收集 General Dynamics Fidelis XPS 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Google 安全运营转发器收集 General Dynamics Fidelis XPS 日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心概览。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 FIDELIS_NETWORK 注入标签的解析器。
配置 General Dynamics Fidelis XPS
- 登录 CommandPost 以管理 Fidelis XPS 设备。
- 依次选择系统 > 导出。
- 点击新建标签页。
- 在导出方法列表中,选择 ArcSight。
- 在目标字段中,输入 Google Security Operations 转发器服务器 IP 地址和端口号,例如
514。 - 在导出提醒部分中,选中全部复选框。
- 在导出频率部分,选中每次收到提醒复选框。
- 在传输部分中,选中 UDP 或 TCP 复选框。
- 在另存为字段中,输入导出配置的名称。
在列表框中,移动列表中的条目,使其按以下顺序显示:
TIME
操作
ALERTUUID
APPLICATION_USER
组件
COMPR
DSTADDR
DSTPORT
FILENAME
FROM
GROUP
MALWARE NAME
恶意软件类型
MD5
POLICY
PROTO
REQUEST_METHOD
REQUEST_AGENT
REQUEST_URL
规则
SENIP
SEVERITY
SRCADDR
SRCPORT
摘要
TARGET
收件人
VIOLATION_INFO
VLAN_ID
Fidelis XPS 8.1 版引入了额外的数据,您可以配置这些数据以导出新数据。新字段包括 REQUEST_METHOD、REQUEST_AGENT、REQUEST_网址、VIOLATION_INFO 和 VLAN_ID。
VIOLATION_INFO 包含提醒详情页面违规信息部分中的所有数据。这些数据包括生成提醒的匹配数据。它还包含 Feed 数据中包含的任何其他信息(如果数据匹配)。VIOLATION_INFO 的大小可能会很大。在 syslog 导出中使用此功能时,您必须启用 TCP。
依次选择系统 > 恶意软件 > 恶意软件检测。
选中恶意软件检测引擎和自动恶意软件政策复选框。
点击保存。
配置 Google Security Operations 转发器以注入 Fidelis Network 日志
- 依次选择 SIEM 设置 > 转发器。
- 点击添加新转发器。
- 在转发器名称字段中输入一个唯一名称。
- 点击提交,然后点击确认。系统会添加转发器,并显示添加收集器配置窗口。
- 在收集器名称字段中,为收集器输入一个唯一名称。
- 选择 Fidelis Network 作为日志类型。
- 选择 Syslog 作为收集器类型。
- 配置以下输入参数:
- 协议:指定收集器用于监听 syslog 数据的连接协议。
- 地址:指定收集器所在的位置并监听 syslog 数据的目标 IP 地址或主机名。
- 端口:指定收集器所在的目标端口,以及收集器监听 syslog 数据的端口。
- 点击提交。
如需详细了解 Google Security Operations 转发器,请参阅通过 Google Security Operations 界面管理转发器配置。
如果您在创建转发器时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考文档
此解析器会处理 SYSLOG、键值对和 JSON 格式的 Fidelis Network 日志,并将其转换为 UDM。它会提取字段、处理各种日志结构、映射到 UDM 字段,并根据严重程度和威胁指标使用 _is_alert 和 _is_significant 等标签丰富事件。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
aaction |
event.idm.read_only_udm.security_result.action_details |
如果不是“none”或空字符串,则直接映射。 |
alert_threat_score |
event.idm.read_only_udm.security_result.detection_fields[].key:“alert_threat_score”,event.idm.read_only_udm.security_result.detection_fields[].value:alert_threat_score 的值 |
直接映射为检测字段。 |
alert_type |
event.idm.read_only_udm.security_result.detection_fields[].key:“alert_type”,event.idm.read_only_udm.security_result.detection_fields[].value:alert_type 的值 |
直接映射为检测字段。 |
answers |
event.idm.read_only_udm.network.dns.answers[].data |
对于 DNS 事件,直接映射。 |
application_user |
event.idm.read_only_udm.principal.user.userid |
直接映射。 |
asset_os |
event.idm.read_only_udm.target.platform |
已标准化为 WINDOWS、LINUX、MAC 或 UNKNOWN_PLATFORM。 |
certificate.end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
已解析并转换为时间戳。 |
certificate.extended_key_usage |
event.idm.read_only_udm.additional.fields[].key:“扩展密钥用途”,event.idm.read_only_udm.additional.fields[].value.string_value:certificate.extended_key_usage 的值 |
映射为其他字段。 |
certificate.issuer_name |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
直接映射。 |
certificate.key_length |
event.idm.read_only_udm.additional.fields[].key:“密钥长度”,event.idm.read_only_udm.additional.fields[].value.string_value:certificate.key_length 的值 |
映射为其他字段。 |
certificate.key_usage |
event.idm.read_only_udm.additional.fields[].key:“Key Usage”(密钥用途),event.idm.read_only_udm.additional.fields[].value.string_value:certificate.key_usage 的值 |
映射为其他字段。 |
certificate.start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
已解析并转换为时间戳。 |
certificate.subject_altname |
event.idm.read_only_udm.additional.fields[].key:“证书备用名称”,event.idm.read_only_udm.additional.fields[].value.string_value:certificate.subject_altname 的值 |
映射为其他字段。 |
certificate.subject_name |
event.idm.read_only_udm.network.tls.server.certificate.subject |
直接映射。 |
certificate.type |
event.idm.read_only_udm.additional.fields[].key:“Certificate_Type”,event.idm.read_only_udm.additional.fields[].value.string_value:certificate.type 的值 |
映射为其他字段。 |
cipher |
event.idm.read_only_udm.network.tls.cipher |
直接映射。 |
client_asset_name |
event.idm.read_only_udm.principal.application |
直接映射。 |
client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key:“client_asset_subnet”,event.idm.read_only_udm.additional.fields[].value.string_value:client_asset_subnet 的值 |
映射为其他字段。 |
client_ip |
event.idm.read_only_udm.principal.ip |
直接映射。 |
client_port |
event.idm.read_only_udm.principal.port |
直接映射并转换为整数。 |
ClientIP |
event.idm.read_only_udm.principal.ip |
直接映射。 |
ClientPort |
event.idm.read_only_udm.principal.port |
直接映射并转换为整数。 |
ClientCountry |
event.idm.read_only_udm.principal.location.country_or_region |
如果不是“UNKNOWN”或空字符串,则直接映射。 |
ClientAssetID |
event.idm.read_only_udm.principal.asset_id |
如果不为“0”或空字符串,则前面会带有“Asset:”。 |
ClientAssetName |
event.idm.read_only_udm.principal.resource.attribute.labels[].key:“ClientAssetName”,event.idm.read_only_udm.principal.resource.attribute.labels[].value:ClientAssetName 的值 |
映射为主要资源标签。 |
ClientAssetRole |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
直接映射。 |
ClientAssetServices |
event.idm.read_only_udm.principal.resource.attribute.labels[].key:“ClientAssetServices”,event.idm.read_only_udm.principal.resource.attribute.labels[].value:ClientAssetServices 的值 |
映射为主要资源标签。 |
Client |
event.idm.read_only_udm.principal.resource.attribute.labels[].key:“客户端”,event.idm.read_only_udm.principal.resource.attribute.labels[].value:Client 的值 |
映射为主要资源标签。 |
Collector |
event.idm.read_only_udm.security_result.detection_fields[].key:“Collector”,event.idm.read_only_udm.security_result.detection_fields[].value:Collector 的值 |
映射为检测字段。 |
command |
event.idm.read_only_udm.network.http.method |
直接映射到 HTTP 事件。 |
Command |
event.idm.read_only_udm.security_result.detection_fields[].key:“Command”,event.idm.read_only_udm.security_result.detection_fields[].value:Command 的值 |
映射为检测字段。 |
Connection |
event.idm.read_only_udm.security_result.detection_fields[].key:“连接”,event.idm.read_only_udm.security_result.detection_fields[].value:Connection 的值 |
已映射为检测字段。 |
DecodingPath |
event.idm.read_only_udm.security_result.detection_fields[].key:“DecodingPath”,event.idm.read_only_udm.security_result.detection_fields[].value:DecodingPath 的值 |
已映射为检测字段。 |
dest_country |
event.idm.read_only_udm.target.location.country_or_region |
直接映射。 |
dest_domain |
event.idm.read_only_udm.target.hostname |
直接映射。 |
dest_ip |
event.idm.read_only_udm.target.ip |
直接映射。 |
dest_port |
event.idm.read_only_udm.target.port |
直接映射并转换为整数。 |
Direction |
event.idm.read_only_udm.security_result.detection_fields[].key:“方向”,event.idm.read_only_udm.security_result.detection_fields[].value:Direction 的值 |
映射为检测字段。 |
dns.host |
event.idm.read_only_udm.network.dns.questions[].name |
对于 DNS 事件,直接映射。 |
DomainName |
event.idm.read_only_udm.target.administrative_domain |
直接映射。 |
DomainAlexaRank |
event.idm.read_only_udm.security_result.detection_fields[].key:“DomainAlexaRank”,event.idm.read_only_udm.security_result.detection_fields[].value:DomainAlexaRank 的值 |
已映射为检测字段。 |
dport |
event.idm.read_only_udm.target.port |
直接映射并转换为整数。 |
dnsresolution.server_fqdn |
event.idm.read_only_udm.target.hostname |
直接映射。 |
Duration |
event.idm.read_only_udm.security_result.detection_fields[].key:“时长”,event.idm.read_only_udm.security_result.detection_fields[].value:Duration 的值 |
映射为检测字段。 |
Encrypted |
event.idm.read_only_udm.security_result.detection_fields[].key:“已加密”,event.idm.read_only_udm.security_result.detection_fields[].value:Encrypted 的值 |
已映射为检测字段。 |
Entropy |
event.idm.read_only_udm.security_result.detection_fields[].key:“熵”,event.idm.read_only_udm.security_result.detection_fields[].value:Entropy 的值 |
已映射为检测字段。 |
event.idm.is_alert |
event.idm.is_alert |
如果严重性为“严重”或存在 malware_type(“威胁猎捕”标签除外),则设为 true。 |
event.idm.is_significant |
event.idm.is_significant |
如果严重性为“严重”或存在 malware_type(“威胁猎捕”标签除外),则设为 true。 |
event.idm.read_only_udm.additional.fields |
event.idm.read_only_udm.additional.fields |
包含基于解析器逻辑的各种其他字段。 |
event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
直接从 summary 字段映射。 |
event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
根据各种日志字段和解析器逻辑确定。可以是 GENERIC_EVENT、NETWORK_CONNECTION、NETWORK_HTTP、NETWORK_SMTP、NETWORK_DNS、STATUS_UPDATE、NETWORK_FLOW。 |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
设置为“FIDELIS_NETWORK”。 |
event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
设置为“FIDELIS_NETWORK”。 |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
设置为“FIDELIS_NETWORK”。 |
event.idm.read_only_udm.network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
根据 server_port 或 protocol 字段确定。可以是 HTTP、HTTPS、SMTP、SSH、RPC、DNS、NFS、AOLMAIL。 |
event.idm.read_only_udm.network.direction |
event.idm.read_only_udm.network.direction |
根据 summary 中的 direction 字段或关键字确定。可以是 INBOUND 或 OUTBOUND。 |
event.idm.read_only_udm.network.dns.answers |
event.idm.read_only_udm.network.dns.answers |
为 DNS 事件填充。 |
event.idm.read_only_udm.network.dns.id |
event.idm.read_only_udm.network.dns.id |
从 DNS 事件的 number 字段映射而来。 |
event.idm.read_only_udm.network.dns.questions |
event.idm.read_only_udm.network.dns.questions |
为 DNS 事件填充。 |
event.idm.read_only_udm.network.email.from |
event.idm.read_only_udm.network.email.from |
如果 From 是有效的电子邮件地址,则直接从 From 映射。 |
event.idm.read_only_udm.network.email.subject |
event.idm.read_only_udm.network.email.subject |
直接从 Subject 映射。 |
event.idm.read_only_udm.network.email.to |
event.idm.read_only_udm.network.email.to |
直接从 To 映射。 |
event.idm.read_only_udm.network.ftp.command |
event.idm.read_only_udm.network.ftp.command |
直接从 ftp.command 映射。 |
event.idm.read_only_udm.network.http.method |
event.idm.read_only_udm.network.http.method |
直接从 http.command 或 Command 映射。 |
event.idm.read_only_udm.network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
直接从 Referer 映射。 |
event.idm.read_only_udm.network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
直接从 http.status_code 或 StatusCode 映射并转换为整数。 |
event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
直接从 http.useragent 或 UserAgent 映射。 |
event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
如果是 TCP 或 UDP,则直接从 tproto 映射。 |
event.idm.read_only_udm.network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
已从 event1.server_packet_count 重命名并转换为无符号整数。 |
event.idm.read_only_udm.network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
已从 event1.client_packet_count 重命名并转换为无符号整数。 |
event.idm.read_only_udm.network.session_duration.seconds |
event.idm.read_only_udm.network.session_duration.seconds |
已从 event1.session_size 重命名并转换为整数。 |
event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
直接从 event1.rel_sesid 或 UserSessionID 映射。 |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
直接从 event1.certificate_issuer_name 映射。 |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
从 event1.certificate_end_date 解析并转换为时间戳。 |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
从 event1.certificate_start_date 解析并转换为时间戳。 |
event.idm.read_only_udm.network.tls.client.certificate.subject |
event.idm.read_only_udm.network.tls.client.certificate.subject |
直接从 event1.certificate_subject_name 映射。 |
event.idm.read_only_udm.network.tls.client.ja3 |
event.idm.read_only_udm.network.tls.client.ja3 |
直接从 event1.ja3digest 映射并转换为字符串。 |
event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
直接从 event1.cipher、CipherSuite、cipher 或 event1.tls_ciphersuite 映射。 |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
event.idm.read_only_udm.network.tls.server.certificate.issuer |
直接从 certificate_issuer_name 映射。 |
event.idm.read_only_udm.network.tls.server.certificate.subject |
event.idm.read_only_udm.network.tls.server.certificate.subject |
直接从 certificate_subject_name 映射。 |
event.idm.read_only_udm.network.tls.server.ja3s |
event.idm.read_only_udm.network.tls.server.ja3s |
直接从 event1.ja3sdigest 映射并转换为字符串。 |
event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
直接从 event1.version 映射。 |
event.idm.read_only_udm.principal.application |
event.idm.read_only_udm.principal.application |
直接从 event1.client_asset_name 映射。 |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
event.idm.read_only_udm.principal.asset.attribute.roles[].name |
直接从 ClientAssetRole 映射。 |
event.idm.read_only_udm.principal.asset_id |
event.idm.read_only_udm.principal.asset_id |
直接从 ClientAssetID 或 ServerAssetID 映射(前缀为“Asset:”)。 |
event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
直接从 event1.sld 或 src_domain 映射。 |
event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
直接从 event1.src_ip6、client_ip 或 ClientIP 映射。 |
event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
如果不是“UNKNOWN”或空字符串,则直接从 ClientCountry 或 src_country 映射。 |
event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
直接从 event1.sport 或 client_port 映射并转换为整数。 |
event.idm.read_only_udm.principal.resource.attribute.labels |
event.idm.read_only_udm.principal.resource.attribute.labels |
包含基于解析器逻辑的各种标签。 |
event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
直接从 ftp.user 或 AppUser 映射。 |
event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
基于 severity 确定。可以是 ALLOW、BLOCK 或 UNKNOWN_ACTION。 |
event.idm.read_only_udm.security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
如果不是“none”或空字符串,则直接从 Action 映射。 |
event.idm.read_only_udm.security_result.category |
event.idm.read_only_udm.security_result.category |
如果存在 malware_type,则设置为 NETWORK_SUSPICIOUS。 |
event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
包含基于解析器逻辑的各种检测字段。 |
event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
直接从 rule_name 映射。 |
event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
基于 severity 确定。可以是“INFORMATIONAL”“MEDIUM”“ERROR”或“CRITICAL”。 |
event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
直接从 label 映射。 |
event.idm.read_only_udm.security_result.threat_name |
event.idm.read_only_udm.security_result.threat_name |
直接从 malware_type 映射,或从 summary(如果包含“CVE-”)解析。 |
event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
直接从 DomainName 映射。 |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
event.idm.read_only_udm.target.asset.attribute.roles[].name |
直接从 ServerAssetRole 映射。 |
event.idm.read_only_udm.target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
直接从 ftp.filename 或 Filename 映射。 |
event.idm.read_only_udm.target.file.md5 |
event.idm.read_only_udm.target.file.md5 |
直接从 event1.md5 或 md5 映射。 |
event.idm.read_only_udm.target.file.mime_type |
event.idm.read_only_udm.target.file.mime_type |
直接从 event1.filetype 映射。 |
event.idm.read_only_udm.target.file.sha1 |
event.idm.read_only_udm.target.file.sha1 |
直接从 event1.srvcerthash 映射。 |
event.idm.read_only_udm.target.file.sha256 |
event.idm.read_only_udm.target.file.sha256 |
直接从 event1.sha256 或 sha256 映射。 |
event.idm.read_only_udm.target.file.size |
event.idm.read_only_udm.target.file.size |
已从 event1.filesize 重命名,并在非 0 时转换为无符号整数。 |
event.idm.read_only_udm.target.hostname |
event.idm.read_only_udm.target.hostname |
直接从 event1.sni、dest_domain 或 Host 映射。 |
event.idm.read_only_udm.target.ip |
event.idm.read_only_udm.target.ip |
直接从 event1.dst_ip6、server_ip 或 ServerIP 映射。 |
event.idm.read_only_udm.target.location.country_or_region |
event.idm.read_only_udm.target.location.country_or_region |
直接从 dest_country 或 ServerCountry 映射。 |
event.idm.read_only_udm.target.platform |
event.idm.read_only_udm.target.platform |
从经过标准化处理的 asset_os 映射而来。 |
event.idm.read_only_udm.target.platform_version |
event.idm.read_only_udm.target.platform_version |
直接从 os_version 映射。 |
event.idm.read_only_udm.target.port |
event.idm.read_only_udm.target.port |
直接从 event1.dport 或 server_port 映射并转换为整数。 |
event.idm.read_only_udm.target.resource.attribute.labels |
event.idm.read_only_udm.target.resource.attribute.labels |
包含基于解析器逻辑的各种标签。 |
event.idm.read_only_udm.target.url |
event.idm.read_only_udm.target.url |
直接从 url 或 URL 映射。 |
event.idm.read_only_udm.target.user.product_object_id |
event.idm.read_only_udm.target.user.product_object_id |
直接从 uuid 映射。 |
event1.certificate_end_date |
event.idm.read_only_udm.network.tls.client.certificate.not_after |
已解析并转换为时间戳。 |
event1.certificate_extended_key_usage |
event.idm.read_only_udm.additional.fields[].key:“扩展密钥用途”,event.idm.read_only_udm.additional.fields[].value.string_value:event1.certificate_extended_key_usage 的值 |
映射为其他字段。 |
event1.certificate_issuer_name |
event.idm.read_only_udm.network.tls.client.certificate.issuer |
直接映射。 |
event1.certificate_key_length |
event.idm.read_only_udm.additional.fields[].key:“密钥长度”,event.idm.read_only_udm.additional.fields[].value.string_value:event1.certificate_key_length 的值 |
映射为其他字段。 |
event1.certificate_key_usage |
event.idm.read_only_udm.additional.fields[].key:“Key Usage”(密钥用途),event.idm.read_only_udm.additional.fields[].value.string_value:event1.certificate_key_usage 的值 |
映射为其他字段。 |
event1.certificate_start_date |
event.idm.read_only_udm.network.tls.client.certificate.not_before |
已解析并转换为时间戳。 |
event1.certificate_subject_altname |
event.idm.read_only_udm.additional.fields[].key:“证书备用名称”,event.idm.read_only_udm.additional.fields[].value.string_value:event1.certificate_subject_altname 的值 |
映射为其他字段。 |
event1.certificate_subject_name |
event.idm.read_only_udm.network.tls.client.certificate.subject |
直接映射。 |
event1.client_asset_name |
event.idm.read_only_udm.principal.application |
直接映射。 |
event1.client_asset_subnet |
event.idm.read_only_udm.additional.fields[].key:“client_asset_subnet”,event.idm.read_only_udm.additional.fields[].value.string_value:event1.client_asset_subnet 的值 |
映射为其他字段。 |
event1.client_packet_count |
event.idm.read_only_udm.network.sent_bytes |
已转换为无符号整数并重命名。 |
event1.cipher |
event.idm.read_only_udm.network.tls.cipher |
直接映射。 |
event1.direction |
event.idm.read_only_udm.network.direction |
如果为“s2c”,则映射为“入站”;如果为“c2s”,则映射为“出站”。 |
| `event1.d |
变化
2024-06-04
- 添加了对 JSON 日志的新模式的支持。
- 将“protocol”映射到“network.application_protocol”。
- 将“alert_type”映射到“security_result.detection_fields”。
2023-09-04
- 增强功能 -
- 将“event1.sld”映射到“principal.hostname”。
- 将“event1.sni”映射到“target.hostname”。
- 将“event1.src_ip6”映射到“principal.ip”。
- 将“event1.dst_ip6”映射到“target.ip”。
- 将“event1.sport”映射到“principal.port”。
- 将“event1.dport”映射到“target.port”。
- 将“event1.cipher”映射到“network.tls.cipher”。
- 将“event1.tproto”映射到“network.ip_protocol”。
- 将“event1.client_asset_name”映射到“principal.application”。
- 将“event1.direction”映射到“network.direction”。
- 将“event1.rel_sesid”映射到“network.session_id”。
- 将“event1.tls_ciphersuite”映射到“network.tls.cipher”。
- 将“event1.ja3sdigest”映射到“network.tls.server.ja3s”。
- 将“event1.ja3digest”映射到“network.tls.client.ja3”。
- 将“event1.srvcerthash”映射到“target.file.sha1”。
- 将“event1.sha256”映射到“target.file.sha256”。
- 将“event1.md5”映射到“target.file.md5”。
- 将“event1.filetype”映射到“target.file.mime_type”。
- 将“event1.filesize”映射到“target.file.size”。
- 将“event1.certificate_issuer_name”映射到“network.tls.client.certificate.issuer”。
- 将“event1.certificate_subject_name”映射到“network.tls.client.certificate.subject”。
- 将“event1.certificate_start_date”映射到“network.tls.client.certificate.not_before”。
- 将“event1.certificate_end_date”映射到“network.tls.client.certificate.not_after”。
- 将“event1.client_packet_count”映射到“network.sent_bytes”。
- 将“event1.server_packet_count”映射到“network.received_bytes”。
- 将“event1.session_size”映射到“network.session_duration.seconds”。
- 将“event1.server_asset_subnet”映射到“read_only_udm.additional.fields”。
- 将“event1.client_asset_subnet”映射到“read_only_udm.additional.fields”。
- 将“event1.sha1hash”映射到“read_only_udm.additional.fields”。
- 将“event1.type”映射到“read_only_udm.additional.fields”。
- 将“event1.histbuf”映射到“read_only_udm.additional.fields”。
- 将“event1.sen_name”映射到“read_only_udm.additional.fields”。
- 将“event1.certificate_subject_altname”映射到“read_only_udm.additional.fields”。
- 将“event1.certificate_key_usage”映射到“read_only_udm.additional.fields”。
- 将“event1.certificate_key_length”映射到“read_only_udm.additional.fields”。
- 将“event1.certificate_extended_key_usage”映射到“read_only_udm.additional.fields”。
- 将“event1.version”映射到“network.tls.version”。
2023-05-19
- 增强功能 -
- 将“exe_richsignaturehash”“exe_richsignaturepvhash”“alert_threat_score”映射到“security_result.detection_fields”。