General Dynamics Fidelis XPS のログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して General Dynamics Fidelis XPS のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル FIDELIS_NETWORK が付加されたパーサーに適用されます。
General Dynamics Fidelis XPS を構成する
- CommandPost にログインして Fidelis XPS アプライアンスを管理します。
- [システム] > [エクスポート] を選択します。
- [新規] タブをクリックします。
- [Export method] リストで [ArcSight] を選択します。
- [Destination] フィールドに、Google Security Operations 転送サーバー IP アドレスとポート番号(
514など)を入力します。 - [アラートをエクスポート] セクションで、[すべて] チェックボックスをオンにします。
- [エクスポート頻度] セクションで、[アラートごとに] チェックボックスをオンにします。
- [Transport] セクションで、[UDP] または [TCP] チェックボックスをオンにします。
- [名前を付けて保存] フィールドに、エクスポート構成の名前を入力します。
[列リスト] ボックスで、[列リスト] のエントリを移動して、次の順序で表示されるようにしてみます。
TIME
アクション
ALERTUUID
APPLICATION_USER
コンポーネント
COMPR
DSTADDR
DSTPORT
FILENAME
FROM
グループ
マルウェア名
マルウェアの種類
MD5
POLICY
PROTO
REQUEST_METHOD
REQUEST_AGENT
REQUEST_URL
RULE
SENIP
重大度
SRCADDR
SRCPORT
概要
訳文
TO
VIOLATION_INFO
VLAN_ID
Fidelis XPS バージョン 8.1 では、新しいデータをエクスポートするように構成できる追加データが導入されています。新しいフィールドには、REQUEST_METHOD、REQUEST_AGENT、REQUEST_URL、VIOLATION_INFO、VLAN_ID があります。
VIOLATION_INFO には、[アラートの詳細] ページの [違反情報] セクションのすべてのデータが含まれます。このデータには、アラートを生成する一致データが含まれます。また、フィードデータに含まれる追加情報も、そのデータが一致する場合は含まれます。VIOLATION_INFO のサイズは大きくなる可能性があります。Syslog エクスポートでこの機能を使用する場合は、TCP を有効にする必要があります。
[システム] > [マルウェア] > [マルウェアの検出] を選択します。
[マルウェア検出エンジン] チェックボックスと [マルウェア自動ポリシー] チェックボックスをオンにします。
[保存] をクリックします。
Fidelis Network ログを取り込むように Google Security Operations フォワーダーを構成する
- [SIEM の設定] > [転送元] を選択します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダーの名前] フィールドに一意の名前を入力します。
- [送信]、[確認] の順にクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに、コレクタの一意の名前を入力します。
- [Log type] で [Fidelis Network] を選択します。
- [Collector type] として [Syslog] を選択します。
- 次の入力パラメータを構成します。
- プロトコル: コレクタが syslog データをリッスンするために使用する接続プロトコルを指定します。
- Address: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- Port: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations UI でフォワーダー構成を管理するをご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、SYSLOG、Key-Value ペア、JSON 形式の Fidelis Network ログを処理し、UDM に変換します。フィールドを抽出し、さまざまなログ構造を処理し、UDM フィールドにマッピングします。また、重大度と脅威の指標に基づいて、_is_alert や _is_significant などのラベルでイベントを拡充します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
aaction |
event.idm.read_only_udm.security_result.action_details |
「none」または空の文字列でない場合、直接マッピングされます。 |
alert_threat_score |
event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score"、event.idm.read_only_udm.security_result.detection_fields[].value: alert_threat_score の値 |
検出フィールドとして直接マッピングされます。 |
alert_type |
event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type"、event.idm.read_only_udm.security_result.detection_fields[].value: alert_type の値 |
検出フィールドとして直接マッピングされます。 |
answers |
event.idm.read_only_udm.network.dns.answers[].data |
DNS イベントに直接マッピングされます。 |
application_user |
event.idm.read_only_udm.principal.user.userid |
直接マッピング。 |
asset_os |
event.idm.read_only_udm.target.platform |
WINDOWS、LINUX、MAC、UNKNOWN_PLATFORM に正規化されます。 |
certificate.end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
解析され、タイムスタンプに変換されます。 |
certificate.extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: 「Extended Key Usage」、event.idm.read_only_udm.additional.fields[].value.string_value: certificate.extended_key_usage の値 |
追加フィールドとしてマッピングされます。 |
certificate.issuer_name |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
直接マッピング。 |
certificate.key_length |
event.idm.read_only_udm.additional.fields[].key: 「Key Length」、event.idm.read_only_udm.additional.fields[].value.string_value: certificate.key_length の値 |
追加フィールドとしてマッピングされます。 |
certificate.key_usage |
event.idm.read_only_udm.additional.fields[].key: 「Key Usage」、event.idm.read_only_udm.additional.fields[].value.string_value: certificate.key_usage の値 |
追加フィールドとしてマッピングされます。 |
certificate.start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
解析され、タイムスタンプに変換されます。 |
certificate.subject_altname |
event.idm.read_only_udm.additional.fields[].key: 「Certificate Alternate Name」、event.idm.read_only_udm.additional.fields[].value.string_value: certificate.subject_altname の値 |
追加フィールドとしてマッピングされます。 |
certificate.subject_name |
event.idm.read_only_udm.network.tls.server.certificate.subject |
直接マッピング。 |
certificate.type |
event.idm.read_only_udm.additional.fields[].key: "Certificate_Type"、event.idm.read_only_udm.additional.fields[].value.string_value: certificate.type の値 |
追加フィールドとしてマッピングされます。 |
cipher |
event.idm.read_only_udm.network.tls.cipher |
直接マッピング。 |
client_asset_name |
event.idm.read_only_udm.principal.application |
直接マッピング。 |
client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: 「client_asset_subnet」、event.idm.read_only_udm.additional.fields[].value.string_value: client_asset_subnet の値 |
追加フィールドとしてマッピングされます。 |
client_ip |
event.idm.read_only_udm.principal.ip |
直接マッピング。 |
client_port |
event.idm.read_only_udm.principal.port |
直接マッピングされ、整数に変換されます。 |
ClientIP |
event.idm.read_only_udm.principal.ip |
直接マッピング。 |
ClientPort |
event.idm.read_only_udm.principal.port |
直接マッピングされ、整数に変換されます。 |
ClientCountry |
event.idm.read_only_udm.principal.location.country_or_region |
「UNKNOWN」または空の文字列でない場合、直接マッピングされます。 |
ClientAssetID |
event.idm.read_only_udm.principal.asset_id |
「0」または空の文字列でない場合、「Asset:」が先頭に付きます。 |
ClientAssetName |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: 「ClientAssetName」、event.idm.read_only_udm.principal.resource.attribute.labels[].value: ClientAssetName の値 |
プリンシパル リソースラベルとしてマッピングされます。 |
ClientAssetRole |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
直接マッピング。 |
ClientAssetServices |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: 「ClientAssetServices」、event.idm.read_only_udm.principal.resource.attribute.labels[].value: ClientAssetServices の値 |
プリンシパル リソースラベルとしてマッピングされます。 |
Client |
event.idm.read_only_udm.principal.resource.attribute.labels[].key: 「Client」、event.idm.read_only_udm.principal.resource.attribute.labels[].value: Client の値 |
プリンシパル リソースラベルとしてマッピングされます。 |
Collector |
event.idm.read_only_udm.security_result.detection_fields[].key: 「Collector」、event.idm.read_only_udm.security_result.detection_fields[].value: Collector の値 |
検出フィールドとしてマッピングされています。 |
command |
event.idm.read_only_udm.network.http.method |
HTTP イベントに直接マッピングされます。 |
Command |
event.idm.read_only_udm.security_result.detection_fields[].key: 「Command」、event.idm.read_only_udm.security_result.detection_fields[].value: Command の値 |
検出フィールドとしてマッピングされます。 |
Connection |
event.idm.read_only_udm.security_result.detection_fields[].key: 「Connection」、event.idm.read_only_udm.security_result.detection_fields[].value: Connection の値 |
検出フィールドとしてマッピングされます。 |
DecodingPath |
event.idm.read_only_udm.security_result.detection_fields[].key: 「DecodingPath」、event.idm.read_only_udm.security_result.detection_fields[].value: DecodingPath の値 |
検出フィールドとしてマッピングされます。 |
dest_country |
event.idm.read_only_udm.target.location.country_or_region |
直接マッピング。 |
dest_domain |
event.idm.read_only_udm.target.hostname |
直接マッピング。 |
dest_ip |
event.idm.read_only_udm.target.ip |
直接マッピング。 |
dest_port |
event.idm.read_only_udm.target.port |
直接マッピングされ、整数に変換されます。 |
Direction |
event.idm.read_only_udm.security_result.detection_fields[].key: 「Direction」、event.idm.read_only_udm.security_result.detection_fields[].value: Direction の値 |
検出フィールドとしてマッピングされています。 |
dns.host |
event.idm.read_only_udm.network.dns.questions[].name |
DNS イベントに直接マッピングされます。 |
DomainName |
event.idm.read_only_udm.target.administrative_domain |
直接マッピング。 |
DomainAlexaRank |
event.idm.read_only_udm.security_result.detection_fields[].key: 「DomainAlexaRank」、event.idm.read_only_udm.security_result.detection_fields[].value: DomainAlexaRank の値 |
検出フィールドとしてマッピングされます。 |
dport |
event.idm.read_only_udm.target.port |
直接マッピングされ、整数に変換されます。 |
dnsresolution.server_fqdn |
event.idm.read_only_udm.target.hostname |
直接マッピング。 |
Duration |
event.idm.read_only_udm.security_result.detection_fields[].key: 「Duration」、event.idm.read_only_udm.security_result.detection_fields[].value: Duration の値 |
検出フィールドとしてマッピングされています。 |
Encrypted |
event.idm.read_only_udm.security_result.detection_fields[].key: 「Encrypted」、event.idm.read_only_udm.security_result.detection_fields[].value: Encrypted の値 |
検出フィールドとしてマッピングされます。 |
Entropy |
event.idm.read_only_udm.security_result.detection_fields[].key: 「Entropy」、event.idm.read_only_udm.security_result.detection_fields[].value: Entropy の値 |
検出フィールドとしてマッピングされています。 |
event.idm.is_alert |
event.idm.is_alert |
重大度が重大または malware_type が存在する場合は true に設定します(「脅威の探索」ラベルを除く)。 |
event.idm.is_significant |
event.idm.is_significant |
重大度が重大または malware_type が存在する場合は true に設定します(「脅威の探索」ラベルを除く)。 |
event.idm.read_only_udm.additional.fields |
event.idm.read_only_udm.additional.fields |
パーサー ロジックに基づくさまざまな追加フィールドが含まれています。 |
event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
summary フィールドから直接マッピングされます。 |
event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
さまざまなログフィールドとパーサー ロジックに基づいて決定されます。GENERIC_EVENT、NETWORK_CONNECTION、NETWORK_HTTP、NETWORK_SMTP、NETWORK_DNS、STATUS_UPDATE、NETWORK_FLOW のいずれかです。 |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
「FIDELIS_NETWORK」に設定します。 |
event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
「FIDELIS_NETWORK」に設定します。 |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
「FIDELIS_NETWORK」に設定します。 |
event.idm.read_only_udm.network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
server_port フィールドまたは protocol フィールドに基づいて決定されます。HTTP、HTTPS、SMTP、SSH、RPC、DNS、NFS、AOLMAIL のいずれか。 |
event.idm.read_only_udm.network.direction |
event.idm.read_only_udm.network.direction |
direction フィールドまたは summary のキーワードに基づいて決定されます。INBOUND または OUTBOUND のいずれかです。 |
event.idm.read_only_udm.network.dns.answers |
event.idm.read_only_udm.network.dns.answers |
DNS イベントの場合に入力されます。 |
event.idm.read_only_udm.network.dns.id |
event.idm.read_only_udm.network.dns.id |
DNS イベントの number フィールドからマッピングされます。 |
event.idm.read_only_udm.network.dns.questions |
event.idm.read_only_udm.network.dns.questions |
DNS イベントの場合に入力されます。 |
event.idm.read_only_udm.network.email.from |
event.idm.read_only_udm.network.email.from |
有効なメールアドレスの場合は、From から直接マッピングされます。 |
event.idm.read_only_udm.network.email.subject |
event.idm.read_only_udm.network.email.subject |
Subject から直接マッピングされます。 |
event.idm.read_only_udm.network.email.to |
event.idm.read_only_udm.network.email.to |
To から直接マッピングされます。 |
event.idm.read_only_udm.network.ftp.command |
event.idm.read_only_udm.network.ftp.command |
ftp.command から直接マッピングされます。 |
event.idm.read_only_udm.network.http.method |
event.idm.read_only_udm.network.http.method |
http.command または Command から直接マッピングされます。 |
event.idm.read_only_udm.network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
Referer から直接マッピングされます。 |
event.idm.read_only_udm.network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
http.status_code または StatusCode から直接マッピングされ、整数に変換されます。 |
event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
http.useragent または UserAgent から直接マッピングされます。 |
event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
TCP または UDP の場合は、tproto から直接マッピングされます。 |
event.idm.read_only_udm.network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
event1.server_packet_count から名前を変更し、符号なし整数に変換しました。 |
event.idm.read_only_udm.network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
event1.client_packet_count から名前を変更し、符号なし整数に変換しました。 |
event.idm.read_only_udm.network.session_duration.seconds |
event.idm.read_only_udm.network.session_duration.seconds |
event1.session_size から名前を変更し、整数に変換しました。 |
event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
event1.rel_sesid または UserSessionID から直接マッピングされます。 |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
event1.certificate_issuer_name から直接マッピングされます。 |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
event1.certificate_end_date から解析され、タイムスタンプに変換されます。 |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
event1.certificate_start_date から解析され、タイムスタンプに変換されます。 |
event.idm.read_only_udm.network.tls.client.certificate.subject |
event.idm.read_only_udm.network.tls.client.certificate.subject |
event1.certificate_subject_name から直接マッピングされます。 |
event.idm.read_only_udm.network.tls.client.ja3 |
event.idm.read_only_udm.network.tls.client.ja3 |
event1.ja3digest から直接マッピングされ、文字列に変換されます。 |
event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
event1.cipher、CipherSuite、cipher、event1.tls_ciphersuite から直接マッピングされます。 |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
certificate_issuer_name から直接マッピングされます。 |
event.idm.read_only_udm.network.tls.server.certificate.subject |
event.idm.read_only_udm.network.tls.server.certificate.subject |
certificate_subject_name から直接マッピングされます。 |
event.idm.read_only_udm.network.tls.server.ja3s |
event.idm.read_only_udm.network.tls.server.ja3s |
event1.ja3sdigest から直接マッピングされ、文字列に変換されます。 |
event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
event1.version から直接マッピングされます。 |
event.idm.read_only_udm.principal.application |
event.idm.read_only_udm.principal.application |
event1.client_asset_name から直接マッピングされます。 |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
ClientAssetRole から直接マッピングされます。 |
event.idm.read_only_udm.principal.asset_id |
event.idm.read_only_udm.principal.asset_id |
ClientAssetID または ServerAssetID から直接マッピングされます(先頭に「Asset:」が付きます)。 |
event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
event1.sld または src_domain から直接マッピングされます。 |
event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
event1.src_ip6、client_ip、ClientIP から直接マッピングされます。 |
event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
「UNKNOWN」または空の文字列でない場合、ClientCountry または src_country から直接マッピングされます。 |
event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
event1.sport または client_port から直接マッピングされ、整数に変換されます。 |
event.idm.read_only_udm.principal.resource.attribute.labels |
event.idm.read_only_udm.principal.resource.attribute.labels |
パーサー ロジックに基づくさまざまなラベルが含まれています。 |
event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
ftp.user または AppUser から直接マッピングされます。 |
event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
severity に基づいて決定されます。ALLOW、BLOCK、UNKNOWN_ACTION のいずれかです。 |
event.idm.read_only_udm.security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
「none」または空の文字列でない場合、Action から直接マッピングされます。 |
event.idm.read_only_udm.security_result.category |
event.idm.read_only_udm.security_result.category |
malware_type が存在する場合は NETWORK_SUSPICIOUS に設定します。 |
event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
パーサー ロジックに基づくさまざまな検出フィールドが含まれます。 |
event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
rule_name から直接マッピングされます。 |
event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
severity に基づいて決定されます。INFORMATIONAL、MEDIUM、ERROR、CRITICAL のいずれかです。 |
event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
label から直接マッピングされます。 |
event.idm.read_only_udm.security_result.threat_name |
event.idm.read_only_udm.security_result.threat_name |
malware_type から直接マッピングされるか、summary に「CVE-」が含まれている場合は summary から解析されます。 |
event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
DomainName から直接マッピングされます。 |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
ServerAssetRole から直接マッピングされます。 |
event.idm.read_only_udm.target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
ftp.filename または Filename から直接マッピングされます。 |
event.idm.read_only_udm.target.file.md5 |
event.idm.read_only_udm.target.file.md5 |
event1.md5 または md5 から直接マッピングされます。 |
event.idm.read_only_udm.target.file.mime_type |
event.idm.read_only_udm.target.file.mime_type |
event1.filetype から直接マッピングされます。 |
event.idm.read_only_udm.target.file.sha1 |
event.idm.read_only_udm.target.file.sha1 |
event1.srvcerthash から直接マッピングされます。 |
event.idm.read_only_udm.target.file.sha256 |
event.idm.read_only_udm.target.file.sha256 |
event1.sha256 または sha256 から直接マッピングされます。 |
event.idm.read_only_udm.target.file.size |
event.idm.read_only_udm.target.file.size |
event1.filesize から名前を変更し、0 でない場合、符号なし整数に変換しました。 |
event.idm.read_only_udm.target.hostname |
event.idm.read_only_udm.target.hostname |
event1.sni、dest_domain、Host から直接マッピングされます。 |
event.idm.read_only_udm.target.ip |
event.idm.read_only_udm.target.ip |
event1.dst_ip6、server_ip、ServerIP から直接マッピングされます。 |
event.idm.read_only_udm.target.location.country_or_region |
event.idm.read_only_udm.target.location.country_or_region |
dest_country または ServerCountry から直接マッピングされます。 |
event.idm.read_only_udm.target.platform |
event.idm.read_only_udm.target.platform |
正規化後に asset_os からマッピングされます。 |
event.idm.read_only_udm.target.platform_version |
event.idm.read_only_udm.target.platform_version |
os_version から直接マッピングされます。 |
event.idm.read_only_udm.target.port |
event.idm.read_only_udm.target.port |
event1.dport または server_port から直接マッピングされ、整数に変換されます。 |
event.idm.read_only_udm.target.resource.attribute.labels |
event.idm.read_only_udm.target.resource.attribute.labels |
パーサー ロジックに基づくさまざまなラベルが含まれています。 |
event.idm.read_only_udm.target.url |
event.idm.read_only_udm.target.url |
url または URL から直接マッピングされます。 |
event.idm.read_only_udm.target.user.product_object_id |
event.idm.read_only_udm.target.user.product_object_id |
uuid から直接マッピングされます。 |
event1.certificate_end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
解析され、タイムスタンプに変換されます。 |
event1.certificate_extended_key_usage |
event.idm.read_only_udm.additional.fields[].key: 「Extended Key Usage」、event.idm.read_only_udm.additional.fields[].value.string_value: event1.certificate_extended_key_usage の値 |
追加フィールドとしてマッピングされます。 |
event1.certificate_issuer_name |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
直接マッピング。 |
event1.certificate_key_length |
event.idm.read_only_udm.additional.fields[].key: 「Key Length」、event.idm.read_only_udm.additional.fields[].value.string_value: event1.certificate_key_length の値 |
追加フィールドとしてマッピングされます。 |
event1.certificate_key_usage |
event.idm.read_only_udm.additional.fields[].key: 「Key Usage」、event.idm.read_only_udm.additional.fields[].value.string_value: event1.certificate_key_usage の値 |
追加フィールドとしてマッピングされます。 |
event1.certificate_start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
解析され、タイムスタンプに変換されます。 |
event1.certificate_subject_altname |
event.idm.read_only_udm.additional.fields[].key: 「Certificate Alternate Name」、event.idm.read_only_udm.additional.fields[].value.string_value: event1.certificate_subject_altname の値 |
追加フィールドとしてマッピングされます。 |
event1.certificate_subject_name |
event.idm.read_only_udm.network.tls.client.certificate.subject |
直接マッピング。 |
event1.client_asset_name |
event.idm.read_only_udm.principal.application |
直接マッピング。 |
event1.client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key: 「client_asset_subnet」、event.idm.read_only_udm.additional.fields[].value.string_value: event1.client_asset_subnet の値 |
追加フィールドとしてマッピングされます。 |
event1.client_packet_count |
event.idm.read_only_udm.network.sent_bytes |
符号なし整数に変換され、名前が変更されました。 |
event1.cipher |
event.idm.read_only_udm.network.tls.cipher |
直接マッピング。 |
event1.direction |
event.idm.read_only_udm.network.direction |
「s2c」の場合は INBOUND、「c2s」の場合は OUTBOUND にマッピングされます。 |
| event1.d |
変更点
2024-06-04
- JSON ログの新しいパターンのサポートを追加しました。
- 「protocol」を「network.application_protocol」にマッピングしました。
- 「alert_type」を「security_result.detection_fields」にマッピングしました。
2023-09-04
- 機能強化 -
- 「event1.sld」を「principal.hostname」にマッピングしました。
- 「event1.sni」を「target.hostname」にマッピングしました。
- 「event1.src_ip6」を「principal.ip」にマッピングしました。
- 「event1.dst_ip6」を「target.ip」にマッピングしました。
- 「event1.sport」を「principal.port」にマッピングしました。
- 「event1.dport」を「target.port」にマッピングしました。
- 「event1.cipher」を「network.tls.cipher」にマッピングしました。
- 「event1.tproto」を「network.ip_protocol」にマッピングしました。
- 「event1.client_asset_name」を「principal.application」にマッピングしました。
- 「event1.direction」を「network.direction」にマッピングしました。
- 「event1.rel_sesid」を「network.session_id」にマッピングしました。
- 「event1.tls_ciphersuite」を「network.tls.cipher」にマッピングしました。
- 「event1.ja3sdigest」を「network.tls.server.ja3s」にマッピングしました。
- 「event1.ja3digest」を「network.tls.client.ja3」にマッピングしました。
- 「event1.srvcerthash」を「target.file.sha1」にマッピングしました。
- 「event1.sha256」を「target.file.sha256」にマッピングしました。
- 「event1.md5」を「target.file.md5」にマッピングしました。
- 「event1.filetype」を「target.file.mime_type」にマッピングしました。
- 「event1.filesize」を「target.file.size」にマッピングしました。
- 「event1.certificate_issuer_name」を「network.tls.client.certificate.issuer」にマッピングしました。
- 「event1.certificate_subject_name」を「network.tls.client.certificate.subject」にマッピングしました。
- 「event1.certificate_start_date」を「network.tls.client.certificate.not_before」にマッピングしました。
- 「event1.certificate_end_date」を「network.tls.client.certificate.not_after」にマッピングしました。
- 「event1.client_packet_count」を「network.sent_bytes」にマッピングしました。
- 「event1.server_packet_count」を「network.received_bytes」にマッピングしました。
- 「event1.session_size」を「network.session_duration.seconds」にマッピングしました。
- 「event1.server_asset_subnet」を「read_only_udm.additional.fields」にマッピングしました。
- 「event1.client_asset_subnet」を「read_only_udm.additional.fields」にマッピングしました。
- 「event1.sha1hash」を「read_only_udm.additional.fields」にマッピングしました。
- 「event1.type」を「read_only_udm.additional.fields」にマッピングしました。
- 「event1.histbuf」を「read_only_udm.additional.fields」にマッピングしました。
- 「event1.sen_name」を「read_only_udm.additional.fields」にマッピングしました。
- 「event1.certificate_subject_altname」を「read_only_udm.additional.fields」にマッピングしました。
- 「event1.certificate_key_usage」を「read_only_udm.additional.fields」にマッピングしました。
- 「event1.certificate_key_length」を「read_only_udm.additional.fields」にマッピングしました。
- 「event1.certificate_extended_key_usage」を「read_only_udm.additional.fields」にマッピングしました。
- 「event1.version」を「network.tls.version」にマッピングしました。
2023-05-19
- 機能強化 -
- 「exe_richsignaturehash」、「exe_richsignaturepvhash」、「alert_threat_score」を「security_result.detection_fields」にマッピングしました。