此页面由 Cloud Translation API 翻译。

收集 General Dynamics Fidelis XPS 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Google Security Operations 转发器收集 General Dynamics Fidelis XPS 日志。

如需了解详情，请参阅 Google Security Operations 数据注入概览。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 FIDELIS_NETWORK 注入标签的解析器。

配置 General Dynamics Fidelis XPS

登录 CommandPost 以管理 Fidelis XPS 设备。
依次选择系统 > 导出。
点击新建标签页。
在导出方法列表中，选择 ArcSight。
在目的地字段中，输入 Google Security Operations 转发器服务器 IP 地址和端口号，例如 514。
在导出提醒部分中，选中全部复选框。
在导出频率部分中，选中每次提醒复选框。
在传输部分中，选中 UDP 或 TCP 复选框。
在另存为字段中，输入导出配置的名称。
在列列表框中，移动列列表中的条目，使其按以下顺序显示：
- TIME
- 操作
- ALERTUUID
- APPLICATION_USER
- 组件
- COMPR
- DSTADDR
- DSTPORT
- FILENAME
- 以前
- GROUP
- 恶意软件名称
- 恶意软件类型
- MD5
- 政策
- PROTO
- REQUEST_METHOD
- REQUEST_AGENT
- REQUEST_URL
- 规则
- SENIP
- 严重程度
- SRCADDR
- SRCPORT
- 总结
- TARGET
- 收件人
- VIOLATION_INFO
- VLAN_ID
Fidelis XPS 8.1 版新增了一些数据，您可以配置这些数据以导出新数据。新字段包括 REQUEST_METHOD、REQUEST_AGENT、REQUEST_网址、VIOLATION_INFO 和 VLAN_ID。

VIOLATION_INFO 包含提醒详情页面违规信息部分中的所有数据。此类数据包括生成提醒的匹配数据。它还包括 Feed 数据中与匹配数据一起包含的任何其他信息。 VIOLATION_INFO 的大小可能会很大。在 syslog 导出中使用此功能时，您必须启用 TCP。
依次选择系统 > 恶意软件 > 恶意软件检测。
选中恶意软件检测引擎和自动恶意软件政策复选框。
点击保存。

配置 Google Security Operations 转发器以注入 Fidelis Network 日志

依次选择 SIEM 设置 > 转发器。
点击添加新转发器。
在转发器名称字段中输入唯一名称。
点击提交，然后点击确认。转发器已添加，系统会显示添加收集器配置窗口。
在收集器名称字段中，输入收集器的唯一名称。
选择 Fidelis Network 作为日志类型。
选择 Syslog 作为收集器类型。
配置以下输入参数：
- 协议：指定收集器用于监听 syslog 数据的连接协议。
- 地址：指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
- 端口：指定收集器所在的目标端口，并监听 syslog 数据。
点击提交。

如需详细了解 Google Security Operations 转发器，请参阅通过 Google Security Operations 界面管理转发器配置。

如果您在创建转发器时遇到问题，请与 Google Security Operations 支持团队联系。

字段映射参考

此解析器可处理 SYSLOG、键值对和 JSON 格式的 Fidelis Network 日志，并将其转换为 UDM。它会提取字段、处理各种日志结构，并映射到 UDM 字段。

UDM 映射表

日志字段	UDM 映射	逻辑
`aaction`	`event.idm.read_only_udm.security_result.action_details`	如果不是“none”或空字符串，则直接映射。
`alert_threat_score`	`event.idm.read_only_udm.security_result.detection_fields[].key`：“alert_threat_score”，`event.idm.read_only_udm.security_result.detection_fields[].value`：`alert_threat_score` 的值	直接映射为检测字段。
`alert_type`	`event.idm.read_only_udm.security_result.detection_fields[].key`：“alert_type”，`event.idm.read_only_udm.security_result.detection_fields[].value`：`alert_type` 的值	直接映射为检测字段。
`answers`	`event.idm.read_only_udm.network.dns.answers[].data`	直接映射，适用于 DNS 事件。
`application_user`	`event.idm.read_only_udm.principal.user.userid`	直接映射。
`asset_os`	`event.idm.read_only_udm.target.platform`	已归一化为 WINDOWS、LINUX、MAC 或 UNKNOWN_PLATFORM。
`certificate.end_date`	`event.idm.read_only_udm.network.tls.client.certificate.not_after`	已解析并转换为时间戳。
`certificate.extended_key_usage`	`event.idm.read_only_udm.additional.fields[].key`：“扩展密钥用途”，`event.idm.read_only_udm.additional.fields[].value.string_value`：`certificate.extended_key_usage` 的值	映射为附加字段。
`certificate.issuer_name`	`event.idm.read_only_udm.network.tls.server.certificate.issuer`	直接映射。
`certificate.key_length`	`event.idm.read_only_udm.additional.fields[].key`：“密钥长度”，`event.idm.read_only_udm.additional.fields[].value.string_value`：`certificate.key_length` 的值	映射为附加字段。
`certificate.key_usage`	`event.idm.read_only_udm.additional.fields[].key`：“密钥用途”，`event.idm.read_only_udm.additional.fields[].value.string_value`：`certificate.key_usage` 的值	映射为附加字段。
`certificate.start_date`	`event.idm.read_only_udm.network.tls.client.certificate.not_before`	已解析并转换为时间戳。
`certificate.subject_altname`	`event.idm.read_only_udm.additional.fields[].key`：“证书备用名称”，`event.idm.read_only_udm.additional.fields[].value.string_value`：`certificate.subject_altname` 的值	映射为附加字段。
`certificate.subject_name`	`event.idm.read_only_udm.network.tls.server.certificate.subject`	直接映射。
`certificate.type`	`event.idm.read_only_udm.additional.fields[].key`：“Certificate_Type”，`event.idm.read_only_udm.additional.fields[].value.string_value`：`certificate.type` 的值	映射为附加字段。
`cipher`	`event.idm.read_only_udm.network.tls.cipher`	直接映射。
`client_asset_name`	`event.idm.read_only_udm.principal.application`	直接映射。
`client_asset_subnet`	`event.idm.read_only_udm.additional.fields[].key`: "client_asset_subnet", `event.idm.read_only_udm.additional.fields[].value.string_value`: `client_asset_subnet` 的值	映射为附加字段。
`client_ip`	`event.idm.read_only_udm.principal.ip`	直接映射。
`client_port`	`event.idm.read_only_udm.principal.port`	直接映射并转换为整数。
`ClientIP`	`event.idm.read_only_udm.principal.ip`	直接映射。
`ClientPort`	`event.idm.read_only_udm.principal.port`	直接映射并转换为整数。
`ClientCountry`	`event.idm.read_only_udm.principal.location.country_or_region`	如果不是“UNKNOWN”或空字符串，则直接映射。
`ClientAssetID`	`event.idm.read_only_udm.principal.asset_id`	如果不是“0”或空字符串，则以“Asset:”为前缀。
`ClientAssetName`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key`: "ClientAssetName", `event.idm.read_only_udm.principal.resource.attribute.labels[].value`: `ClientAssetName` 的值	映射为主资源标签。
`ClientAssetRole`	`event.idm.read_only_udm.principal.asset.attribute.roles[].name`	直接映射。
`ClientAssetServices`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key`: "ClientAssetServices", `event.idm.read_only_udm.principal.resource.attribute.labels[].value`: `ClientAssetServices` 的值	映射为主资源标签。
`Client`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key`：“客户端”，`event.idm.read_only_udm.principal.resource.attribute.labels[].value`：`Client` 的值	映射为主资源标签。
`Collector`	`event.idm.read_only_udm.security_result.detection_fields[].key`：“收集器”，`event.idm.read_only_udm.security_result.detection_fields[].value`：`Collector` 的值	映射为检测字段。
`command`	`event.idm.read_only_udm.network.http.method`	直接映射到 HTTP 事件。
`Command`	`event.idm.read_only_udm.security_result.detection_fields[].key`：“命令”，`event.idm.read_only_udm.security_result.detection_fields[].value`：`Command` 的值	映射为检测字段。
`Connection`	`event.idm.read_only_udm.security_result.detection_fields[].key`：“连接”，`event.idm.read_only_udm.security_result.detection_fields[].value`：`Connection` 的值	映射为检测字段。
`DecodingPath`	`event.idm.read_only_udm.security_result.detection_fields[].key`：“DecodingPath”，`event.idm.read_only_udm.security_result.detection_fields[].value`：`DecodingPath` 的值	映射为检测字段。
`dest_country`	`event.idm.read_only_udm.target.location.country_or_region`	直接映射。
`dest_domain`	`event.idm.read_only_udm.target.hostname`	直接映射。
`dest_ip`	`event.idm.read_only_udm.target.ip`	直接映射。
`dest_port`	`event.idm.read_only_udm.target.port`	直接映射并转换为整数。
`Direction`	`event.idm.read_only_udm.security_result.detection_fields[].key`：“方向”，`event.idm.read_only_udm.security_result.detection_fields[].value`：`Direction` 的值	映射为检测字段。
`dns.host`	`event.idm.read_only_udm.network.dns.questions[].name`	直接映射，适用于 DNS 事件。
`DomainName`	`event.idm.read_only_udm.target.administrative_domain`	直接映射。
`DomainAlexaRank`	`event.idm.read_only_udm.security_result.detection_fields[].key`: "DomainAlexaRank", `event.idm.read_only_udm.security_result.detection_fields[].value`: `DomainAlexaRank` 的值	映射为检测字段。
`dport`	`event.idm.read_only_udm.target.port`	直接映射并转换为整数。
`dnsresolution.server_fqdn`	`event.idm.read_only_udm.target.hostname`	直接映射。
`Duration`	`event.idm.read_only_udm.security_result.detection_fields[].key`：“时长”，`event.idm.read_only_udm.security_result.detection_fields[].value`：`Duration` 的值	映射为检测字段。
`Encrypted`	`event.idm.read_only_udm.security_result.detection_fields[].key`：“已加密”，`event.idm.read_only_udm.security_result.detection_fields[].value`：`Encrypted` 的值	映射为检测字段。
`Entropy`	`event.idm.read_only_udm.security_result.detection_fields[].key`：“熵”，`event.idm.read_only_udm.security_result.detection_fields[].value`：`Entropy` 的值	映射为检测字段。
`event.idm.read_only_udm.additional.fields`	`event.idm.read_only_udm.additional.fields`	包含基于解析器逻辑的各种其他字段。
`event.idm.read_only_udm.metadata.description`	`event.idm.read_only_udm.metadata.description`	直接从 `summary` 字段映射。
`event.idm.read_only_udm.metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	根据各种日志字段和解析器逻辑确定。可以是 GENERIC_EVENT、NETWORK_CONNECTION、NETWORK_HTTP、NETWORK_SMTP、NETWORK_DNS、STATUS_UPDATE、NETWORK_FLOW。
`event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	设置为“FIDELIS_NETWORK”。
`event.idm.read_only_udm.metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	设置为“FIDELIS_NETWORK”。
`event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	设置为“FIDELIS_NETWORK”。
`event.idm.read_only_udm.network.application_protocol`	`event.idm.read_only_udm.network.application_protocol`	根据 `server_port` 或 `protocol` 字段确定。可以是 HTTP、HTTPS、SMTP、SSH、RPC、DNS、NFS、AOLMAIL。
`event.idm.read_only_udm.network.direction`	`event.idm.read_only_udm.network.direction`	根据 `summary` 中的 `direction` 字段或关键字确定。可以是 INBOUND 或 OUTBOUND。
`event.idm.read_only_udm.network.dns.answers`	`event.idm.read_only_udm.network.dns.answers`	为 DNS 事件填充。
`event.idm.read_only_udm.network.dns.id`	`event.idm.read_only_udm.network.dns.id`	从 DNS 事件的 `number` 字段映射。
`event.idm.read_only_udm.network.dns.questions`	`event.idm.read_only_udm.network.dns.questions`	为 DNS 事件填充。
`event.idm.read_only_udm.network.email.from`	`event.idm.read_only_udm.network.email.from`	如果 `From` 是有效的电子邮件地址，则直接映射自该地址。
`event.idm.read_only_udm.network.email.subject`	`event.idm.read_only_udm.network.email.subject`	直接从 `Subject` 映射。
`event.idm.read_only_udm.network.email.to`	`event.idm.read_only_udm.network.email.to`	直接从 `To` 映射。
`event.idm.read_only_udm.network.ftp.command`	`event.idm.read_only_udm.network.ftp.command`	直接从 `ftp.command` 映射。
`event.idm.read_only_udm.network.http.method`	`event.idm.read_only_udm.network.http.method`	直接从 `http.command` 或 `Command` 映射。
`event.idm.read_only_udm.network.http.referral_url`	`event.idm.read_only_udm.network.http.referral_url`	直接从 `Referer` 映射。
`event.idm.read_only_udm.network.http.response_code`	`event.idm.read_only_udm.network.http.response_code`	直接从 `http.status_code` 或 `StatusCode` 映射并转换为整数。
`event.idm.read_only_udm.network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	直接从 `http.useragent` 或 `UserAgent` 映射。
`event.idm.read_only_udm.network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	如果为 TCP 或 UDP，则直接从 `tproto` 映射。
`event.idm.read_only_udm.network.received_bytes`	`event.idm.read_only_udm.network.received_bytes`	已从 `event1.server_packet_count` 重命名，并转换为无符号整数。
`event.idm.read_only_udm.network.sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	已从 `event1.client_packet_count` 重命名，并转换为无符号整数。
`event.idm.read_only_udm.network.session_duration.seconds`	`event.idm.read_only_udm.network.session_duration.seconds`	已从 `event1.session_size` 重命名，并转换为整数。
`event.idm.read_only_udm.network.session_id`	`event.idm.read_only_udm.network.session_id`	直接从 `event1.rel_sesid` 或 `UserSessionID` 映射。
`event.idm.read_only_udm.network.tls.client.certificate.issuer`	`event.idm.read_only_udm.network.tls.client.certificate.issuer`	直接从 `event1.certificate_issuer_name` 映射。
`event.idm.read_only_udm.network.tls.client.certificate.not_after`	`event.idm.read_only_udm.network.tls.client.certificate.not_after`	从 `event1.certificate_end_date` 解析并转换为时间戳。
`event.idm.read_only_udm.network.tls.client.certificate.not_before`	`event.idm.read_only_udm.network.tls.client.certificate.not_before`	从 `event1.certificate_start_date` 解析并转换为时间戳。
`event.idm.read_only_udm.network.tls.client.certificate.subject`	`event.idm.read_only_udm.network.tls.client.certificate.subject`	直接从 `event1.certificate_subject_name` 映射。
`event.idm.read_only_udm.network.tls.client.ja3`	`event.idm.read_only_udm.network.tls.client.ja3`	直接从 `event1.ja3digest` 映射并转换为字符串。
`event.idm.read_only_udm.network.tls.cipher`	`event.idm.read_only_udm.network.tls.cipher`	直接从 `event1.cipher`、`CipherSuite`、`cipher` 或 `event1.tls_ciphersuite` 映射。
`event.idm.read_only_udm.network.tls.server.certificate.issuer`	`event.idm.read_only_udm.network.tls.server.certificate.issuer`	直接从 `certificate_issuer_name` 映射。
`event.idm.read_only_udm.network.tls.server.certificate.subject`	`event.idm.read_only_udm.network.tls.server.certificate.subject`	直接从 `certificate_subject_name` 映射。
`event.idm.read_only_udm.network.tls.server.ja3s`	`event.idm.read_only_udm.network.tls.server.ja3s`	直接从 `event1.ja3sdigest` 映射并转换为字符串。
`event.idm.read_only_udm.network.tls.version`	`event.idm.read_only_udm.network.tls.version`	直接从 `event1.version` 映射。
`event.idm.read_only_udm.principal.application`	`event.idm.read_only_udm.principal.application`	直接从 `event1.client_asset_name` 映射。
`event.idm.read_only_udm.principal.asset.attribute.roles[].name`	`event.idm.read_only_udm.principal.asset.attribute.roles[].name`	直接从 `ClientAssetRole` 映射。
`event.idm.read_only_udm.principal.asset_id`	`event.idm.read_only_udm.principal.asset_id`	直接从 `ClientAssetID` 或 `ServerAssetID` 映射（带有“Asset:”前缀）。
`event.idm.read_only_udm.principal.hostname`	`event.idm.read_only_udm.principal.hostname`	直接从 `event1.sld` 或 `src_domain` 映射。
`event.idm.read_only_udm.principal.ip`	`event.idm.read_only_udm.principal.ip`	直接从 `event1.src_ip6`、`client_ip` 或 `ClientIP` 映射。
`event.idm.read_only_udm.principal.location.country_or_region`	`event.idm.read_only_udm.principal.location.country_or_region`	如果不是“UNKNOWN”或空字符串，则直接从 `ClientCountry` 或 `src_country` 映射。
`event.idm.read_only_udm.principal.port`	`event.idm.read_only_udm.principal.port`	直接从 `event1.sport` 或 `client_port` 映射并转换为整数。
`event.idm.read_only_udm.principal.resource.attribute.labels`	`event.idm.read_only_udm.principal.resource.attribute.labels`	包含基于解析器逻辑的各种标签。
`event.idm.read_only_udm.principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	直接从 `ftp.user` 或 `AppUser` 映射。
`event.idm.read_only_udm.security_result.action`	`event.idm.read_only_udm.security_result.action`	根据 `severity` 确定。可以是 ALLOW、BLOCK 或 UNKNOWN_ACTION。
`event.idm.read_only_udm.security_result.action_details`	`event.idm.read_only_udm.security_result.action_details`	如果不是“none”或空字符串，则直接从 `Action` 映射。
`event.idm.read_only_udm.security_result.category`	`event.idm.read_only_udm.security_result.category`	如果存在 `malware_type`，则设置为 NETWORK_SUSPICIOUS。
`event.idm.read_only_udm.security_result.detection_fields`	`event.idm.read_only_udm.security_result.detection_fields`	包含基于解析器逻辑的各种检测字段。
`event.idm.read_only_udm.security_result.rule_name`	`event.idm.read_only_udm.security_result.rule_name`	直接从 `rule_name` 映射。
`event.idm.read_only_udm.security_result.severity`	`event.idm.read_only_udm.security_result.severity`	根据 `severity` 确定。可以是 INFORMATIONAL、MEDIUM、ERROR 或 CRITICAL。
`event.idm.read_only_udm.security_result.summary`	`event.idm.read_only_udm.security_result.summary`	直接从 `label` 映射。
`event.idm.read_only_udm.security_result.threat_name`	`event.idm.read_only_udm.security_result.threat_name`	直接从 `malware_type` 映射，或者从 `summary` 解析（如果其中包含“CVE-”）。
`event.idm.read_only_udm.target.administrative_domain`	`event.idm.read_only_udm.target.administrative_domain`	直接从 `DomainName` 映射。
`event.idm.read_only_udm.target.asset.attribute.roles[].name`	`event.idm.read_only_udm.target.asset.attribute.roles[].name`	直接从 `ServerAssetRole` 映射。
`event.idm.read_only_udm.target.file.full_path`	`event.idm.read_only_udm.target.file.full_path`	直接从 `ftp.filename` 或 `Filename` 映射。
`event.idm.read_only_udm.target.file.md5`	`event.idm.read_only_udm.target.file.md5`	直接从 `event1.md5` 或 `md5` 映射。
`event.idm.read_only_udm.target.file.mime_type`	`event.idm.read_only_udm.target.file.mime_type`	直接从 `event1.filetype` 映射。
`event.idm.read_only_udm.target.file.sha1`	`event.idm.read_only_udm.target.file.sha1`	直接从 `event1.srvcerthash` 映射。
`event.idm.read_only_udm.target.file.sha256`	`event.idm.read_only_udm.target.file.sha256`	直接从 `event1.sha256` 或 `sha256` 映射。
`event.idm.read_only_udm.target.file.size`	`event.idm.read_only_udm.target.file.size`	已从 `event1.filesize` 重命名，如果不是 0，则转换为无符号整数。
`event.idm.read_only_udm.target.hostname`	`event.idm.read_only_udm.target.hostname`	直接从 `event1.sni`、`dest_domain` 或 `Host` 映射。
`event.idm.read_only_udm.target.ip`	`event.idm.read_only_udm.target.ip`	直接从 `event1.dst_ip6` 或 `server_ip` 或 `ServerIP` 映射。
`event.idm.read_only_udm.target.location.country_or_region`	`event.idm.read_only_udm.target.location.country_or_region`	直接从 `dest_country` 或 `ServerCountry` 映射。
`event.idm.read_only_udm.target.platform`	`event.idm.read_only_udm.target.platform`	归一化后从 `asset_os` 映射。
`event.idm.read_only_udm.target.platform_version`	`event.idm.read_only_udm.target.platform_version`	直接从 `os_version` 映射。
`event.idm.read_only_udm.target.port`	`event.idm.read_only_udm.target.port`	直接从 `event1.dport` 或 `server_port` 映射并转换为整数。
`event.idm.read_only_udm.target.resource.attribute.labels`	`event.idm.read_only_udm.target.resource.attribute.labels`	包含基于解析器逻辑的各种标签。
`event.idm.read_only_udm.target.url`	`event.idm.read_only_udm.target.url`	直接从 `url` 或 `URL` 映射。
`event.idm.read_only_udm.target.user.product_object_id`	`event.idm.read_only_udm.target.user.product_object_id`	直接从 `uuid` 映射。
`event1.certificate_end_date`	`event.idm.read_only_udm.network.tls.client.certificate.not_after`	已解析并转换为时间戳。
`event1.certificate_extended_key_usage`	`event.idm.read_only_udm.additional.fields[].key`：“扩展密钥用途”，`event.idm.read_only_udm.additional.fields[].value.string_value`：`event1.certificate_extended_key_usage` 的值	映射为附加字段。
`event1.certificate_issuer_name`	`event.idm.read_only_udm.network.tls.client.certificate.issuer`	直接映射。
`event1.certificate_key_length`	`event.idm.read_only_udm.additional.fields[].key`：“密钥长度”，`event.idm.read_only_udm.additional.fields[].value.string_value`：`event1.certificate_key_length` 的值	映射为附加字段。
`event1.certificate_key_usage`	`event.idm.read_only_udm.additional.fields[].key`：“密钥用途”，`event.idm.read_only_udm.additional.fields[].value.string_value`：`event1.certificate_key_usage` 的值	映射为附加字段。
`event1.certificate_start_date`	`event.idm.read_only_udm.network.tls.client.certificate.not_before`	已解析并转换为时间戳。
`event1.certificate_subject_altname`	`event.idm.read_only_udm.additional.fields[].key`：“证书备用名称”，`event.idm.read_only_udm.additional.fields[].value.string_value`：`event1.certificate_subject_altname` 的值	映射为附加字段。
`event1.certificate_subject_name`	`event.idm.read_only_udm.network.tls.client.certificate.subject`	直接映射。
`event1.client_asset_name`	`event.idm.read_only_udm.principal.application`	直接映射。
`event1.client_asset_subnet`	`event.idm.read_only_udm.additional.fields[].key`: "client_asset_subnet", `event.idm.read_only_udm.additional.fields[].value.string_value`: `event1.client_asset_subnet` 的值	映射为附加字段。
`event1.client_packet_count`	`event.idm.read_only_udm.network.sent_bytes`	转换为无符号整数并重命名。
`event1.cipher`	`event.idm.read_only_udm.network.tls.cipher`	直接映射。
`event1.direction`	`event.idm.read_only_udm.network.direction`	如果为“s2c”，则映射到 INBOUND；如果为“c2s”，则映射到 OUTBOUND。
`event1.d`