Collecter les journaux General Dynamics Fidelis XPS

Ce document explique comment collecter les journaux XPS de General Dynamics Fidelis à l'aide d'un transfert Google Security Operations.

Pour en savoir plus, consultez la section Présentation de l'ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion FIDELIS_NETWORK.

Configurer General Dynamics Fidelis XPS

1. Connectez-vous à CommandPost pour gérer votre appareil Fidelis XPS.
2. Sélectionnez Système > Exporter.
3. Cliquez sur l'onglet Nouveau.
4. Dans la liste Export method (Méthode d'exportation), sélectionnez ArcSight.
5. Dans le champ Destination, saisissez l'adresse IP et le numéro de port du serveur de transfert Google Security Operations, par exemple 514.
6. Dans la section Exporter les alertes, cochez la case Tout.
7. Dans la section Fréquence d'exportation, cochez la case À chaque alerte.
8. Dans la section Transport, cochez la case UDP ou TCP.
9. Dans le champ Enregistrer sous, saisissez un nom pour la configuration d'exportation.

10. Dans la zone Liste des colonnes, déplacez les entrées de la Liste des colonnes afin qu'elles apparaissent dans l'ordre suivant:

    • TIME

    • ACTION

    • ALERTUUID

    • APPLICATION_USER

    • COMPOSANT

    • COMPR

    • DSTADDR

    • DSTPORT

    • FILENAME

    • FROM

    • GROUP

    • NOM DU LOGICIEL MALIN

    • TYPE DE MALWARE

    • MD5

    • POLICY

    • PROTO

    • REQUEST_METHOD

    • REQUEST_AGENT

    • REQUEST_URL

    • RULE

    • SENIP

    • SÉVÉRITÉ

    • SRCADDR

    • SRCPORT

    • RÉSUMÉ

    • TARGET

    • À

    • VIOLATION_INFO

    • VLAN_ID

    La version 8.1 de Fidelis XPS introduit des données supplémentaires que vous pouvez configurer pour exporter de nouvelles données. Les nouveaux champs incluent REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO et VLAN_ID.

    VIOLATION_INFO inclut toutes les données de la section Informations sur l'infraction de la page Détails de l'alerte. Ces données incluent les données correspondantes qui génèrent une alerte. Il comprend également toutes les informations supplémentaires incluses dans les données du flux lorsque ces données correspondent. La valeur VIOLATION_INFO peut être volumineuse. Vous devez activer le protocole TCP lorsque vous utilisez cette fonctionnalité dans les exportations syslog.

11. Sélectionnez Système > Logiciels malveillants > Détection de logiciels malveillants.

12. Cochez les cases Moteur de détection des logiciels malveillants et Règle automatique concernant les logiciels malveillants.

13. Cliquez sur Enregistrer.

Configurer le transfert Google Security Operations pour ingérer les journaux du réseau Fidelis

1. Sélectionnez Paramètres du SIEM > Transferts.
2. Cliquez sur Ajouter un forwarder.
3. Saisissez un nom unique dans le champ Nom du transmettant.
4. Cliquez sur Envoyer, puis sur Confirmer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
5. Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
6. Sélectionnez Fidelis Network comme type de journal.
7. Sélectionnez Syslog comme type de collecteur.
8. Configurez les paramètres d'entrée suivants :
   • Protocole: spécifiez le protocole de connexion utilisé par le collecteur pour écouter les données syslog.
   • Address (Adresse) : spécifiez l'adresse IP ou le nom d'hôte cible où se trouve le collecteur et où il écoute les données syslog.
   • Port: spécifiez le port cible sur lequel se trouve le collecteur et qui écoute les données syslog.
9. Cliquez sur Envoyer.

Pour en savoir plus sur les transferts Google Security Operations, consultez Gérer les configurations de transfert via l'interface utilisateur de Google Security Operations.

Si vous rencontrez des problèmes lors de la création de transmetteurs, contactez l'assistance Google Security Operations.

Référence de mappage de champ

Cet analyseur traite les journaux Fidelis Network au format SYSLOG, paire clé-valeur et JSON, et les transforme en UDM. Il extrait des champs, gère différentes structures de journaux, mappe des champs UDM et enrichit les événements avec des libellés tels que _is_alert et _is_significant en fonction des indicateurs de gravité et de menace.

Tableau de mappage UDM

Modifications

2024-06-04

• Prise en charge d'un nouveau format de journaux JSON.
• Mappage de "protocol" sur "network.application_protocol".
• "alert_type" a été mappé sur "security_result.detection_fields".

2023-09-04

• Amélioration :
• "event1.sld" a été mappé sur "principal.hostname".
• "event1.sni" a été mappé sur "target.hostname".
• Mappage de "event1.src_ip6" sur "principal.ip".
• Mappage de "event1.dst_ip6" sur "target.ip".
• "event1.sport" a été mappé sur "principal.port".
• "event1.dport" a été mappé sur "target.port".
• Mappage de "event1.cipher" sur "network.tls.cipher".
• "event1.tproto" a été mappé sur "network.ip_protocol".
• "event1.client_asset_name" a été mappé sur "principal.application".
• Mappage de "event1.direction" sur "network.direction".
• Mappage de "event1.rel_sesid" sur "network.session_id".
• "event1.tls_ciphersuite" a été mappé sur "network.tls.cipher".
• "event1.ja3sdigest" a été mappé sur "network.tls.server.ja3s".
• "event1.ja3digest" a été mappé sur "network.tls.client.ja3".
• Mappage de "event1.srvcerthash" sur "target.file.sha1".
• "event1.sha256" a été mappé sur "target.file.sha256".
• "event1.md5" a été mappé sur "target.file.md5".
• "event1.filetype" a été mappé sur "target.file.mime_type".
• "event1.filesize" a été mappé sur "target.file.size".
• "event1.certificate_issuer_name" a été mappé sur "network.tls.client.certificate.issuer".
• Mappage de "event1.certificate_subject_name" sur "network.tls.client.certificate.subject".
• "event1.certificate_start_date" a été mappé sur "network.tls.client.certificate.not_before".
• "event1.certificate_end_date" a été mappé sur "network.tls.client.certificate.not_after".
• "event1.client_packet_count" a été mappé sur "network.sent_bytes".
• "event1.server_packet_count" a été mappé sur "network.received_bytes".
• "event1.session_size" a été mappé sur "network.session_duration.seconds".
• "event1.server_asset_subnet" a été mappé sur "read_only_udm.additional.fields".
• "event1.client_asset_subnet" a été mappé sur "read_only_udm.additional.fields".
• "event1.sha1hash" a été mappé sur "read_only_udm.additional.fields".
• "event1.type" a été mappé sur "read_only_udm.additional.fields".
• "event1.histbuf" a été mappé sur "read_only_udm.additional.fields".
• "event1.sen_name" a été mappé sur "read_only_udm.additional.fields".
• Mappage de "event1.certificate_subject_altname" sur "read_only_udm.additional.fields".
• Mappage de "event1.certificate_key_usage" sur "read_only_udm.additional.fields".
• Mappage de "event1.certificate_key_length" sur "read_only_udm.additional.fields".
• Mappage de "event1.certificate_extended_key_usage" sur "read_only_udm.additional.fields".
• Mappage de "event1.version" sur "network.tls.version".

2023-05-19

• Amélioration :
• Mappage de "exe_richsignaturehash", "exe_richsignaturepvhash" et "alert_threat_score" sur "security_result.detection_fields".