Diese Seite wurde von der Cloud Translation API übersetzt.

MISP-IOC-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie MISP-IOC-Logs (Malware Information Sharing Platform) mit Bindplane in Google Security Operations aufnehmen. Der Parser verarbeitet die Daten sowohl im CSV- als auch im JSON-Format. Es werden IOC-Attribute wie IP-Adressen, Domains, Hashes und URLs extrahiert und zusammen mit Bedrohungsdetails wie Schweregrad, Vertraulichkeit und Beschreibungen einem einheitlichen Datenmodell (Unified Data Model, UDM) zugeordnet. Der Parser verarbeitet sowohl einzelne als auch mehrere IOC-Einträge in den Eingabedaten und normalisiert sie in eine konsistente UDM-Ausgabe.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz.
Ein Linux-Host mit systemd.
Wenn Sie den Agent hinter einem Proxy ausführen, achten Sie darauf, dass die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sind.
Privilegierter Zugriff auf Ihren MISP-Server.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
- Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen*> Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

MISP-API-Anmeldedaten abrufen

Melden Sie sich als Administrator in der MISP-Weboberfläche an.
Gehen Sie zu Verwaltung > Autorisierungsschlüssel auflisten.
Klicken Sie auf Authentifizierungsschlüssel hinzufügen.
Geben Sie die folgenden Konfigurationsdetails an:
- Nutzer: Wählen Sie das Nutzerkonto aus, das mit dem Schlüssel verknüpft ist.
- Optional: Zulässige IPs: Geben Sie zulässige IP-Adressen für den Schlüssel an.
- Ablauf: Lassen Sie das Feld leer, wenn kein Ablaufdatum festgelegt werden soll, oder legen Sie ein Ablaufdatum fest.
Klicken Sie auf Senden.
Kopieren Sie den API-Schlüssel und speichern Sie ihn an einem sicheren Ort.
Klicken Sie auf Ich habe meinen Schlüssel notiert.

MISP-Datenexport konfigurieren

Installieren Sie PyMISP auf Ihrem MISP-Server:
```
pip3 install pymisp
```

Erstellen Sie das Exportverzeichnis:

sudo mkdir -p /opt/misp/scripts
sudo mkdir -p /opt/misp/ioc_export

Erstellen Sie die Datei mit den Anmeldedaten /opt/misp/scripts/keys.py:
```
misp_url = 'https://<MISP_SERVER_URL>'
misp_key = '<MISP_API_KEY>'
misp_verifycert = True
misp_client_cert = ''
```
- Ersetzen Sie <MISP_SERVER_URL> durch die URL Ihres MISP-Servers.
- Ersetzen Sie <MISP_API_KEY> durch den API-Schlüssel aus den Voraussetzungen.

Erstellen Sie das Exportskript /opt/misp/scripts/misp_export.py:

#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import argparse
from pymisp import ExpandedPyMISP
from keys import misp_url, misp_key, misp_verifycert

if __name__ == '__main__':
    parser = argparse.ArgumentParser(description='Export MISP IOCs to CSV format.')
    parser.add_argument("--controller", default='attributes',
                        help="Controller to use for search (events, objects, attributes)")
    parser.add_argument("--event_id",
                        help="Event ID to fetch. Without it, fetches recent data.")
    parser.add_argument("--attributes", nargs='*',
                        help="Requested attributes for CSV export")
    parser.add_argument("--misp_types", nargs='+',
                        help="MISP types to fetch (ip-src, hostname, domain, etc.)")
    parser.add_argument("--context", action='store_true',
                        help="Add event level context (tags, metadata)")
    parser.add_argument("--outfile", required=True,
                        help="Output file to write the CSV data")
    parser.add_argument("--last", required=True,
                        help="Time period: days (d), hours (h), minutes (m) - e.g., 1d, 12h, 30m")

    args = parser.parse_args()

    api = ExpandedPyMISP(misp_url, misp_key, misp_verifycert, debug=False)

    response = api.search(
        controller=args.controller,
        return_format='csv',
        type_attribute=args.misp_types,
        publish_timestamp=args.last,
        include_context=args.context,
        requested_attributes=args.attributes or None
    )

    with open(args.outfile, 'w') as response_file:
        response_file.write(response)

Machen Sie das Skript ausführbar:

sudo chmod +x /opt/misp/scripts/misp_export.py

MISP-Datenexporte planen

Geplante Exporte mit Crontab erstellen:

sudo crontab -e

Fügen Sie die folgenden Cron-Einträge hinzu:

# Export different IOC types daily with context
0 0 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/domains.csv --misp_types domain --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
0 1 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/ip-src.csv --misp_types ip-src --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
0 2 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/ip-dst.csv --misp_types ip-dst --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
0 3 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/urls.csv --misp_types url --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
0 4 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/sha256.csv --misp_types sha256 --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
0 5 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/filenames.csv --misp_types filename --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
0 6 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/registries.csv --misp_types regkey --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
0 7 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/mutexes.csv --misp_types mutex --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info

Optional: Planen Sie das Abrufen von Feeds aus MISP:

23 0 * * * curl --insecure --header "Authorization: <MISP_API_KEY>" --header "Accept: application/json" --header "Content-Type: application/json" https://<MISP_SERVER_URL>/feeds/fetchFromAllFeeds

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Linux-Betriebssystem gemäß der folgenden Anleitung.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-otel-collector/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agenten zum Erfassen von MISP-Logs und Senden an Google SecOps konfigurieren

Konfigurationsdatei aufrufen:
- Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    filelog:
        file_path: /opt/misp/ioc_export/*.log

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'MISP_IOC'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
              - filelog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie <CUSTOMER_ID> durch Ihre tatsächliche Kundennummer aus den Voraussetzungen.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Attribute.category	entity.metadata.threat.category_details	Direkte Zuordnung aus dem Feld `category` im Objekt `Attribute`.
Attribute.comment	entity.metadata.threat.summary	Direkte Zuordnung aus dem Feld `comment` im Objekt `Attribute`.
Attribute.deleted	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `deleted` im Objekt `Attribute`. Der Schlüssel ist auf `Attribute deleted` festgelegt.
Attribute.event_id	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `event_id` im Objekt `Attribute`. Der Schlüssel ist auf `Attribute event_id` festgelegt.
Attribute.first_seen	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `first_seen` im Objekt `Attribute`. Der Schlüssel ist auf `Attribute first_seen` festgelegt.
Attribute.id	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `id` im Objekt `Attribute`. Der Schlüssel wird je nach Format des Rohlogs auf `Attribute id` oder `Attribute id $$` gesetzt.
Attribute.timestamp	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `timestamp` im Objekt `Attribute`. Der Schlüssel ist auf `Attribute timestamp` festgelegt.
Attribute.to_ids	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `to_ids` im Objekt `Attribute`. Der Schlüssel ist auf `Attribute to_ids` festgelegt.
Attribute.type	entity.metadata.threat.category_details	Direkte Zuordnung aus dem Feld `type` im Objekt `Attribute`.
Attribute.type	log_type	Wird verwendet, um den Typ des IOC zu bestimmen und ihn den entsprechenden UDM-Feldern zuzuordnen.
Attribute.uuid	entity.metadata.product_entity_id	Direkte Zuordnung aus dem Feld `uuid` im Objekt `Attribute`.
Attribute.value	entity.entity.file.full_path	Wird zugeordnet, wenn `Attribute.type` gleich `filename` ist.
Attribute.value	entity.entity.file.md5	Wird zugeordnet, wenn `Attribute.type` gleich `md5` ist.
Attribute.value	entity.entity.file.sha1	Wird zugeordnet, wenn `Attribute.type` gleich `sha1` ist.
Attribute.value	entity.entity.file.sha256	Wird zugeordnet, wenn `Attribute.type` gleich `sha256` ist.
Attribute.value	entity.entity.hostname	Wird zugeordnet, wenn `Attribute.type` gleich `domain` ist.
Attribute.value	entity.entity.ip	Wird zugeordnet, wenn `Attribute.type` `ip-dst`, `ip-dst\|port` oder `ip-src` ist. Der Wert wird mit einem Grok-Muster extrahiert.
Attribute.value	entity.entity.resource.name	Wird zugeordnet, wenn `Attribute.type` gleich `mutex` ist.
Attribute.value	entity.entity.registry.registry_key	Wird zugeordnet, wenn `Attribute.type` gleich `regkey` ist.
Attribute.value	entity.entity.url	Wird zugeordnet, wenn `Attribute.type` `uri` oder `URL` ist.
Spalte1	entity.metadata.product_entity_id	Direkte Zuordnung aus der ersten Spalte der CSV-Daten.
column14	event_info	Wird verwendet, um dem Feld `threat_sr.description` zusätzliche Informationen hinzuzufügen.
column16	event_source_org	Direkte Zuordnung aus der 16. Spalte in den CSV-Daten.
column18	threat_level	Direkte Zuordnung aus der 18. Spalte in den CSV-Daten.
column21	description	Direkte Zuordnung aus der 21. Spalte in den CSV-Daten.
Spalte3	misp_category	Direkte Zuordnung aus der dritten Spalte der CSV-Daten.
Spalte4	Typ	Direkte Zuordnung aus der vierten Spalte der CSV-Daten.
column5	Wert	Direkte Zuordnung aus der fünften Spalte der CSV-Daten.
column6	Kommentar	Direkte Zuordnung aus der sechsten Spalte der CSV-Daten.
column8	ts1	Direkte Zuordnung aus der achten Spalte der CSV-Daten.
description	ioc.description	Der Wert wird durch Kombinieren des Felds `description` mit dem Feld `event_info` generiert, getrennt durch `- additional info:`.
description	entity.metadata.threat.description	Direkte Zuordnung aus dem Feld `description`.
event_creator_email	entity.entity.labels.value	Direkte Zuordnung aus dem Feld `event_creator_email`. Der Schlüssel ist auf `event_creator_email` festgelegt.
event_source_org	ioc.feed_name	Direkte Zuordnung aus dem Feld `event_source_org`.
event_source_org	entity.metadata.threat.threat_feed_name	Direkte Zuordnung aus dem Feld `event_source_org`.
Feed.publish	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `publish` im Objekt `Feed`. Der Schlüssel ist auf `Feed publish` festgelegt.
first_seen	ioc.active_timerange.start	Direkte Zuordnung aus dem Feld `first_seen`. Der Wert wird als Datum geparst.
first_seen	entity.metadata.interval.start_time	Direkte Zuordnung aus dem Feld `first_seen`. Der Wert wird als Datum geparst.
Info	entity.metadata.description	Direkte Zuordnung aus dem Feld `info`.
last_seen	ioc.active_timerange.end	Direkte Zuordnung aus dem Feld `last_seen`. Der Wert wird als Datum geparst.
log.category	ioc.categorization	Direkte Zuordnung aus dem Feld `category` im Objekt `log`.
log.category	entity.metadata.threat.category_details	Direkte Zuordnung aus dem Feld `category` im Objekt `log`.
log.comment	entity.entity.file.full_path	Wird zugeordnet, wenn `log.type` `filename` ist und das Feld `comment` nicht `Artifacts dropped` ist.
log.comment	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `comment` im Objekt `log`. Der Schlüssel ist auf `Attribute comment` festgelegt.
log.comment	entity.metadata.threat.summary	Direkte Zuordnung aus dem Feld `comment` im Objekt `log`.
log.deleted	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `deleted` im Objekt `log`. Der Schlüssel ist auf `Attribute deleted` festgelegt.
log.event_id	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `event_id` im Objekt `log`. Der Schlüssel ist auf `Attribute event_id` festgelegt.
log.first_seen	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `first_seen` im Objekt `log`. Der Schlüssel ist auf `Attribute first_seen` festgelegt.
log.id	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `id` im Objekt `log`. Der Schlüssel ist auf `Attribute id` festgelegt.
log.timestamp	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `timestamp` im Objekt `log`. Der Schlüssel ist auf `Attribute timestamp` festgelegt.
log.to_ids	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `to_ids` im Objekt `log`. Der Schlüssel ist auf `Attribute to_ids` festgelegt.
log.type	ioc.categorization	Direkte Zuordnung aus dem Feld `type` im Objekt `log`.
log.type	log_type	Wird verwendet, um den Typ des IOC zu bestimmen und ihn den entsprechenden UDM-Feldern zuzuordnen.
log.uuid	entity.metadata.product_entity_id	Direkte Zuordnung aus dem Feld `uuid` im Objekt `log`.
log.value	entity.entity.file.full_path	Wird zugeordnet, wenn `log.type` gleich `filename` ist.
log.value	entity.entity.file.md5	Wird zugeordnet, wenn `log.type` gleich `md5` ist.
log.value	entity.entity.file.sha1	Wird zugeordnet, wenn `log.type` gleich `sha1` ist.
log.value	entity.entity.file.sha256	Wird zugeordnet, wenn `log.type` gleich `sha256` ist.
log.value	entity.entity.hostname	Wird zugeordnet, wenn `log.type` gleich `domain` ist.
log.value	entity.entity.ip	Wird zugeordnet, wenn `log.type` `ip-dst`, `ip-dst\|port` oder `ip-src` ist. Der Wert wird mit einem Grok-Muster extrahiert.
log.value	entity.entity.resource.name	Wird zugeordnet, wenn `log.type` gleich `mutex` ist.
log.value	entity.entity.registry.registry_key	Wird zugeordnet, wenn `log.type` gleich `regkey` ist.
log.value	entity.entity.url	Wird zugeordnet, wenn `log.type` `uri` oder `url` ist.
log.value	ioc.domain_and_ports.domain	Wird zugeordnet, wenn `log.type` gleich `domain` ist.
log.value	entity.entity.user.email_addresses	Wird zugeordnet, wenn `log.type` gleich `threat-actor` ist.
misp_category	entity.metadata.threat.category_details	Direkte Zuordnung aus dem Feld `misp_category`.
Org.name	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `name` im Objekt `Org`. Der Schlüssel ist auf `Org name` festgelegt.
Veröffentlicht	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `published`. Der Schlüssel ist auf `published` festgelegt.
Tag.colour	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `colour` im Objekt `Tag`. Der Schlüssel ist auf `tag colour` festgelegt.
Tag.exportable	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `exportable` im Objekt `Tag`. Der Schlüssel ist auf `tag exportable` festgelegt.
Tag.hide_tag	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `hide_tag` im Objekt `Tag`. Der Schlüssel ist auf `tag hide_tag` festgelegt.
Tag.id	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `id` im Objekt `Tag`. Der Schlüssel ist auf `tag id` festgelegt.
Tag.is_custom_galaxy	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `is_custom_galaxy` im Objekt `Tag`. Der Schlüssel ist auf `tag is_custom_galaxy` festgelegt.
Tag.is_galaxy	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `is_galaxy` im Objekt `Tag`. Der Schlüssel ist auf `tag is_galaxy` festgelegt.
Tag.isinherited	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `isinherited` im Objekt `Tag`. Der Schlüssel ist auf `tag isinherited` festgelegt.
Tag.name	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `name` im Objekt `Tag`. Der Schlüssel ist auf `tag name` festgelegt.
Tag.numerical_value	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `numerical_value` im Objekt `Tag`. Der Schlüssel ist auf `tag numerical_value` festgelegt.
Tag.user_id	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `user_id` im Objekt `Tag`. Der Schlüssel ist auf `tag user_id` festgelegt.
threat_level	ioc.raw_severity	Direkte Zuordnung aus dem Feld `threat_level`.
threat_level	entity.metadata.threat.severity_details	Direkte Zuordnung aus dem Feld `threat_level`.
threat_level_id	entity.entity.labels.value	Direkte Zuordnung aus dem Feld `threat_level_id`. Der Schlüssel ist auf `threat_level_id` festgelegt.
ts1	ioc.active_timerange.start	Direkte Zuordnung aus dem Feld `ts1`. Der Wert wird als Datum geparst.
ts1	entity.metadata.interval.start_time	Direkte Zuordnung aus dem Feld `ts1`. Der Wert wird als Datum geparst.
	entity.entity.file.full_path	Wird zugeordnet, wenn `type` gleich `filename` ist.
	entity.entity.file.md5	Wird zugeordnet, wenn `type` gleich `md5` ist.
	entity.entity.file.sha1	Wird zugeordnet, wenn `type` gleich `sha1` ist.
	entity.entity.file.sha256	Wird zugeordnet, wenn `type` gleich `sha256` ist.
	entity.entity.hostname	Wird zugeordnet, wenn `type` gleich `domain` ist.
	entity.entity.ip	Wird zugeordnet, wenn `type` `ip-dst`, `ip-dst\|port` oder `ip-src` ist. Der Wert wird mit einem Grok-Muster extrahiert.
	entity.entity.port	Wird zugeordnet, wenn das Feld `port` nicht leer ist. Der Wert wird in eine Ganzzahl konvertiert.
	entity.entity.resource.name	Wird zugeordnet, wenn `type` gleich `mutex` ist.
	entity.entity.resource.resource_subtype	Wird zugeordnet, wenn `type` gleich `regkey` ist. Der Wert wird auf `regkey` festgelegt.
	entity.entity.resource.resource_type	Wird zugeordnet, wenn `type` `mutex` oder `regkey` ist. Der Wert wird auf `MUTEX` bzw. `STORAGE_OBJECT` festgelegt.
	entity.entity.registry.registry_key	Wird zugeordnet, wenn `type` gleich `regkey` ist.
	entity.entity.url	Wird zugeordnet, wenn `type` `uri` oder `url` ist.
	entity.metadata.collected_timestamp	Der Wert wird auf den Zeitstempel des Rohlogeintrags festgelegt.
	entity.metadata.description	Der Wert wird auf das Feld `type` festgelegt, wenn das Rohlog im CSV-Format vorliegt. Andernfalls wird es auf das Feld `info` gesetzt.
	entity.metadata.entity_type	Der Wert wird anhand des Felds `type` oder `log_type` bestimmt. Kann `DOMAIN_NAME`, `FILE`, `IP_ADDRESS`, `MUTEX`, `RESOURCE` oder `URL` sein.
	entity.metadata.interval.end_time	Der Wert ist auf den Standardwert von 253402300799 Sekunden festgelegt.
	entity.metadata.interval.start_time	Der Wert wird auf das Feld `first_seen` festgelegt, wenn es nicht leer ist. Andernfalls wird er auf den Standardwert von 1 Sekunde oder den Zeitstempel des Rohlogbuch-Eintrags festgelegt.
	entity.metadata.product_name	Der Wert wird auf `MISP` festgelegt.
	entity.metadata.threat.confidence	Der Wert wird auf `UNKNOWN_CONFIDENCE` gesetzt, wenn das Feld `confidence` leer oder `f` ist. Andernfalls wird er basierend auf dem Wert des Felds `confidence` auf `HIGH_CONFIDENCE`, `MEDIUM_CONFIDENCE` oder `LOW_CONFIDENCE` festgelegt.
	entity.metadata.threat.confidence_details	Direkte Zuordnung aus dem Feld `confidence`.
	entity.metadata.threat.detection_fields	Der Wert ist eine Liste von Schlüssel/Wert-Paaren, die aus verschiedenen Feldern im Rohlog extrahiert werden.
	entity.metadata.vendor_name	Der Wert wird auf `MISP` festgelegt.
	ioc.active_timerange.end	Der Wert wird auf das Feld `last_seen` festgelegt, wenn es nicht leer ist.
	ioc.active_timerange.start	Der Wert wird auf das Feld `ts1` oder `first_seen` gesetzt, wenn diese nicht leer sind. Andernfalls wird er auf den Standardwert von 1 Sekunde festgelegt.
	ioc.categorization	Der Wert wird auf `misp_category IOCs` festgelegt, wenn das Rohprotokoll im CSV-Format vorliegt. Andernfalls wird es auf das Feld `category` im Objekt `Attribute` oder `log` gesetzt.
	ioc.confidence_score	Direkte Zuordnung aus dem Feld `confidence`.
	ioc.description	Der Wert wird durch Kombinieren des Felds `description` mit dem Feld `event_info` generiert, getrennt durch `- additional info:`.
	ioc.domain_and_ports.domain	Wird zugeordnet, wenn `type` oder `log_type` gleich `domain` ist.
	ioc.feed_name	Der Wert wird auf `MISP` gesetzt, wenn das Feld `event_source_org` leer ist. Andernfalls wird es auf das Feld `event_source_org` gesetzt.
	ioc.ip_and_ports.ip_address	Wird zugeordnet, wenn das Feld `ip` nicht leer ist. Der Wert wird in eine IP-Adresse konvertiert.
	ioc.ip_and_ports.ports	Wird zugeordnet, wenn das Feld `port` nicht leer ist. Der Wert wird in eine vorzeichenlose Ganzzahl konvertiert.
	ioc.raw_severity	Direkte Zuordnung aus dem Feld `threat_level`.
	timestamp	Der Wert wird auf den Zeitstempel des Rohlogeintrags festgelegt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten