Netskope-Benachrichtigungsprotokolle v1 erfassen

Unterstützt in:

Übersicht

Dieser Parser extrahiert Netskope-Benachrichtigungsprotokolle aus JSON-formatierten Nachrichten und wandelt sie in das UDM von Google Security Operations um. Es normalisiert Felder, analysiert Zeitstempel, verarbeitet Benachrichtigungen und Schweregrade, extrahiert Netzwerkinformationen (IP-Adressen, Ports, Protokolle), ergänzt Nutzer- und Dateidaten und ordnet Felder der UDM-Struktur zu. Der Parser verarbeitet auch bestimmte Netskope-Aktivitäten wie Anmeldungen und DLP-Ereignisse und fügt benutzerdefinierte Labels für einen erweiterten Kontext hinzu.

Hinweis

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen erhöhte Zugriffsrechte für Netskope.

Netskope REST API-Zugriff aktivieren

  1. Melden Sie sich mit Ihren Administratoranmeldedaten im Netskope-Tenant an.
  2. Gehen Sie zu Einstellungen > Tools > REST API v1.
  3. Erstellen Sie einen neuen API-Schlüssel speziell für Google SecOps.
  4. Geben Sie einen aussagekräftigen Namen an, z. B. Google SecOps-Schlüssel.
  5. Kopieren und speichern Sie den generierten Schlüssel und das Secret.

Feed in Google SecOps für die Aufnahme von Netskope-Benachrichtigungsprotokollen konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Netskope-Benachrichtigungsprotokolle.
  4. Wählen Sie API eines Drittanbieters als Quelltyp aus.
  5. Wählen Sie Netskope als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • HTTP-Authentifizierungsheader: Schlüsselpaar, das zuvor im <key>:<secret>-Format generiert wurde und zur Authentifizierung bei der Netskope API verwendet wird.
    • API-Hostname:Der FQDN (vollqualifizierter Domainname) Ihres Netskope REST API-Endpunkt, z. B. myinstance.goskope.com.
    • API-Endpunkt:Geben Sie alerts ein.
    • Inhaltstyp:Geben Sie alle ein.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Optional: Feedkonfiguration zum Aufnehmen von Netskope-Ereignisprotokollen hinzufügen

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie in das Feld Feedname einen Namen für den Feed ein, z. B. Netskope-Ereignisprotokolle.
  4. Wählen Sie API eines Drittanbieters als Quelltyp aus.
  5. Wählen Sie Netskope als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • HTTP-Authentifizierungsheader: Schlüsselpaar, das zuvor im <key>:<secret>-Format generiert wurde und zur Authentifizierung bei der Netskope API verwendet wird.
    • API-Hostname:Der FQDN (vollqualifizierter Domainname) Ihres Netskope REST API-Endpunkt, z. B. myinstance.goskope.com.
    • API-Endpunkt:Geben Sie events ein.
    • Inhaltstyp:Geben Sie je nach den Ereignissen, die Sie analysieren möchten, Seite, Anwendung, Audit, Infrastruktur oder Netzwerk ein.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
access_method extensions.auth.auth_details Direkt aus dem Feld access_method zugeordnet.
action security_result.action Wird direkt aus dem Feld action zugeordnet oder auf QUARANTINE gesetzt, wenn action „warnen“ oder „umgehen“ ist. ALLOW, wenn action „Zulassen“ ist. BLOCK, wenn action blockiert ist.
action security_result.action_details Wird aus dem Feld action zugeordnet, wenn es „warnen“ oder „umgehen“ lautet.
activity security_result.description Direkt aus dem Feld activity zugeordnet.
alert is_alert Wird auf true gesetzt, wenn alert „Ja“ ist, andernfalls auf false.
alert_name - Nicht dem IDM-Objekt zugeordnet.
alert_type security_result.category_details Direkt aus dem Feld alert_type zugeordnet.
app target.application Direkt aus dem Feld app zugeordnet.
app_activity additional.fields{key:"app_activity", value:{string_value: }} Wird direkt aus dem Feld app_activity als Schlüssel/Wert-Paar in additional.fields zugeordnet.
app_session_id target.resource.attribute.labels{key:"App-Sitzungs-ID", value: } Mit Grok aus dem Feld message extrahiert und als Label hinzugefügt.
appcategory security_result.category_details Wird direkt aus dem Feld appcategory zugeordnet, wenn category leer ist.
browser network.http.user_agent Wird direkt aus dem Feld browser zugeordnet, sofern es nicht „unbekannt“ ist.
browser_version network.http.parsed_user_agent.browser_version Direkt aus dem Feld browser_version zugeordnet.
browser_version network.http.parsed_user_agent.family Wird auf „USER_DEFINED“ gesetzt, wenn browser_version vorhanden ist.
category security_result.category_details Direkt aus dem Feld category zugeordnet.
cci security_result.detection_fields{key:"cci", value: } Wird direkt aus dem Feld cci als Schlüssel/Wert-Paar in detection_fields zugeordnet.
ccl security_result.confidence Wird basierend auf dem Wert von ccl festgelegt: „schlecht“ oder „niedrig“ entspricht LOW_CONFIDENCE, „mittel“ entspricht MEDIUM_CONFIDENCE, „hoch“ oder „sehr gut“ entspricht HIGH_CONFIDENCE.
ccl security_result.confidence_details Direkt aus dem Feld ccl zugeordnet.
client_bytes network.sent_bytes Wird direkt aus dem Feld client_bytes nach der Umwandlung in eine Ganzzahl ohne Vorzeichen zugeordnet.
count additional.fields{key:"count", value:{string_value: }} Wird direkt aus dem Feld count als Schlüssel/Wert-Paar in additional.fields zugeordnet.
device principal.resource.resource_subtype Direkt aus dem Feld device zugeordnet.
device principal.resource.type Setzen Sie auf „DEVICE“, wenn das Feld device vorhanden ist.
dlp_file target.file.full_path Wird direkt aus dem Feld dlp_file zugeordnet, falls vorhanden, andernfalls aus file_path.
dlp_profile security_result.rule_type Direkt aus dem Feld dlp_profile zugeordnet.
dlp_rule security_result.rule_name Direkt aus dem Feld dlp_rule zugeordnet.
dlp_rule_severity security_result.severity Wird direkt aus dem Feld dlp_rule_severity zugeordnet, wenn alert_type „DLP“ ist.
dlp_rule_severity _severity Wird aus dem Feld dlp_rule_severity zugeordnet, wenn severity leer ist.
domain target.asset.hostname Direkt aus dem Feld domain zugeordnet.
domain target.hostname Direkt aus dem Feld domain zugeordnet.
dsthost target.asset.hostname Wird direkt aus dem Feld dsthost zugeordnet, wenn es sich nicht um eine IP-Adresse handelt und dstip leer ist. Andernfalls wird es target.hostname zugeordnet.
dsthost target.hostname Wird direkt aus dem Feld dsthost zugeordnet, wenn es sich nicht um eine IP-Adresse handelt und dstip nicht leer ist.
dstip target.asset.ip Direkt aus dem Feld dstip zugeordnet.
dstip target.ip Direkt aus dem Feld dstip zugeordnet.
dstport target.port Wird direkt aus dem Feld dstport nach der Umwandlung in einen Ganzzahlwert zugeordnet.
dst_country target.location.country_or_region Direkt aus dem Feld dst_country zugeordnet.
dst_location target.location.city Direkt aus dem Feld dst_location zugeordnet.
dst_region target.location.name Direkt aus dem Feld dst_region zugeordnet.
file_path target.file.full_path Wird direkt aus dem Feld file_path zugeordnet, wenn dlp_file leer ist.
file_size target.file.size Wird direkt aus dem Feld file_size nach der Umwandlung in eine Ganzzahl ohne Vorzeichen zugeordnet.
file_type target.file.mime_type Wird direkt aus dem Feld file_type zugeordnet, sofern es nicht „Unbekannt“ lautet.
from_user network.email.from Wird direkt aus dem Feld from_user zugeordnet, wenn es sich um eine E-Mail-Adresse handelt.
from_user_category principal.resource.attribute.labels{key:"From User Category", value: } Wird direkt aus dem Feld from_user_category als Schlüssel/Wert-Paar in principal.resource.attribute.labels zugeordnet.
hostname principal.asset.hostname Wird direkt aus dem Feld hostname zugeordnet, sofern es nicht leer ist, andernfalls aus instance_id.
hostname principal.hostname Wird direkt aus dem Feld hostname zugeordnet, sofern es nicht leer ist, andernfalls aus instance_id.
id.time metadata.event_timestamp Wird in den Metadaten geparst und in „event_timestamp“ umgewandelt.
instance_id principal.asset.hostname Wird direkt aus dem Feld instance_id zugeordnet, wenn hostname leer ist.
instance_id principal.hostname Wird direkt aus dem Feld instance_id zugeordnet, wenn hostname leer ist.
intermediary intermediary Direkt aus dem Feld intermediary zugeordnet.
ip_protocol network.ip_protocol Aus dem Feld ip_protocol zugeordnet, nachdem es von der Datei parse_ip_protocol.include geparst wurde.
is_alert is_alert Vom Parser generiertes Feld. Setzen Sie den Wert auf „true“, wenn das Feld alert „yes“ (ja) enthält.
is_significant is_significant Vom Parser generiertes Feld. Setzen Sie den Wert auf „wahr“, wenn _severity „KRITISCH“ oder „HOCH“ ist.
ja3 network.tls.client.ja3 Wird direkt aus dem Feld ja3 zugeordnet, wenn es mit einem Hexadezimalmuster übereinstimmt.
ja3s network.tls.server.ja3s Wird direkt aus dem Feld ja3s zugeordnet, wenn es mit einem Hexadezimalmuster übereinstimmt.
malware_id security_result.threat_id Direkt aus dem Feld malware_id zugeordnet.
malware_name security_result.threat_name Direkt aus dem Feld malware_name zugeordnet.
malware_severity security_result.severity Wird direkt aus dem Feld malware_severity zugeordnet, nachdem es in Großbuchstaben umgewandelt wurde.
malware_type security_result.detection_fields{key:"Malware Type", value: } Wird direkt aus dem Feld malware_type als Schlüssel/Wert-Paar in detection_fields zugeordnet.
matched_username principal.user.email_addresses Wird direkt aus dem Feld matched_username zugeordnet, wenn es sich um eine E-Mail-Adresse handelt.
md5 target.file.md5 Wird direkt aus dem Feld md5 zugeordnet, sofern es nicht leer oder „Nicht verfügbar“ ist.
metadata.event_type metadata.event_type Wird zuerst auf „GENERIC_EVENT“ gesetzt und dann möglicherweise basierend auf anderen Feldern überschrieben. Legen Sie NETWORK_HTTP fest, wenn srcip oder hostname und dstip oder dsthost oder domain vorhanden sind. Legen Sie STATUS_UPDATE fest, wenn srcip oder hostname vorhanden sind, aber nicht dstip, dsthost oder domain. Wird auf USER_UNCATEGORIZED gesetzt, wenn user vorhanden ist. Wird auf EMAIL_UNCATEGORIZED gesetzt, wenn activity „Introspection Scan“ ist und shared_with oder from_user vorhanden ist. Legen Sie USER_LOGIN fest, wenn activity „Anmeldung fehlgeschlagen“, „Anmeldung erfolgreich“ oder „Anmeldeversuch“ ist.
metadata.log_type metadata.log_type Legen Sie „NETSKOPE_ALERT“ fest.
metadata.product_log_id metadata.product_log_id Direkt aus dem Feld _id zugeordnet.
metadata.product_name metadata.product_name Legen Sie „Netskope Alert“ fest.
metadata.vendor_name metadata.vendor_name Legen Sie „Netskope“ fest.
netskope_pop observer.hostname Direkt aus dem Feld netskope_pop zugeordnet.
object additional.fields{key:"Object", value:{string_value: }} Wird direkt aus dem Feld object als Schlüssel/Wert-Paar in additional.fields zugeordnet.
object_id additional.fields{key:"Object id", value:{string_value: }} Wird direkt aus dem Feld object_id als Schlüssel/Wert-Paar in additional.fields zugeordnet.
object_type additional.fields{key:"Object type", value:{string_value: }} Wird direkt aus dem Feld object_type als Schlüssel/Wert-Paar in additional.fields zugeordnet.
organization_unit principal.administrative_domain Direkt aus dem Feld organization_unit zugeordnet.
os principal.platform Zuordnung aus dem Feld os: „Windows“ wird WINDOWS zugeordnet, „MAC“ MAC und „LINUX“ LINUX.
os_version principal.platform_version Direkt aus dem Feld os_version zugeordnet.
other_categories - Nicht dem IDM-Objekt zugeordnet.
page network.http.referral_url Wird direkt aus dem Feld page zugeordnet, wenn referer leer ist.
policy security_result.summary Direkt aus dem Feld policy zugeordnet.
principal.user.email_addresses principal.user.email_addresses Aus dem Feld user zusammengeführt, wenn es sich um eine E-Mail-Adresse handelt.
protocol network.application_protocol Wird direkt aus dem Feld protocol zugeordnet, nachdem alles nach dem ersten „/“ entfernt wurde. In Großbuchstaben umgewandelt.
publisher_cn additional.fields{key:"publisher_cn", value:{string_value: }} Wird direkt aus dem Feld publisher_cn als Schlüssel/Wert-Paar in additional.fields zugeordnet.
publisher_name additional.fields{key:"publisher_name", value:{string_value: }} Wird direkt aus dem Feld publisher_name als Schlüssel/Wert-Paar in additional.fields zugeordnet.
referer network.http.referral_url Direkt aus dem Feld referer zugeordnet.
security_result.alert_state security_result.alert_state Legen Sie „ALERTING“ fest, wenn alert „yes“ ist, „NOT_ALERTING“, wenn alert „no“ ist, andernfalls „UNSPECIFIED“.
security_result.category_details security_result.category_details Aus den Feldern category, appcategory oder alert_type zusammengeführt.
security_result.confidence security_result.confidence Abgeleitet aus dem Feld ccl.
security_result.confidence_details security_result.confidence_details Direkt aus dem Feld ccl zugeordnet.
security_result.description security_result.description Direkt aus dem Feld activity zugeordnet.
security_result.rule_name security_result.rule_name Direkt aus dem Feld dlp_rule zugeordnet.
security_result.rule_type security_result.rule_type Direkt aus dem Feld dlp_profile zugeordnet.
security_result.severity security_result.severity Abgeleitet aus den Feldern _severity, malware_severity oder dlp_rule_severity.
security_result.summary security_result.summary Direkt aus dem Feld policy zugeordnet.
security_result.threat_id security_result.threat_id Direkt aus dem Feld malware_id zugeordnet.
security_result.threat_name security_result.threat_name Direkt aus dem Feld malware_name zugeordnet.
server_bytes network.received_bytes Wird direkt aus dem Feld server_bytes nach der Umwandlung in eine Ganzzahl ohne Vorzeichen zugeordnet.
severity _severity Direkt aus dem Feld severity zugeordnet.
sha256 target.file.sha256 Direkt aus dem Feld sha256 zugeordnet.
shared_with network.email.to Wird aus dem Feld shared_with geparst und dem Array network.email.to hinzugefügt, wenn es sich um eine E-Mail-Adresse handelt.
site additional.fields{key:"site", value:{string_value: }} Wird direkt aus dem Feld site als Schlüssel/Wert-Paar in additional.fields zugeordnet.
src_country principal.location.country_or_region Direkt aus dem Feld src_country zugeordnet.
src_latitude principal.location.region_latitude Direkt aus dem Feld src_latitude zugeordnet.
src_location principal.location.city Direkt aus dem Feld src_location zugeordnet.
src_longitude principal.location.region_longitude Direkt aus dem Feld src_longitude zugeordnet.
src_region principal.location.name Direkt aus dem Feld src_region zugeordnet.
srcip principal.asset.ip Mit Grok aus dem Feld srcip extrahiert und in die Arrays principal.asset.ip und principal.ip zusammengeführt.
srcip principal.ip Mit Grok aus dem Feld srcip extrahiert und in die Arrays principal.asset.ip und principal.ip zusammengeführt.
srcport principal.port Wird direkt aus dem Feld srcport nach der Umwandlung in einen Ganzzahlwert zugeordnet.
target.user.email_addresses target.user.email_addresses Aus dem Feld to_user zusammengeführt, wenn es sich um eine E-Mail-Adresse handelt.
threat_match_field security_result.detection_fields{key:"Threat Match Field", value: } Wird direkt aus dem Feld threat_match_field als Schlüssel/Wert-Paar in detection_fields zugeordnet.
timestamp metadata.event_timestamp Aus den Feldern timestamp oder id.time geparst.
to_user target.user.email_addresses Wird aus dem Feld to_user geparst und dem Array target.user.email_addresses hinzugefügt, wenn es sich um eine E-Mail-Adresse handelt.
to_user_category target.resource.attribute.labels{key:"To User Category", value: } Wird direkt aus dem Feld to_user_category als Schlüssel/Wert-Paar in target.resource.attribute.labels zugeordnet.
traffic_type security_result.detection_fields{key:"traffic_type", value: } Wird direkt aus dem Feld traffic_type als Schlüssel/Wert-Paar in detection_fields zugeordnet.
tunnel_id additional.fields{key:"tunnel_id", value:{string_value: }} Wird direkt aus dem Feld tunnel_id als Schlüssel/Wert-Paar in additional.fields zugeordnet.
tunnel_type additional.fields{key:"tunnel_type", value:{string_value: }} Wird direkt aus dem Feld tunnel_type als Schlüssel/Wert-Paar in additional.fields zugeordnet.
type security_result.detection_fields{key:"type", value: } Wird direkt aus dem Feld type als Schlüssel/Wert-Paar in detection_fields zugeordnet.
ur_normalized - Nicht dem IDM-Objekt zugeordnet.
url target.url Direkt aus dem Feld url zugeordnet.
user event.idm.read_only_udm.principal.user.userid Direkt aus dem Feld user zugeordnet.
user principal.user.email_addresses Wird direkt aus dem Feld user zugeordnet, wenn es sich um eine E-Mail-Adresse handelt.
useragent network.http.user_agent Direkt aus dem Feld useragent zugeordnet.
useragent network.http.parsed_user_agent In „parseduseragent“ umgewandelt und network.http.parsed_user_agent zugeordnet.
user_agent network.http.user_agent Direkt aus dem Feld user_agent zugeordnet.
user_agent network.http.parsed_user_agent In „parseduseragent“ umgewandelt und network.http.parsed_user_agent zugeordnet.

Änderungen

2024-06-04

  • „matched_username“ wurde auf „principal.user.email_addresses“ zugeordnet.
  • Wenn „action“ „bypass“ oder „alert“ ist, ordnen Sie „action“ dem Attribut „security_result.action_details“ zu und legen Sie „security_result.action“ auf „QUARANTINE“ fest.
  • Wenn „alert_type“ „DLP“ ist, wird „dlp_rule_severity“ mit „security_result.severity“ abgeglichen.

2024-02-19

  • Die Zuordnung von „client_bytes“ wurde von „network.received_bytes“ zu „network.sent_bytes“ geändert.
  • Die Zuordnung von „server_bytes“ wurde von „network.sent_bytes“ zu „network.received_bytes“ geändert.

2024-02-08

  • „useragent“ und „user_agent“ wurden in „network.http.user_agent“ und „network.http.parsed_user_agent“ umgewandelt.

2023-11-10

  • Grok-Muster hinzugefügt, um zu prüfen, ob „srcip“ ein gültiges IP-Muster ist.
  • „instance_id“ wurde „principal.hostname“ zugeordnet.
  • „traffic_type“ wurde in „security_result.detection_fields“ zugeordnet.
  • „app_activity“ wurde auf „additional.fields“ zugeordnet.
  • „Anzahl“ wurde „additional.fields“ zugeordnet.
  • „site“ wurde „additional.fields“ zugeordnet.
  • „device“ wurde „principal.resource.resource_sub_type“ zugeordnet.
  • „type“ wurde auf „security_result.detection_fields“ zugeordnet.
  • Die Zuordnung von „hostname“ wurde von „rename“ zu „replace“ geändert.
  • Die Zuordnung für „cci“ wurde von „additional.fields“ zu „security_result.detection_fields“ geändert.
  • Die Zuordnung für „ccl“ wurde von „additional.fields“ zu „security_result.confidence_details“ geändert.
  • „security_result.confidence“ wurde gemäß dem Wert in „ccl“ ausgefüllt.

2023-07-14

  • Fehlerkorrektur –
  • Vor der Zuordnung wurde der Wert für „browser_session_id“ und „app_session_id“ mithilfe eines Grok-Musters extrahiert.
  • Es wurde eine Bedingungsüberprüfung hinzugefügt, um E-Mail-Adressen zu validieren, bevor das Feld „to_user“ zugeordnet wird.

2023-07-06

  • Verbesserung –
  • Modifiziertes Grok-Muster, um zu ermitteln, ob „dsthost“ eine IP-Adresse ist oder nicht.
  • Wenn „dsthost“ eine IP-Adresse ist, wird sie „target.ip“ zugeordnet, andernfalls „target.hostname“.

2023-06-06

  • Verbesserung –
  • „domain“ wurde „target.hostname“ zugeordnet.
  • „app_session_id“ wurde auf „target.resource.attribute.labels“ zugeordnet.
  • „malware_severity“ wurde zu „security_result.severity“ zugeordnet.
  • „malware_type“ wurde in „security_result.detection_fields“ geändert.
  • „threat_match_field“ wurde in „security_result.detection_fields“ geändert.
  • „ja3“ wurde auf „network.tls.client.ja3“ umgestellt.
  • „ja3s“ wurde auf „network.tls.server.ja3s“ umgestellt.
  • „cci“ und „ccl“ wurden „additional.fields“ zugeordnet.
  • „access_method“ wurde auf „extensions.auth.auth_details“ umgestellt.
  • „browser_version“ wurde in „network.http.parsed_user_agent.browser_version“ umgewandelt.
  • „dlp_profile“ wurde in „security_result.rule_type“ umgewandelt.
  • „dlp_rule“ wurde in „security_result.rule_name“ geändert.
  • „netskope_pop“ wurde „observer.hostname“ zugeordnet.
  • „page“ wurde „network.http.referral_url“ zugeordnet.
  • „to_user“ wurde in „target.user.email_addresses“ geändert.
  • „to_user_category“ wurde in „target.resource.attribute.labels“ umgewandelt.

2023-03-23

  • Verbesserung –
  • „security_result.alert_state“ wurde „ALERTING“ zugeordnet, wenn „alert“ dem Wert „yes“ entspricht.
  • „security_result.alert_state“ wurde in „NOT_ALERTING“ umgewandelt, wenn „alert“ mit „no“ übereinstimmt.
  • „security_result.alert_state“ wurde in „UNBESCHRIEBEN“ umgewandelt, wenn „alert“ den Wert „null“ hat.

2022-07-23

  • Unnötige Zuordnung für „metadata.description“ entfernt.

2022-07-01

  • Das Feld „os“ ist „principal.platform“ zugeordnet.
  • Das Feld „dsthost“ wird „target.ip“ zugeordnet, wenn „dsthost“ eine IP-Adresse ist, andernfalls „target.hostname“.
  • Das Feld „dstport“ ist „target.port“ zugeordnet.
  • Das Feld „srcport“ ist „principal.port“ zugeordnet.
  • Das Feld „user“, das auf „principal.user.email_addresses“ zugeordnet ist, wenn „user“ eine gültige E-Mail-Adresse ist.
  • Das Feld „src_latitude“ ist „principal.location.region_latitude“ zugeordnet.
  • Das Feld „src_longitude“ ist „principal.location.region_longitude“ zugeordnet.
  • Das Feld „ip_protocol“ wurde „network.ip_protocol“ zugeordnet.
  • Das Feld „client_bytes“ ist „network.received_bytes“ zugeordnet.
  • Das Feld „server_bytes“ ist „network.sent_bytes“ zugeordnet.
  • Das Feld „browser_session_id“ ist „network.session_id“ zugeordnet.
  • Das Feld „network_session_id“ wurde „network.session_id“ zugeordnet.
  • Das Feld „appcategory“ ist „security_result.category_details“ zugeordnet.
  • Das Feld „publisher_cn“ ist „additional.fields[n]“ zugeordnet.
  • Das Feld „publisher_name“ wurde „additional.fields[n]“ zugeordnet.
  • Das Feld „tunnel_id“ ist „additional.fields[n]“ zugeordnet.
  • Das Feld „tunnel_type“ wurde „additional.fields[n]“ zugeordnet.
  • Die Zuordnung für das Feld „shared_with“ wurde von „intermediary.user.email_addresses“ zu „network.email.to“ geändert.
  • Die Zuordnung für das Feld „network.email.to“ wurde von „principal.user.email_addresses“ zu „network.email.from“ geändert.
  • Bedingte Prüfungen für die Felder „_severity“, „shared_with“, „from_user“ und „protocol“ hinzugefügt.
  • „metadata.event_type“ wurde in den folgenden Fällen geändert:
  • „GENERIC_EVENT“ in „NETWORK_HTTP“, wobei „principal.ip or principal.hostname“ und „target.ip or target.hostname“ nicht null sind.
  • „GENERIC_EVENT“ in „STATUS_UPDATE“, wobei „principal.ip“ oder „principal.hostname“ nicht null ist.
  • „GENERIC_EVENT“ in „USER_UNCATEGORIZED“, wenn „principal.user.userid“ nicht null ist.

2022-06-17

  • Fehlerkorrektur:
  • Bedingte Prüfung für „md5“ = „nicht verfügbar“ hinzugefügt.