Coletar os registros do General Dynamics Fidelis XPS

Compatível com:

Este documento descreve como coletar os registros do XPS da General Dynamics Fidelis usando um forwarder de operações de segurança do Google.

Para mais informações, consulte Visão geral da transferência de dados para as operações de segurança do Google.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência FIDELIS_NETWORK.

Configurar o General Dynamics Fidelis XPS

  1. Faça login no CommandPost para gerenciar o dispositivo Fidelis XPS.
  2. Selecione Sistema > Exportar.
  3. Clique na guia Novo.
  4. Na lista Método de exportação, selecione ArcSight.
  5. No campo Destino, insira o endereço IP e o número da porta do servidor de encaminhamento do Google Security Operations, como 514.
  6. Na seção Exportar alertas, marque a caixa de seleção Todos.
  7. Na seção Frequência de exportação, marque a caixa de seleção A cada alerta.
  8. Na seção Transporte, marque a caixa de seleção UDP ou TCP.
  9. No campo Salvar como, insira um nome para a configuração de exportação.

  10. Na caixa Lista de colunas, mova as entradas na Lista de colunas para que elas apareçam na seguinte ordem:

    • TIME

    • AÇÃO

    • ALERTUUID

    • APPLICATION_USER

    • COMPONENTE

    • COMPR

    • DSTADDR

    • DSTPORT

    • FILENAME

    • FROM

    • GROUP

    • MALWARE NAME

    • TIPO DE MALWARE

    • MD5

    • POLICY

    • PROTO

    • REQUEST_METHOD

    • REQUEST_AGENT

    • REQUEST_URL

    • REGRA

    • SENIP

    • GRAVIDADE

    • SRCADDR

    • SRCPORT

    • RESUMO

    • TARGET

    • PARA

    • VIOLATION_INFO

    • VLAN_ID

    A versão 8.1 do Fidelis XPS apresenta outros dados que podem ser configurados para exportar novos dados. Os novos campos incluem REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO e VLAN_ID.

    VIOLATION_INFO inclui todos os dados da seção Violation information da página Alert detail. Esses dados incluem dados correspondentes que geram alertas. Ele também inclui todas as informações adicionais incluídas nos dados do feed quando esses dados correspondem. O VIOLATION_INFO pode ser grande. É necessário ativar o TCP ao usar esse recurso nas exportações do syslog.

  11. Selecione Sistema > Malware > Detecção de malware.

  12. Marque as caixas de seleção Mecanismo de detecção de malware e Política automática contra malware.

  13. Clique em Salvar.

Configurar o encaminhador do Google Security Operations para processar os registros da Fidelis Network

  1. Selecione Configurações do SIEM > Encaminhadores.
  2. Clique em Adicionar novo encaminhador.
  3. Insira um nome exclusivo no campo Nome do encaminhador.
  4. Clique em Enviar e em Confirmar. O encaminhador é adicionado, e a janela Add collector configuration aparece.
  5. No campo Nome do coletor, insira um nome exclusivo.
  6. Selecione Fidelis Network como o Tipo de registro.
  7. Selecione Syslog como o Tipo de coletor.
  8. Configure os seguintes parâmetros de entrada:
    • Protocolo: especifique o protocolo de conexão que o coletor usa para ouvir dados do syslog.
    • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
    • Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
  9. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte Gerenciar configurações de encaminhadores na interface do Google Security Operations.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte de operações de segurança do Google.

Referência do mapeamento de campo

Esse analisador processa os registros da Fidelis Network nos formatos SYSLOG, par de chave-valor e JSON, transformando-os em UDM. Ele extrai campos, processa várias estruturas de registro, mapeia para campos da UDM e enriquece eventos com rótulos como _is_alert e _is_significant com base em indicadores de gravidade e ameaça.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
aaction event.idm.read_only_udm.security_result.action_details Mapeado diretamente se não for "nenhum" ou uma string vazia.
alert_threat_score event.idm.read_only_udm.security_result.detection_fields[].key: "alert_threat_score", event.idm.read_only_udm.security_result.detection_fields[].value: valor de alert_threat_score Mapeado diretamente como um campo de detecção.
alert_type event.idm.read_only_udm.security_result.detection_fields[].key: "alert_type", event.idm.read_only_udm.security_result.detection_fields[].value: valor de alert_type Mapeado diretamente como um campo de detecção.
answers event.idm.read_only_udm.network.dns.answers[].data Mapeado diretamente para eventos de DNS.
application_user event.idm.read_only_udm.principal.user.userid Mapeado diretamente.
asset_os event.idm.read_only_udm.target.platform Normalizado como WINDOWS, LINUX, MAC ou UNKNOWN_PLATFORM.
certificate.end_date event.idm.read_only_udm.network.tls.client.certificate.not_after Analisado e convertido em carimbo de data/hora.
certificate.extended_key_usage event.idm.read_only_udm.additional.fields[].key: "Uso estendido de chave", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.extended_key_usage Mapeado como um campo extra.
certificate.issuer_name event.idm.read_only_udm.network.tls.server.certificate.issuer Mapeado diretamente.
certificate.key_length event.idm.read_only_udm.additional.fields[].key: "Comprimento da chave", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.key_length Mapeado como um campo extra.
certificate.key_usage event.idm.read_only_udm.additional.fields[].key: "Uso da chave", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.key_usage Mapeado como um campo extra.
certificate.start_date event.idm.read_only_udm.network.tls.client.certificate.not_before Analisado e convertido em carimbo de data/hora.
certificate.subject_altname event.idm.read_only_udm.additional.fields[].key: "Nome alternativo do certificado", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.subject_altname Mapeado como um campo extra.
certificate.subject_name event.idm.read_only_udm.network.tls.server.certificate.subject Mapeado diretamente.
certificate.type event.idm.read_only_udm.additional.fields[].key: "Certificate_Type", event.idm.read_only_udm.additional.fields[].value.string_value: valor de certificate.type Mapeado como um campo extra.
cipher event.idm.read_only_udm.network.tls.cipher Mapeado diretamente.
client_asset_name event.idm.read_only_udm.principal.application Mapeado diretamente.
client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: valor de client_asset_subnet Mapeado como um campo extra.
client_ip event.idm.read_only_udm.principal.ip Mapeado diretamente.
client_port event.idm.read_only_udm.principal.port Mapeado diretamente e convertido em número inteiro.
ClientIP event.idm.read_only_udm.principal.ip Mapeado diretamente.
ClientPort event.idm.read_only_udm.principal.port Mapeado diretamente e convertido em número inteiro.
ClientCountry event.idm.read_only_udm.principal.location.country_or_region Mapeado diretamente se não for "UNKNOWN" ou uma string vazia.
ClientAssetID event.idm.read_only_udm.principal.asset_id Prefixado com "Asset:" se não for "0" ou uma string vazia.
ClientAssetName event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetName", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de ClientAssetName Mapeado como um rótulo de recurso principal.
ClientAssetRole event.idm.read_only_udm.principal.asset.attribute.roles[].name Mapeado diretamente.
ClientAssetServices event.idm.read_only_udm.principal.resource.attribute.labels[].key: "ClientAssetServices", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de ClientAssetServices Mapeado como um rótulo de recurso principal.
Client event.idm.read_only_udm.principal.resource.attribute.labels[].key: "Cliente", event.idm.read_only_udm.principal.resource.attribute.labels[].value: valor de Client Mapeado como um rótulo de recurso principal.
Collector event.idm.read_only_udm.security_result.detection_fields[].key: "Collector", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Collector Mapeado como um campo de detecção.
command event.idm.read_only_udm.network.http.method Mapeado diretamente para eventos HTTP.
Command event.idm.read_only_udm.security_result.detection_fields[].key: "Command", event.idm.read_only_udm.security_result.detection_fields[].value: value of Command Mapeado como um campo de detecção.
Connection event.idm.read_only_udm.security_result.detection_fields[].key: "Conexão", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Connection Mapeado como um campo de detecção.
DecodingPath event.idm.read_only_udm.security_result.detection_fields[].key: "DecodingPath", event.idm.read_only_udm.security_result.detection_fields[].value: valor de DecodingPath Mapeado como um campo de detecção.
dest_country event.idm.read_only_udm.target.location.country_or_region Mapeado diretamente.
dest_domain event.idm.read_only_udm.target.hostname Mapeado diretamente.
dest_ip event.idm.read_only_udm.target.ip Mapeado diretamente.
dest_port event.idm.read_only_udm.target.port Mapeado diretamente e convertido em número inteiro.
Direction event.idm.read_only_udm.security_result.detection_fields[].key: "Direction", event.idm.read_only_udm.security_result.detection_fields[].value: value of Direction Mapeado como um campo de detecção.
dns.host event.idm.read_only_udm.network.dns.questions[].name Mapeado diretamente para eventos de DNS.
DomainName event.idm.read_only_udm.target.administrative_domain Mapeado diretamente.
DomainAlexaRank event.idm.read_only_udm.security_result.detection_fields[].key: "DomainAlexaRank", event.idm.read_only_udm.security_result.detection_fields[].value: value of DomainAlexaRank Mapeado como um campo de detecção.
dport event.idm.read_only_udm.target.port Mapeado e convertido diretamente em número inteiro.
dnsresolution.server_fqdn event.idm.read_only_udm.target.hostname Mapeado diretamente.
Duration event.idm.read_only_udm.security_result.detection_fields[].key: "Duration", event.idm.read_only_udm.security_result.detection_fields[].value: value of Duration Mapeado como um campo de detecção.
Encrypted event.idm.read_only_udm.security_result.detection_fields[].key: "Encrypted", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Encrypted Mapeado como um campo de detecção.
Entropy event.idm.read_only_udm.security_result.detection_fields[].key: "Entropy", event.idm.read_only_udm.security_result.detection_fields[].value: valor de Entropy Mapeado como um campo de detecção.
event.idm.is_alert event.idm.is_alert Defina como verdadeiro se a gravidade for "Crítica" ou se malware_type estiver presente, exceto para o rótulo "Threat Hunt".
event.idm.is_significant event.idm.is_significant Defina como verdadeiro se a gravidade for "Crítica" ou se malware_type estiver presente, exceto para o rótulo "Threat Hunt".
event.idm.read_only_udm.additional.fields event.idm.read_only_udm.additional.fields Contém vários campos adicionais com base na lógica do analisador.
event.idm.read_only_udm.metadata.description event.idm.read_only_udm.metadata.description Mapeado diretamente do campo summary.
event.idm.read_only_udm.metadata.event_type event.idm.read_only_udm.metadata.event_type Determinado com base em vários campos de registro e na lógica do analisador. Pode ser GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE, NETWORK_FLOW.
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type Defina como "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.product_name event.idm.read_only_udm.metadata.product_name Definido como "FIDELIS_NETWORK".
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Defina como "FIDELIS_NETWORK".
event.idm.read_only_udm.network.application_protocol event.idm.read_only_udm.network.application_protocol Determinado com base no campo server_port ou protocol. Pode ser HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS, AOLMAIL.
event.idm.read_only_udm.network.direction event.idm.read_only_udm.network.direction Determinado com base no campo direction ou nas palavras-chave em summary. Pode ser INBOUND ou OUTBOUND.
event.idm.read_only_udm.network.dns.answers event.idm.read_only_udm.network.dns.answers Preenchido para eventos de DNS.
event.idm.read_only_udm.network.dns.id event.idm.read_only_udm.network.dns.id Mapeado do campo number para eventos DNS.
event.idm.read_only_udm.network.dns.questions event.idm.read_only_udm.network.dns.questions Preenchido para eventos de DNS.
event.idm.read_only_udm.network.email.from event.idm.read_only_udm.network.email.from Mapeado diretamente de From se for um endereço de e-mail válido.
event.idm.read_only_udm.network.email.subject event.idm.read_only_udm.network.email.subject Mapeado diretamente de Subject.
event.idm.read_only_udm.network.email.to event.idm.read_only_udm.network.email.to Mapeado diretamente de To.
event.idm.read_only_udm.network.ftp.command event.idm.read_only_udm.network.ftp.command Mapeado diretamente de ftp.command.
event.idm.read_only_udm.network.http.method event.idm.read_only_udm.network.http.method Mapeado diretamente de http.command ou Command.
event.idm.read_only_udm.network.http.referral_url event.idm.read_only_udm.network.http.referral_url Mapeado diretamente de Referer.
event.idm.read_only_udm.network.http.response_code event.idm.read_only_udm.network.http.response_code Mapeado diretamente de http.status_code ou StatusCode e convertido em número inteiro.
event.idm.read_only_udm.network.http.user_agent event.idm.read_only_udm.network.http.user_agent Mapeado diretamente de http.useragent ou UserAgent.
event.idm.read_only_udm.network.ip_protocol event.idm.read_only_udm.network.ip_protocol Mapeado diretamente de tproto se for TCP ou UDP.
event.idm.read_only_udm.network.received_bytes event.idm.read_only_udm.network.received_bytes event1.server_packet_count foi renomeado e convertido em número inteiro sem sinal.
event.idm.read_only_udm.network.sent_bytes event.idm.read_only_udm.network.sent_bytes event1.client_packet_count foi renomeado e convertido em número inteiro sem sinal.
event.idm.read_only_udm.network.session_duration.seconds event.idm.read_only_udm.network.session_duration.seconds event1.session_size foi renomeado e convertido em número inteiro.
event.idm.read_only_udm.network.session_id event.idm.read_only_udm.network.session_id Mapeado diretamente de event1.rel_sesid ou UserSessionID.
event.idm.read_only_udm.network.tls.client.certificate.issuer event.idm.read_only_udm.network.tls.client.certificate.issuer Mapeado diretamente de event1.certificate_issuer_name.
event.idm.read_only_udm.network.tls.client.certificate.not_after event.idm.read_only_udm.network.tls.client.certificate.not_after Analisado de event1.certificate_end_date e convertido em carimbo de data/hora.
event.idm.read_only_udm.network.tls.client.certificate.not_before event.idm.read_only_udm.network.tls.client.certificate.not_before Analisado de event1.certificate_start_date e convertido em carimbo de data/hora.
event.idm.read_only_udm.network.tls.client.certificate.subject event.idm.read_only_udm.network.tls.client.certificate.subject Mapeado diretamente de event1.certificate_subject_name.
event.idm.read_only_udm.network.tls.client.ja3 event.idm.read_only_udm.network.tls.client.ja3 Mapeado diretamente de event1.ja3digest e convertido em string.
event.idm.read_only_udm.network.tls.cipher event.idm.read_only_udm.network.tls.cipher Mapeado diretamente de event1.cipher, CipherSuite, cipher ou event1.tls_ciphersuite.
event.idm.read_only_udm.network.tls.server.certificate.issuer event.idm.read_only_udm.network.tls.server.certificate.issuer Mapeado diretamente de certificate_issuer_name.
event.idm.read_only_udm.network.tls.server.certificate.subject event.idm.read_only_udm.network.tls.server.certificate.subject Mapeado diretamente de certificate_subject_name.
event.idm.read_only_udm.network.tls.server.ja3s event.idm.read_only_udm.network.tls.server.ja3s Mapeado diretamente de event1.ja3sdigest e convertido em string.
event.idm.read_only_udm.network.tls.version event.idm.read_only_udm.network.tls.version Mapeado diretamente de event1.version.
event.idm.read_only_udm.principal.application event.idm.read_only_udm.principal.application Mapeado diretamente de event1.client_asset_name.
event.idm.read_only_udm.principal.asset.attribute.roles[].name event.idm.read_only_udm.principal.asset.attribute.roles[].name Mapeado diretamente de ClientAssetRole.
event.idm.read_only_udm.principal.asset_id event.idm.read_only_udm.principal.asset_id Mapeado diretamente de ClientAssetID ou ServerAssetID (com o prefixo "Asset:").
event.idm.read_only_udm.principal.hostname event.idm.read_only_udm.principal.hostname Mapeado diretamente de event1.sld ou src_domain.
event.idm.read_only_udm.principal.ip event.idm.read_only_udm.principal.ip Mapeado diretamente de event1.src_ip6, client_ip ou ClientIP.
event.idm.read_only_udm.principal.location.country_or_region event.idm.read_only_udm.principal.location.country_or_region Mapeado diretamente de ClientCountry ou src_country, se não for "UNKNOWN" ou uma string vazia.
event.idm.read_only_udm.principal.port event.idm.read_only_udm.principal.port Mapeado diretamente de event1.sport ou client_port e convertido em número inteiro.
event.idm.read_only_udm.principal.resource.attribute.labels event.idm.read_only_udm.principal.resource.attribute.labels Contém vários rótulos com base na lógica do analisador.
event.idm.read_only_udm.principal.user.userid event.idm.read_only_udm.principal.user.userid Mapeado diretamente de ftp.user ou AppUser.
event.idm.read_only_udm.security_result.action event.idm.read_only_udm.security_result.action Determinado com base em severity. Pode ser ALLOW, BLOCK ou UNKNOWN_ACTION.
event.idm.read_only_udm.security_result.action_details event.idm.read_only_udm.security_result.action_details Mapeado diretamente de Action se não for "none" ou uma string vazia.
event.idm.read_only_udm.security_result.category event.idm.read_only_udm.security_result.category Definido como NETWORK_SUSPICIOUS se malware_type estiver presente.
event.idm.read_only_udm.security_result.detection_fields event.idm.read_only_udm.security_result.detection_fields Contém vários campos de detecção com base na lógica do analisador.
event.idm.read_only_udm.security_result.rule_name event.idm.read_only_udm.security_result.rule_name Mapeado diretamente de rule_name.
event.idm.read_only_udm.security_result.severity event.idm.read_only_udm.security_result.severity Determinado com base em severity. Pode ser INFORMATIVO, MÉDIO, ERRO ou CRÍTICO.
event.idm.read_only_udm.security_result.summary event.idm.read_only_udm.security_result.summary Mapeado diretamente de label.
event.idm.read_only_udm.security_result.threat_name event.idm.read_only_udm.security_result.threat_name Mapeado diretamente de malware_type ou analisado de summary se ele contiver "CVE-".
event.idm.read_only_udm.target.administrative_domain event.idm.read_only_udm.target.administrative_domain Mapeado diretamente de DomainName.
event.idm.read_only_udm.target.asset.attribute.roles[].name event.idm.read_only_udm.target.asset.attribute.roles[].name Mapeado diretamente de ServerAssetRole.
event.idm.read_only_udm.target.file.full_path event.idm.read_only_udm.target.file.full_path Mapeado diretamente de ftp.filename ou Filename.
event.idm.read_only_udm.target.file.md5 event.idm.read_only_udm.target.file.md5 Mapeado diretamente de event1.md5 ou md5.
event.idm.read_only_udm.target.file.mime_type event.idm.read_only_udm.target.file.mime_type Mapeado diretamente de event1.filetype.
event.idm.read_only_udm.target.file.sha1 event.idm.read_only_udm.target.file.sha1 Mapeado diretamente de event1.srvcerthash.
event.idm.read_only_udm.target.file.sha256 event.idm.read_only_udm.target.file.sha256 Mapeado diretamente de event1.sha256 ou sha256.
event.idm.read_only_udm.target.file.size event.idm.read_only_udm.target.file.size O nome event1.filesize foi renomeado e convertido em número inteiro sem sinal, se não for 0.
event.idm.read_only_udm.target.hostname event.idm.read_only_udm.target.hostname Mapeado diretamente de event1.sni, dest_domain ou Host.
event.idm.read_only_udm.target.ip event.idm.read_only_udm.target.ip Mapeado diretamente de event1.dst_ip6 ou server_ip ou ServerIP.
event.idm.read_only_udm.target.location.country_or_region event.idm.read_only_udm.target.location.country_or_region Mapeado diretamente de dest_country ou ServerCountry.
event.idm.read_only_udm.target.platform event.idm.read_only_udm.target.platform Mapeado de asset_os após a normalização.
event.idm.read_only_udm.target.platform_version event.idm.read_only_udm.target.platform_version Mapeado diretamente de os_version.
event.idm.read_only_udm.target.port event.idm.read_only_udm.target.port Mapeado diretamente de event1.dport ou server_port e convertido em número inteiro.
event.idm.read_only_udm.target.resource.attribute.labels event.idm.read_only_udm.target.resource.attribute.labels Contém vários rótulos com base na lógica do analisador.
event.idm.read_only_udm.target.url event.idm.read_only_udm.target.url Mapeado diretamente de url ou URL.
event.idm.read_only_udm.target.user.product_object_id event.idm.read_only_udm.target.user.product_object_id Mapeado diretamente de uuid.
event1.certificate_end_date event.idm.read_only_udm.network.tls.client.certificate.not_after Analisado e convertido em carimbo de data/hora.
event1.certificate_extended_key_usage event.idm.read_only_udm.additional.fields[].key: "Uso estendido de chave", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_extended_key_usage Mapeado como um campo extra.
event1.certificate_issuer_name event.idm.read_only_udm.network.tls.client.certificate.issuer Mapeado diretamente.
event1.certificate_key_length event.idm.read_only_udm.additional.fields[].key: "Comprimento da chave", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_key_length Mapeado como um campo extra.
event1.certificate_key_usage event.idm.read_only_udm.additional.fields[].key: "Uso da chave", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_key_usage Mapeado como um campo extra.
event1.certificate_start_date event.idm.read_only_udm.network.tls.client.certificate.not_before Analisado e convertido em carimbo de data/hora.
event1.certificate_subject_altname event.idm.read_only_udm.additional.fields[].key: "Nome alternativo do certificado", event.idm.read_only_udm.additional.fields[].value.string_value: valor de event1.certificate_subject_altname Mapeado como um campo extra.
event1.certificate_subject_name event.idm.read_only_udm.network.tls.client.certificate.subject Mapeado diretamente.
event1.client_asset_name event.idm.read_only_udm.principal.application Mapeado diretamente.
event1.client_asset_subnet event.idm.read_only_udm.additional.fields[].key: "client_asset_subnet", event.idm.read_only_udm.additional.fields[].value.string_value: value of event1.client_asset_subnet Mapeado como um campo extra.
event1.client_packet_count event.idm.read_only_udm.network.sent_bytes Convertido em número inteiro sem sinal e renomeado.
event1.cipher event.idm.read_only_udm.network.tls.cipher Mapeado diretamente.
event1.direction event.idm.read_only_udm.network.direction Mapeado para ENTRADA se "s2c" ou SAÍDA se "c2s".
`event1.d

Alterações

2024-06-04

  • Adição de suporte a um novo padrão de registros JSON.
  • "protocol" foi mapeado para "network.application_protocol".
  • "alert_type" foi associado a "security_result.detection_fields".

2023-09-04

  • Melhoria:
  • "event1.sld" foi mapeado para "principal.hostname".
  • "event1.sni" foi mapeado para "target.hostname".
  • "event1.src_ip6" foi mapeado para "principal.ip".
  • "event1.dst_ip6" foi mapeado para "target.ip".
  • "event1.sport" foi associado a "principal.port".
  • "event1.dport" foi mapeado para "target.port".
  • "event1.cipher" foi mapeado para "network.tls.cipher".
  • "event1.tproto" foi mapeado para "network.ip_protocol".
  • "event1.client_asset_name" foi associado a "principal.application".
  • Mapeamos "event1.direction" para "network.direction".
  • "event1.rel_sesid" foi mapeado para "network.session_id".
  • Mapeamos "event1.tls_ciphersuite" para "network.tls.cipher".
  • "event1.ja3sdigest" foi mapeado para "network.tls.server.ja3s".
  • "event1.ja3digest" foi associado a "network.tls.client.ja3".
  • "event1.srvcerthash" foi associado a "target.file.sha1".
  • "event1.sha256" foi associado a "target.file.sha256".
  • "event1.md5" foi associado a "target.file.md5".
  • "event1.filetype" foi associado a "target.file.mime_type".
  • "event1.filesize" foi associado a "target.file.size".
  • "event1.certificate_issuer_name" foi mapeado para "network.tls.client.certificate.issuer".
  • "event1.certificate_subject_name" foi associado a "network.tls.client.certificate.subject".
  • "event1.certificate_start_date" foi associado a "network.tls.client.certificate.not_before".
  • "event1.certificate_end_date" foi associado a "network.tls.client.certificate.not_after".
  • "event1.client_packet_count" foi associado a "network.sent_bytes".
  • "event1.server_packet_count" foi associado a "network.received_bytes".
  • "event1.session_size" foi associado a "network.session_duration.seconds".
  • "event1.server_asset_subnet" foi mapeado para "read_only_udm.additional.fields".
  • "event1.client_asset_subnet" foi associado a "read_only_udm.additional.fields".
  • "event1.sha1hash" foi associado a "read_only_udm.additional.fields".
  • "event1.type" foi associado a "read_only_udm.additional.fields".
  • "event1.histbuf" foi associado a "read_only_udm.additional.fields".
  • "event1.sen_name" foi associado a "read_only_udm.additional.fields".
  • "event1.certificate_subject_altname" foi mapeado para "read_only_udm.additional.fields".
  • "event1.certificate_key_usage" foi associado a "read_only_udm.additional.fields".
  • "event1.certificate_key_length" foi associado a "read_only_udm.additional.fields".
  • "event1.certificate_extended_key_usage" foi associado a "read_only_udm.additional.fields".
  • "event1.version" foi associado a "network.tls.version".

2023-05-19

  • Melhoria:
  • "exe_richsignaturehash", "exe_richsignaturepvhash" e "alert_threat_score" foram mapeados para "security_result.detection_fields".