Netskope-Benachrichtigungsprotokolle v1 erfassen
Übersicht
Dieser Parser extrahiert Netskope-Benachrichtigungsprotokolle aus JSON-formatierten Nachrichten und wandelt sie in das UDM von Google Security Operations um. Es normalisiert Felder, analysiert Zeitstempel, verarbeitet Benachrichtigungen und Schweregrade, extrahiert Netzwerkinformationen (IP-Adressen, Ports, Protokolle), ergänzt Nutzer- und Dateidaten und ordnet Felder der UDM-Struktur zu. Der Parser verarbeitet auch bestimmte Netskope-Aktivitäten wie Anmeldungen und DLP-Ereignisse und fügt benutzerdefinierte Labels für einen erweiterten Kontext hinzu.
Hinweis
- Sie benötigen eine Google SecOps-Instanz.
- Sie benötigen erhöhte Zugriffsrechte für Netskope.
Netskope REST API-Zugriff aktivieren
- Melden Sie sich mit Ihren Administratoranmeldedaten im Netskope-Tenant an.
- Gehen Sie zu Einstellungen > Tools > REST API v1.
- Erstellen Sie einen neuen API-Schlüssel speziell für Google SecOps.
- Geben Sie einen aussagekräftigen Namen an, z. B. Google SecOps-Schlüssel.
- Kopieren und speichern Sie den generierten Schlüssel und das Secret.
Feed in Google SecOps für die Aufnahme von Netskope-Benachrichtigungsprotokollen konfigurieren
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Netskope-Benachrichtigungsprotokolle.
- Wählen Sie API eines Drittanbieters als Quelltyp aus.
- Wählen Sie Netskope als Logtyp aus.
- Klicken Sie auf Weiter.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- HTTP-Authentifizierungsheader: Schlüsselpaar, das zuvor im
<key>:<secret>
-Format generiert wurde und zur Authentifizierung bei der Netskope API verwendet wird. - API-Hostname:Der FQDN (vollqualifizierter Domainname) Ihres Netskope REST API-Endpunkt, z. B.
myinstance.goskope.com
. - API-Endpunkt:Geben Sie alerts ein.
- Inhaltstyp:Geben Sie alle ein.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
- HTTP-Authentifizierungsheader: Schlüsselpaar, das zuvor im
- Klicken Sie auf Weiter.
- Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
Optional: Feedkonfiguration zum Aufnehmen von Netskope-Ereignisprotokollen hinzufügen
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie in das Feld Feedname einen Namen für den Feed ein, z. B. Netskope-Ereignisprotokolle.
- Wählen Sie API eines Drittanbieters als Quelltyp aus.
- Wählen Sie Netskope als Logtyp aus.
- Klicken Sie auf Weiter.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- HTTP-Authentifizierungsheader: Schlüsselpaar, das zuvor im
<key>:<secret>
-Format generiert wurde und zur Authentifizierung bei der Netskope API verwendet wird. - API-Hostname:Der FQDN (vollqualifizierter Domainname) Ihres Netskope REST API-Endpunkt, z. B.
myinstance.goskope.com
. - API-Endpunkt:Geben Sie events ein.
- Inhaltstyp:Geben Sie je nach den Ereignissen, die Sie analysieren möchten, Seite, Anwendung, Audit, Infrastruktur oder Netzwerk ein.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
- HTTP-Authentifizierungsheader: Schlüsselpaar, das zuvor im
- Klicken Sie auf Weiter.
- Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
access_method |
extensions.auth.auth_details |
Direkt aus dem Feld access_method zugeordnet. |
action |
security_result.action |
Wird direkt aus dem Feld action zugeordnet oder auf QUARANTINE gesetzt, wenn action „warnen“ oder „umgehen“ ist. ALLOW , wenn action „Zulassen“ ist. BLOCK , wenn action blockiert ist. |
action |
security_result.action_details |
Wird aus dem Feld action zugeordnet, wenn es „warnen“ oder „umgehen“ lautet. |
activity |
security_result.description |
Direkt aus dem Feld activity zugeordnet. |
alert |
is_alert |
Wird auf true gesetzt, wenn alert „Ja“ ist, andernfalls auf false . |
alert_name |
- | Nicht dem IDM-Objekt zugeordnet. |
alert_type |
security_result.category_details |
Direkt aus dem Feld alert_type zugeordnet. |
app |
target.application |
Direkt aus dem Feld app zugeordnet. |
app_activity |
additional.fields {key:"app_activity", value:{string_value: |
Wird direkt aus dem Feld app_activity als Schlüssel/Wert-Paar in additional.fields zugeordnet. |
app_session_id |
target.resource.attribute.labels {key:"App-Sitzungs-ID", value: |
Mit Grok aus dem Feld message extrahiert und als Label hinzugefügt. |
appcategory |
security_result.category_details |
Wird direkt aus dem Feld appcategory zugeordnet, wenn category leer ist. |
browser |
network.http.user_agent |
Wird direkt aus dem Feld browser zugeordnet, sofern es nicht „unbekannt“ ist. |
browser_version |
network.http.parsed_user_agent.browser_version |
Direkt aus dem Feld browser_version zugeordnet. |
browser_version |
network.http.parsed_user_agent.family |
Wird auf „USER_DEFINED“ gesetzt, wenn browser_version vorhanden ist. |
category |
security_result.category_details |
Direkt aus dem Feld category zugeordnet. |
cci |
security_result.detection_fields {key:"cci", value: |
Wird direkt aus dem Feld cci als Schlüssel/Wert-Paar in detection_fields zugeordnet. |
ccl |
security_result.confidence |
Wird basierend auf dem Wert von ccl festgelegt: „schlecht“ oder „niedrig“ entspricht LOW_CONFIDENCE , „mittel“ entspricht MEDIUM_CONFIDENCE , „hoch“ oder „sehr gut“ entspricht HIGH_CONFIDENCE . |
ccl |
security_result.confidence_details |
Direkt aus dem Feld ccl zugeordnet. |
client_bytes |
network.sent_bytes |
Wird direkt aus dem Feld client_bytes nach der Umwandlung in eine Ganzzahl ohne Vorzeichen zugeordnet. |
count |
additional.fields {key:"count", value:{string_value: |
Wird direkt aus dem Feld count als Schlüssel/Wert-Paar in additional.fields zugeordnet. |
device |
principal.resource.resource_subtype |
Direkt aus dem Feld device zugeordnet. |
device |
principal.resource.type |
Setzen Sie auf „DEVICE“, wenn das Feld device vorhanden ist. |
dlp_file |
target.file.full_path |
Wird direkt aus dem Feld dlp_file zugeordnet, falls vorhanden, andernfalls aus file_path . |
dlp_profile |
security_result.rule_type |
Direkt aus dem Feld dlp_profile zugeordnet. |
dlp_rule |
security_result.rule_name |
Direkt aus dem Feld dlp_rule zugeordnet. |
dlp_rule_severity |
security_result.severity |
Wird direkt aus dem Feld dlp_rule_severity zugeordnet, wenn alert_type „DLP“ ist. |
dlp_rule_severity |
_severity |
Wird aus dem Feld dlp_rule_severity zugeordnet, wenn severity leer ist. |
domain |
target.asset.hostname |
Direkt aus dem Feld domain zugeordnet. |
domain |
target.hostname |
Direkt aus dem Feld domain zugeordnet. |
dsthost |
target.asset.hostname |
Wird direkt aus dem Feld dsthost zugeordnet, wenn es sich nicht um eine IP-Adresse handelt und dstip leer ist. Andernfalls wird es target.hostname zugeordnet. |
dsthost |
target.hostname |
Wird direkt aus dem Feld dsthost zugeordnet, wenn es sich nicht um eine IP-Adresse handelt und dstip nicht leer ist. |
dstip |
target.asset.ip |
Direkt aus dem Feld dstip zugeordnet. |
dstip |
target.ip |
Direkt aus dem Feld dstip zugeordnet. |
dstport |
target.port |
Wird direkt aus dem Feld dstport nach der Umwandlung in einen Ganzzahlwert zugeordnet. |
dst_country |
target.location.country_or_region |
Direkt aus dem Feld dst_country zugeordnet. |
dst_location |
target.location.city |
Direkt aus dem Feld dst_location zugeordnet. |
dst_region |
target.location.name |
Direkt aus dem Feld dst_region zugeordnet. |
file_path |
target.file.full_path |
Wird direkt aus dem Feld file_path zugeordnet, wenn dlp_file leer ist. |
file_size |
target.file.size |
Wird direkt aus dem Feld file_size nach der Umwandlung in eine Ganzzahl ohne Vorzeichen zugeordnet. |
file_type |
target.file.mime_type |
Wird direkt aus dem Feld file_type zugeordnet, sofern es nicht „Unbekannt“ lautet. |
from_user |
network.email.from |
Wird direkt aus dem Feld from_user zugeordnet, wenn es sich um eine E-Mail-Adresse handelt. |
from_user_category |
principal.resource.attribute.labels {key:"From User Category", value: |
Wird direkt aus dem Feld from_user_category als Schlüssel/Wert-Paar in principal.resource.attribute.labels zugeordnet. |
hostname |
principal.asset.hostname |
Wird direkt aus dem Feld hostname zugeordnet, sofern es nicht leer ist, andernfalls aus instance_id . |
hostname |
principal.hostname |
Wird direkt aus dem Feld hostname zugeordnet, sofern es nicht leer ist, andernfalls aus instance_id . |
id.time |
metadata.event_timestamp |
Wird in den Metadaten geparst und in „event_timestamp“ umgewandelt. |
instance_id |
principal.asset.hostname |
Wird direkt aus dem Feld instance_id zugeordnet, wenn hostname leer ist. |
instance_id |
principal.hostname |
Wird direkt aus dem Feld instance_id zugeordnet, wenn hostname leer ist. |
intermediary |
intermediary |
Direkt aus dem Feld intermediary zugeordnet. |
ip_protocol |
network.ip_protocol |
Aus dem Feld ip_protocol zugeordnet, nachdem es von der Datei parse_ip_protocol.include geparst wurde. |
is_alert |
is_alert |
Vom Parser generiertes Feld. Setzen Sie den Wert auf „true“, wenn das Feld alert „yes“ (ja) enthält. |
is_significant |
is_significant |
Vom Parser generiertes Feld. Setzen Sie den Wert auf „wahr“, wenn _severity „KRITISCH“ oder „HOCH“ ist. |
ja3 |
network.tls.client.ja3 |
Wird direkt aus dem Feld ja3 zugeordnet, wenn es mit einem Hexadezimalmuster übereinstimmt. |
ja3s |
network.tls.server.ja3s |
Wird direkt aus dem Feld ja3s zugeordnet, wenn es mit einem Hexadezimalmuster übereinstimmt. |
malware_id |
security_result.threat_id |
Direkt aus dem Feld malware_id zugeordnet. |
malware_name |
security_result.threat_name |
Direkt aus dem Feld malware_name zugeordnet. |
malware_severity |
security_result.severity |
Wird direkt aus dem Feld malware_severity zugeordnet, nachdem es in Großbuchstaben umgewandelt wurde. |
malware_type |
security_result.detection_fields {key:"Malware Type", value: |
Wird direkt aus dem Feld malware_type als Schlüssel/Wert-Paar in detection_fields zugeordnet. |
matched_username |
principal.user.email_addresses |
Wird direkt aus dem Feld matched_username zugeordnet, wenn es sich um eine E-Mail-Adresse handelt. |
md5 |
target.file.md5 |
Wird direkt aus dem Feld md5 zugeordnet, sofern es nicht leer oder „Nicht verfügbar“ ist. |
metadata.event_type |
metadata.event_type |
Wird zuerst auf „GENERIC_EVENT“ gesetzt und dann möglicherweise basierend auf anderen Feldern überschrieben. Legen Sie NETWORK_HTTP fest, wenn srcip oder hostname und dstip oder dsthost oder domain vorhanden sind. Legen Sie STATUS_UPDATE fest, wenn srcip oder hostname vorhanden sind, aber nicht dstip , dsthost oder domain . Wird auf USER_UNCATEGORIZED gesetzt, wenn user vorhanden ist. Wird auf EMAIL_UNCATEGORIZED gesetzt, wenn activity „Introspection Scan“ ist und shared_with oder from_user vorhanden ist. Legen Sie USER_LOGIN fest, wenn activity „Anmeldung fehlgeschlagen“, „Anmeldung erfolgreich“ oder „Anmeldeversuch“ ist. |
metadata.log_type |
metadata.log_type |
Legen Sie „NETSKOPE_ALERT“ fest. |
metadata.product_log_id |
metadata.product_log_id |
Direkt aus dem Feld _id zugeordnet. |
metadata.product_name |
metadata.product_name |
Legen Sie „Netskope Alert“ fest. |
metadata.vendor_name |
metadata.vendor_name |
Legen Sie „Netskope“ fest. |
netskope_pop |
observer.hostname |
Direkt aus dem Feld netskope_pop zugeordnet. |
object |
additional.fields {key:"Object", value:{string_value: |
Wird direkt aus dem Feld object als Schlüssel/Wert-Paar in additional.fields zugeordnet. |
object_id |
additional.fields {key:"Object id", value:{string_value: |
Wird direkt aus dem Feld object_id als Schlüssel/Wert-Paar in additional.fields zugeordnet. |
object_type |
additional.fields {key:"Object type", value:{string_value: |
Wird direkt aus dem Feld object_type als Schlüssel/Wert-Paar in additional.fields zugeordnet. |
organization_unit |
principal.administrative_domain |
Direkt aus dem Feld organization_unit zugeordnet. |
os |
principal.platform |
Zuordnung aus dem Feld os : „Windows“ wird WINDOWS zugeordnet, „MAC“ MAC und „LINUX“ LINUX . |
os_version |
principal.platform_version |
Direkt aus dem Feld os_version zugeordnet. |
other_categories |
- | Nicht dem IDM-Objekt zugeordnet. |
page |
network.http.referral_url |
Wird direkt aus dem Feld page zugeordnet, wenn referer leer ist. |
policy |
security_result.summary |
Direkt aus dem Feld policy zugeordnet. |
principal.user.email_addresses |
principal.user.email_addresses |
Aus dem Feld user zusammengeführt, wenn es sich um eine E-Mail-Adresse handelt. |
protocol |
network.application_protocol |
Wird direkt aus dem Feld protocol zugeordnet, nachdem alles nach dem ersten „/“ entfernt wurde. In Großbuchstaben umgewandelt. |
publisher_cn |
additional.fields {key:"publisher_cn", value:{string_value: |
Wird direkt aus dem Feld publisher_cn als Schlüssel/Wert-Paar in additional.fields zugeordnet. |
publisher_name |
additional.fields {key:"publisher_name", value:{string_value: |
Wird direkt aus dem Feld publisher_name als Schlüssel/Wert-Paar in additional.fields zugeordnet. |
referer |
network.http.referral_url |
Direkt aus dem Feld referer zugeordnet. |
security_result.alert_state |
security_result.alert_state |
Legen Sie „ALERTING“ fest, wenn alert „yes“ ist, „NOT_ALERTING“, wenn alert „no“ ist, andernfalls „UNSPECIFIED“. |
security_result.category_details |
security_result.category_details |
Aus den Feldern category , appcategory oder alert_type zusammengeführt. |
security_result.confidence |
security_result.confidence |
Abgeleitet aus dem Feld ccl . |
security_result.confidence_details |
security_result.confidence_details |
Direkt aus dem Feld ccl zugeordnet. |
security_result.description |
security_result.description |
Direkt aus dem Feld activity zugeordnet. |
security_result.rule_name |
security_result.rule_name |
Direkt aus dem Feld dlp_rule zugeordnet. |
security_result.rule_type |
security_result.rule_type |
Direkt aus dem Feld dlp_profile zugeordnet. |
security_result.severity |
security_result.severity |
Abgeleitet aus den Feldern _severity , malware_severity oder dlp_rule_severity . |
security_result.summary |
security_result.summary |
Direkt aus dem Feld policy zugeordnet. |
security_result.threat_id |
security_result.threat_id |
Direkt aus dem Feld malware_id zugeordnet. |
security_result.threat_name |
security_result.threat_name |
Direkt aus dem Feld malware_name zugeordnet. |
server_bytes |
network.received_bytes |
Wird direkt aus dem Feld server_bytes nach der Umwandlung in eine Ganzzahl ohne Vorzeichen zugeordnet. |
severity |
_severity |
Direkt aus dem Feld severity zugeordnet. |
sha256 |
target.file.sha256 |
Direkt aus dem Feld sha256 zugeordnet. |
shared_with |
network.email.to |
Wird aus dem Feld shared_with geparst und dem Array network.email.to hinzugefügt, wenn es sich um eine E-Mail-Adresse handelt. |
site |
additional.fields {key:"site", value:{string_value: |
Wird direkt aus dem Feld site als Schlüssel/Wert-Paar in additional.fields zugeordnet. |
src_country |
principal.location.country_or_region |
Direkt aus dem Feld src_country zugeordnet. |
src_latitude |
principal.location.region_latitude |
Direkt aus dem Feld src_latitude zugeordnet. |
src_location |
principal.location.city |
Direkt aus dem Feld src_location zugeordnet. |
src_longitude |
principal.location.region_longitude |
Direkt aus dem Feld src_longitude zugeordnet. |
src_region |
principal.location.name |
Direkt aus dem Feld src_region zugeordnet. |
srcip |
principal.asset.ip |
Mit Grok aus dem Feld srcip extrahiert und in die Arrays principal.asset.ip und principal.ip zusammengeführt. |
srcip |
principal.ip |
Mit Grok aus dem Feld srcip extrahiert und in die Arrays principal.asset.ip und principal.ip zusammengeführt. |
srcport |
principal.port |
Wird direkt aus dem Feld srcport nach der Umwandlung in einen Ganzzahlwert zugeordnet. |
target.user.email_addresses |
target.user.email_addresses |
Aus dem Feld to_user zusammengeführt, wenn es sich um eine E-Mail-Adresse handelt. |
threat_match_field |
security_result.detection_fields {key:"Threat Match Field", value: |
Wird direkt aus dem Feld threat_match_field als Schlüssel/Wert-Paar in detection_fields zugeordnet. |
timestamp |
metadata.event_timestamp |
Aus den Feldern timestamp oder id.time geparst. |
to_user |
target.user.email_addresses |
Wird aus dem Feld to_user geparst und dem Array target.user.email_addresses hinzugefügt, wenn es sich um eine E-Mail-Adresse handelt. |
to_user_category |
target.resource.attribute.labels {key:"To User Category", value: |
Wird direkt aus dem Feld to_user_category als Schlüssel/Wert-Paar in target.resource.attribute.labels zugeordnet. |
traffic_type |
security_result.detection_fields {key:"traffic_type", value: |
Wird direkt aus dem Feld traffic_type als Schlüssel/Wert-Paar in detection_fields zugeordnet. |
tunnel_id |
additional.fields {key:"tunnel_id", value:{string_value: |
Wird direkt aus dem Feld tunnel_id als Schlüssel/Wert-Paar in additional.fields zugeordnet. |
tunnel_type |
additional.fields {key:"tunnel_type", value:{string_value: |
Wird direkt aus dem Feld tunnel_type als Schlüssel/Wert-Paar in additional.fields zugeordnet. |
type |
security_result.detection_fields {key:"type", value: |
Wird direkt aus dem Feld type als Schlüssel/Wert-Paar in detection_fields zugeordnet. |
ur_normalized |
- | Nicht dem IDM-Objekt zugeordnet. |
url |
target.url |
Direkt aus dem Feld url zugeordnet. |
user |
event.idm.read_only_udm.principal.user.userid |
Direkt aus dem Feld user zugeordnet. |
user |
principal.user.email_addresses |
Wird direkt aus dem Feld user zugeordnet, wenn es sich um eine E-Mail-Adresse handelt. |
useragent |
network.http.user_agent |
Direkt aus dem Feld useragent zugeordnet. |
useragent |
network.http.parsed_user_agent |
In „parseduseragent“ umgewandelt und network.http.parsed_user_agent zugeordnet. |
user_agent |
network.http.user_agent |
Direkt aus dem Feld user_agent zugeordnet. |
user_agent |
network.http.parsed_user_agent |
In „parseduseragent“ umgewandelt und network.http.parsed_user_agent zugeordnet. |
Änderungen
2024-06-04
- „matched_username“ wurde auf „principal.user.email_addresses“ zugeordnet.
- Wenn „action“ „bypass“ oder „alert“ ist, ordnen Sie „action“ dem Attribut „security_result.action_details“ zu und legen Sie „security_result.action“ auf „QUARANTINE“ fest.
- Wenn „alert_type“ „DLP“ ist, wird „dlp_rule_severity“ mit „security_result.severity“ abgeglichen.
2024-02-19
- Die Zuordnung von „client_bytes“ wurde von „network.received_bytes“ zu „network.sent_bytes“ geändert.
- Die Zuordnung von „server_bytes“ wurde von „network.sent_bytes“ zu „network.received_bytes“ geändert.
2024-02-08
- „useragent“ und „user_agent“ wurden in „network.http.user_agent“ und „network.http.parsed_user_agent“ umgewandelt.
2023-11-10
- Grok-Muster hinzugefügt, um zu prüfen, ob „srcip“ ein gültiges IP-Muster ist.
- „instance_id“ wurde „principal.hostname“ zugeordnet.
- „traffic_type“ wurde in „security_result.detection_fields“ zugeordnet.
- „app_activity“ wurde auf „additional.fields“ zugeordnet.
- „Anzahl“ wurde „additional.fields“ zugeordnet.
- „site“ wurde „additional.fields“ zugeordnet.
- „device“ wurde „principal.resource.resource_sub_type“ zugeordnet.
- „type“ wurde auf „security_result.detection_fields“ zugeordnet.
- Die Zuordnung von „hostname“ wurde von „rename“ zu „replace“ geändert.
- Die Zuordnung für „cci“ wurde von „additional.fields“ zu „security_result.detection_fields“ geändert.
- Die Zuordnung für „ccl“ wurde von „additional.fields“ zu „security_result.confidence_details“ geändert.
- „security_result.confidence“ wurde gemäß dem Wert in „ccl“ ausgefüllt.
2023-07-14
- Fehlerkorrektur –
- Vor der Zuordnung wurde der Wert für „browser_session_id“ und „app_session_id“ mithilfe eines Grok-Musters extrahiert.
- Es wurde eine Bedingungsüberprüfung hinzugefügt, um E-Mail-Adressen zu validieren, bevor das Feld „to_user“ zugeordnet wird.
2023-07-06
- Verbesserung –
- Modifiziertes Grok-Muster, um zu ermitteln, ob „dsthost“ eine IP-Adresse ist oder nicht.
- Wenn „dsthost“ eine IP-Adresse ist, wird sie „target.ip“ zugeordnet, andernfalls „target.hostname“.
2023-06-06
- Verbesserung –
- „domain“ wurde „target.hostname“ zugeordnet.
- „app_session_id“ wurde auf „target.resource.attribute.labels“ zugeordnet.
- „malware_severity“ wurde zu „security_result.severity“ zugeordnet.
- „malware_type“ wurde in „security_result.detection_fields“ geändert.
- „threat_match_field“ wurde in „security_result.detection_fields“ geändert.
- „ja3“ wurde auf „network.tls.client.ja3“ umgestellt.
- „ja3s“ wurde auf „network.tls.server.ja3s“ umgestellt.
- „cci“ und „ccl“ wurden „additional.fields“ zugeordnet.
- „access_method“ wurde auf „extensions.auth.auth_details“ umgestellt.
- „browser_version“ wurde in „network.http.parsed_user_agent.browser_version“ umgewandelt.
- „dlp_profile“ wurde in „security_result.rule_type“ umgewandelt.
- „dlp_rule“ wurde in „security_result.rule_name“ geändert.
- „netskope_pop“ wurde „observer.hostname“ zugeordnet.
- „page“ wurde „network.http.referral_url“ zugeordnet.
- „to_user“ wurde in „target.user.email_addresses“ geändert.
- „to_user_category“ wurde in „target.resource.attribute.labels“ umgewandelt.
2023-03-23
- Verbesserung –
- „security_result.alert_state“ wurde „ALERTING“ zugeordnet, wenn „alert“ dem Wert „yes“ entspricht.
- „security_result.alert_state“ wurde in „NOT_ALERTING“ umgewandelt, wenn „alert“ mit „no“ übereinstimmt.
- „security_result.alert_state“ wurde in „UNBESCHRIEBEN“ umgewandelt, wenn „alert“ den Wert „null“ hat.
2022-07-23
- Unnötige Zuordnung für „metadata.description“ entfernt.
2022-07-01
- Das Feld „os“ ist „principal.platform“ zugeordnet.
- Das Feld „dsthost“ wird „target.ip“ zugeordnet, wenn „dsthost“ eine IP-Adresse ist, andernfalls „target.hostname“.
- Das Feld „dstport“ ist „target.port“ zugeordnet.
- Das Feld „srcport“ ist „principal.port“ zugeordnet.
- Das Feld „user“, das auf „principal.user.email_addresses“ zugeordnet ist, wenn „user“ eine gültige E-Mail-Adresse ist.
- Das Feld „src_latitude“ ist „principal.location.region_latitude“ zugeordnet.
- Das Feld „src_longitude“ ist „principal.location.region_longitude“ zugeordnet.
- Das Feld „ip_protocol“ wurde „network.ip_protocol“ zugeordnet.
- Das Feld „client_bytes“ ist „network.received_bytes“ zugeordnet.
- Das Feld „server_bytes“ ist „network.sent_bytes“ zugeordnet.
- Das Feld „browser_session_id“ ist „network.session_id“ zugeordnet.
- Das Feld „network_session_id“ wurde „network.session_id“ zugeordnet.
- Das Feld „appcategory“ ist „security_result.category_details“ zugeordnet.
- Das Feld „publisher_cn“ ist „additional.fields[n]“ zugeordnet.
- Das Feld „publisher_name“ wurde „additional.fields[n]“ zugeordnet.
- Das Feld „tunnel_id“ ist „additional.fields[n]“ zugeordnet.
- Das Feld „tunnel_type“ wurde „additional.fields[n]“ zugeordnet.
- Die Zuordnung für das Feld „shared_with“ wurde von „intermediary.user.email_addresses“ zu „network.email.to“ geändert.
- Die Zuordnung für das Feld „network.email.to“ wurde von „principal.user.email_addresses“ zu „network.email.from“ geändert.
- Bedingte Prüfungen für die Felder „_severity“, „shared_with“, „from_user“ und „protocol“ hinzugefügt.
- „metadata.event_type“ wurde in den folgenden Fällen geändert:
- „GENERIC_EVENT“ in „NETWORK_HTTP“, wobei „principal.ip or principal.hostname“ und „target.ip or target.hostname“ nicht null sind.
- „GENERIC_EVENT“ in „STATUS_UPDATE“, wobei „principal.ip“ oder „principal.hostname“ nicht null ist.
- „GENERIC_EVENT“ in „USER_UNCATEGORIZED“, wenn „principal.user.userid“ nicht null ist.
2022-06-17
- Fehlerkorrektur:
- Bedingte Prüfung für „md5“ = „nicht verfügbar“ hinzugefügt.