.detection_fields[].key: „Verbindung“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von Connection |
Als Erkennungsfeld zugeordnet. |
DecodingPath |
event.idm.read_only_udm.security_result.detection_fields[].key: „DecodingPath“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von DecodingPath |
Als Erkennungsfeld zugeordnet. |
dest_country |
event.idm.read_only_udm.target.location.country_or_region |
Direkt zugeordnet. |
dest_domain |
event.idm.read_only_udm.target.hostname |
Direkt zugeordnet. |
dest_ip |
event.idm.read_only_udm.target.ip |
Direkt zugeordnet. |
dest_port |
event.idm.read_only_udm.target.port |
Direkt zugeordnet und in eine Ganzzahl umgewandelt. |
Direction |
event.idm.read_only_udm.security_result.detection_fields[].key: „Direction“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von Direction |
Als Erkennungsfeld zugeordnet. |
dns.host |
event.idm.read_only_udm.network.dns.questions[].name |
Wird direkt für DNS-Ereignisse zugeordnet. |
DomainName |
event.idm.read_only_udm.target.administrative_domain |
Direkt zugeordnet. |
DomainAlexaRank |
event.idm.read_only_udm.security_result.detection_fields[].key: „DomainAlexaRank“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von DomainAlexaRank |
Als Erkennungsfeld zugeordnet. |
dport |
event.idm.read_only_udm.target.port |
Direkt zugeordnet und in eine Ganzzahl umgewandelt. |
dnsresolution.server_fqdn |
event.idm.read_only_udm.target.hostname |
Direkt zugeordnet. |
Duration |
event.idm.read_only_udm.security_result.detection_fields[].key: „Dauer“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von Duration |
Als Erkennungsfeld zugeordnet. |
Encrypted |
event.idm.read_only_udm.security_result.detection_fields[].key: „Verschlüsselt“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von Encrypted |
Als Erkennungsfeld zugeordnet. |
Entropy |
event.idm.read_only_udm.security_result.detection_fields[].key: „Entropie“, event.idm.read_only_udm.security_result.detection_fields[].value: Wert von Entropy |
Als Erkennungsfeld zugeordnet. |
event.idm.is_alert |
event.idm.is_alert |
Legen Sie „true“ fest, wenn „severity“ den Wert „Critical“ hat oder „malware_type“ vorhanden ist (außer für das Label „Threat Hunt“). |
event.idm.is_significant |
event.idm.is_significant |
Legen Sie „true“ fest, wenn „severity“ den Wert „Critical“ hat oder „malware_type“ vorhanden ist (außer für das Label „Threat Hunt“). |
event.idm.read_only_udm.additional.fields |
event.idm.read_only_udm.additional.fields |
Enthält verschiedene zusätzliche Felder, die auf der Parserlogik basieren. |
event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
Direkt aus dem Feld summary zugeordnet. |
event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Wird anhand verschiedener Protokollfelder und Parserlogik ermittelt. Kann GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE oder NETWORK_FLOW sein. |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
Legen Sie diesen Wert auf „FIDELIS_NETWORK“ fest. |
event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Legen Sie diesen Wert auf „FIDELIS_NETWORK“ fest. |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Legen Sie diesen Wert auf „FIDELIS_NETWORK“ fest. |
event.idm.read_only_udm.network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
Wird anhand des Felds server_port oder protocol ermittelt. Kann HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS oder AOLMAIL sein. |
event.idm.read_only_udm.network.direction |
event.idm.read_only_udm.network.direction |
Wird anhand des Felds direction oder der Keywords in summary bestimmt. Kann INBOUND oder OUTBOUND sein. |
event.idm.read_only_udm.network.dns.answers |
event.idm.read_only_udm.network.dns.answers |
Wird für DNS-Ereignisse ausgefüllt. |
event.idm.read_only_udm.network.dns.id |
event.idm.read_only_udm.network.dns.id |
Wird aus dem Feld number für DNS-Ereignisse zugeordnet. |
event.idm.read_only_udm.network.dns.questions |
event.idm.read_only_udm.network.dns.questions |
Wird für DNS-Ereignisse ausgefüllt. |
event.idm.read_only_udm.network.email.from |
event.idm.read_only_udm.network.email.from |
Wird direkt von From zugeordnet, wenn es sich um eine gültige E-Mail-Adresse handelt. |
event.idm.read_only_udm.network.email.subject |
event.idm.read_only_udm.network.email.subject |
Direkt von Subject zugeordnet. |
event.idm.read_only_udm.network.email.to |
event.idm.read_only_udm.network.email.to |
Direkt von To zugeordnet. |
event.idm.read_only_udm.network.ftp.command |
event.idm.read_only_udm.network.ftp.command |
Direkt von ftp.command zugeordnet. |
event.idm.read_only_udm.network.http.method |
event.idm.read_only_udm.network.http.method |
Direkt von http.command oder Command zugeordnet. |
event.idm.read_only_udm.network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
Direkt von Referer zugeordnet. |
event.idm.read_only_udm.network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
Direkt aus http.status_code oder StatusCode zugeordnet und in eine Ganzzahl umgewandelt. |
event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Direkt von http.useragent oder UserAgent zugeordnet. |
event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Wird bei TCP oder UDP direkt von tproto zugeordnet. |
event.idm.read_only_udm.network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
Wurde von event1.server_packet_count in umbenannt und in eine vorzeichenlose Ganzzahl konvertiert. |
event.idm.read_only_udm.network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Wurde von event1.client_packet_count in „vorzeichenlose Ganzzahl“ umbenannt. |
event.idm.read_only_udm.network.session_duration.seconds |
event.idm.read_only_udm.network.session_duration.seconds |
Wurde von event1.session_size in eine Ganzzahl umgewandelt. |
event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
Direkt von event1.rel_sesid oder UserSessionID zugeordnet. |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Direkt von event1.certificate_issuer_name zugeordnet. |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Aus event1.certificate_end_date geparst und in einen Zeitstempel umgewandelt. |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Aus event1.certificate_start_date geparst und in einen Zeitstempel umgewandelt. |
event.idm.read_only_udm.network.tls.client.certificate.subject |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Direkt von event1.certificate_subject_name zugeordnet. |
event.idm.read_only_udm.network.tls.client.ja3 |
event.idm.read_only_udm.network.tls.client.ja3 |
Direkt aus event1.ja3digest zugeordnet und in einen String umgewandelt. |
event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
Direkt von event1.cipher, CipherSuite, cipher oder event1.tls_ciphersuite zugeordnet. |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
Direkt von certificate_issuer_name zugeordnet. |
event.idm.read_only_udm.network.tls.server.certificate.subject |
event.idm.read_only_udm.network.tls.server.certificate.subject |
Direkt von certificate_subject_name zugeordnet. |
event.idm.read_only_udm.network.tls.server.ja3s |
event.idm.read_only_udm.network.tls.server.ja3s |
Direkt aus event1.ja3sdigest zugeordnet und in einen String umgewandelt. |
event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
Direkt von event1.version zugeordnet. |
event.idm.read_only_udm.principal.application |
event.idm.read_only_udm.principal.application |
Direkt von event1.client_asset_name zugeordnet. |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
Direkt von ClientAssetRole zugeordnet. |
event.idm.read_only_udm.principal.asset_id |
event.idm.read_only_udm.principal.asset_id |
Direkt von ClientAssetID oder ServerAssetID zugeordnet (mit dem Präfix „Asset:“). |
event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
Direkt von event1.sld oder src_domain zugeordnet. |
event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
Direkt von event1.src_ip6, client_ip oder ClientIP zugeordnet. |
event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Wird direkt aus ClientCountry oder src_country zugeordnet, sofern nicht „UNKNOWN“ oder ein leerer String. |
event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
Direkt aus event1.sport oder client_port zugeordnet und in eine Ganzzahl umgewandelt. |
event.idm.read_only_udm.principal.resource.attribute.labels |
event.idm.read_only_udm.principal.resource.attribute.labels |
Enthält verschiedene Labels basierend auf Parserlogik. |
event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Direkt von ftp.user oder AppUser zugeordnet. |
event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
Berechnet auf Grundlage von severity. Kann ALLOW, BLOCK oder UNKNOWN_ACTION sein. |
event.idm.read_only_udm.security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
Wird direkt aus Action zugeordnet, sofern nicht „none“ oder ein leerer String angegeben ist. |
event.idm.read_only_udm.security_result.category |
event.idm.read_only_udm.security_result.category |
Wird auf NETWORK_SUSPICIOUS gesetzt, wenn malware_type vorhanden ist. |
event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
Enthält verschiedene Erkennungsfelder, die auf der Parserlogik basieren. |
event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
Direkt von rule_name zugeordnet. |
event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
Berechnet auf Grundlage von severity. Kann INFORMATIONAL, MEDIUM, ERROR oder CRITICAL sein. |
event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
Direkt von label zugeordnet. |
event.idm.read_only_udm.security_result.threat_name |
event.idm.read_only_udm.security_result.threat_name |
Wird direkt aus malware_type zugeordnet oder aus summary geparst, wenn es „CVE-“ enthält. |
event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
Direkt von DomainName zugeordnet. |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
Direkt von ServerAssetRole zugeordnet. |
event.idm.read_only_udm.target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
Direkt von ftp.filename oder Filename zugeordnet. |
event.idm.read_only_udm.target.file.md5 |
event.idm.read_only_udm.target.file.md5 |
Direkt von event1.md5 oder md5 zugeordnet. |
event.idm.read_only_udm.target.file.mime_type |
event.idm.read_only_udm.target.file.mime_type |
Direkt von event1.filetype zugeordnet. |
event.idm.read_only_udm.target.file.sha1 |
event.idm.read_only_udm.target.file.sha1 |
Direkt von event1.srvcerthash zugeordnet. |
event.idm.read_only_udm.target.file.sha256 |
event.idm.read_only_udm.target.file.sha256 |
Direkt von event1.sha256 oder sha256 zugeordnet. |
event.idm.read_only_udm.target.file.size |
event.idm.read_only_udm.target.file.size |
Wurde in umbenannt und in eine vorzeichenlose Ganzzahl konvertiert, wenn der Wert nicht 0 ist.event1.filesize |
event.idm.read_only_udm.target.hostname |
event.idm.read_only_udm.target.hostname |
Direkt von event1.sni, dest_domain oder Host zugeordnet. |
event.idm.read_only_udm.target.ip |
event.idm.read_only_udm.target.ip |
Direkt von event1.dst_ip6, server_ip oder ServerIP zugeordnet. |
event.idm.read_only_udm.target.location.country_or_region |
event.idm.read_only_udm.target.location.country_or_region |
Direkt von dest_country oder ServerCountry zugeordnet. |
event.idm.read_only_udm.target.platform |
event.idm.read_only_udm.target.platform |
Nach der Normalisierung von asset_os zugeordnet. |
event.idm.read_only_udm.target.platform_version |
event.idm.read_only_udm.target.platform_version |
Direkt von os_version zugeordnet. |
event.idm.read_only_udm.target.port |
event.idm.read_only_udm.target.port |
Direkt aus event1.dport oder server_port zugeordnet und in eine Ganzzahl umgewandelt. |
event.idm.read_only_udm.target.resource.attribute.labels |
event.idm.read_only_udm.target.resource.attribute.labels |
Enthält verschiedene Labels basierend auf Parserlogik. |
event.idm.read_only_udm.target.url |
event.idm.read_only_udm.target.url |
Direkt von url oder URL zugeordnet. |
event.idm.read_only_udm.target.user.product_object_id |
event.idm.read_only_udm.target.user.product_object_id |
Direkt von uuid zugeordnet. |
event1.certificate_end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
Geparst und in einen Zeitstempel umgewandelt. |
event1.certificate_extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: „Extended Key Usage“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von event1.certificate_extended_key_usage |
Wird als zusätzliches Feld zugeordnet. |
event1.certificate_issuer_name |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
Direkt zugeordnet. |
event1.certificate_key_length |
event.idm.read_only_udm.additional.fields[].key: „Schlüssellänge“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von event1.certificate_key_length |
Wird als zusätzliches Feld zugeordnet. |
event1.certificate_key_usage |
event.idm.read_only_udm.additional.fields[].key: „Key Usage“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von event1.certificate_key_usage |
Wird als zusätzliches Feld zugeordnet. |
event1.certificate_start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
Geparst und in einen Zeitstempel umgewandelt. |
event1.certificate_subject_altname |
event.idm.read_only_udm.additional.fields[].key: „Certificate Alternate Name“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von event1.certificate_subject_altname |
Wird als zusätzliches Feld zugeordnet. |
event1.certificate_subject_name |
event.idm.read_only_udm.network.tls.client.certificate.subject |
Direkt zugeordnet. |
event1.client_asset_name |
event.idm.read_only_udm.principal.application |
Direkt zugeordnet. |
event1.client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: „client_asset_subnet“, event.idm.read_only_udm.additional.fields[].value.string_value: Wert von event1.client_asset_subnet |
Wird als zusätzliches Feld zugeordnet. |
event1.client_packet_count |
event.idm.read_only_udm.network.sent_bytes |
In eine vorzeichenlose Ganzzahl konvertiert und umbenannt. |
event1.cipher |
event.idm.read_only_udm.network.tls.cipher |
Direkt zugeordnet. |
event1.direction |
event.idm.read_only_udm.network.direction |
Wird zu „INBOUND“ zugeordnet, wenn „s2c“ und zu „OUTBOUND“, wenn „c2s“. |
| `event1.d |
Änderungen
2024-06-04
- Unterstützung für ein neues Muster von JSON-Protokollen hinzugefügt.
- „protocol“ wurde in „network.application_protocol“ geändert.
- „alert_type“ wurde auf „security_result.detection_fields“ zugeordnet.
2023-09-04
- Verbesserung –
- „event1.sld“ wurde „principal.hostname“ zugeordnet.
- „event1.sni“ wurde „target.hostname“ zugeordnet.
- „event1.src_ip6“ wurde „principal.ip“ zugeordnet.
- „event1.dst_ip6“ wurde „target.ip“ zugeordnet.
- „event1.sport“ wurde „principal.port“ zugeordnet.
- „event1.dport“ wurde auf „target.port“ zugeordnet.
- „event1.cipher“ wurde „network.tls.cipher“ zugeordnet.
- „event1.tproto“ wurde „network.ip_protocol“ zugeordnet.
- „event1.client_asset_name“ wurde „principal.application“ zugeordnet.
- „event1.direction“ wurde „network.direction“ zugeordnet.
- „event1.rel_sesid“ wurde „network.session_id“ zugeordnet.
- „event1.tls_ciphersuite“ wurde „network.tls.cipher“ zugeordnet.
- „event1.ja3sdigest“ wurde in „network.tls.server.ja3s“ umgewandelt.
- „event1.ja3digest“ wurde in „network.tls.client.ja3“ geändert.
- „event1.srvcerthash“ wurde auf „target.file.sha1“ zugeordnet.
- „event1.sha256“ wurde „target.file.sha256“ zugeordnet.
- „event1.md5“ wurde „target.file.md5“ zugeordnet.
- „event1.filetype“ wurde auf „target.file.mime_type“ zugeordnet.
- „event1.filesize“ wurde „target.file.size“ zugeordnet.
- „event1.certificate_issuer_name“ wurde „network.tls.client.certificate.issuer“ zugeordnet.
- „event1.certificate_subject_name“ wurde in „network.tls.client.certificate.subject“ geändert.
- „event1.certificate_start_date“ wurde in „network.tls.client.certificate.not_before“ umgewandelt.
- „event1.certificate_end_date“ wurde in „network.tls.client.certificate.not_after“ umgewandelt.
- „event1.client_packet_count“ wurde in „network.sent_bytes“ umgewandelt.
- „event1.server_packet_count“ wurde in „network.received_bytes“ umgewandelt.
- „event1.session_size“ wurde „network.session_duration.seconds“ zugeordnet.
- „event1.server_asset_subnet“ wurde „read_only_udm.additional.fields“ zugeordnet.
- „event1.client_asset_subnet“ wurde „read_only_udm.additional.fields“ zugeordnet.
- „event1.sha1hash“ wurde „read_only_udm.additional.fields“ zugeordnet.
- „event1.type“ wurde auf „read_only_udm.additional.fields“ zugeordnet.
- „event1.histbuf“ wurde in „read_only_udm.additional.fields“ geändert.
- „event1.sen_name“ wurde auf „read_only_udm.additional.fields“ zugeordnet.
- „event1.certificate_subject_altname“ wurde „read_only_udm.additional.fields“ zugeordnet.
- „event1.certificate_key_usage“ wurde „read_only_udm.additional.fields“ zugeordnet.
- „event1.certificate_key_length“ wurde „read_only_udm.additional.fields“ zugeordnet.
- „event1.certificate_extended_key_usage“ wurde „read_only_udm.additional.fields“ zugeordnet.
- „event1.version“ wurde in „network.tls.version“ geändert.
2023-05-19
- Verbesserung –
- „exe_richsignaturehash“, „exe_richsignaturepvhash“ und „alert_threat_score“ wurden in „security_result.detection_fields“ zugeordnet.