Versa Networks Secure Access Service Edge (SASE)-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie die SASE-Protokolle (Secure Access Service Edge) von Versa Networks erfassen. Der Parser extrahiert Schlüssel/Wert-Paare nach einem ersten Grok-Filter. Diese Werte werden dann dem Unified Data Model (UDM) zugeordnet. Dabei werden verschiedene Protokollformate wie Firewall-Ereignisse, Anwendungsprotokolle und Alarmprotokolle verarbeitet. Außerdem werden Umwandlungen und Anreicherungen für bestimmte Felder wie IP-Protokoll und Risikobewertung durchgeführt.

Hinweis

  • Sie benötigen eine Google Security Operations-Instanz.
  • Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
  • Sie benötigen erhöhte Zugriffsrechte für Versa SASE.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
  3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profil.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

  1. Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.
  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Zusätzliche Installationsressourcen

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

  1. Rufen Sie die Konfigurationsdatei auf:

    • Suchen Sie die Datei config.yaml. Unter Linux befindet es sich normalerweise im Verzeichnis /etc/bindplane-agent/, unter Windows im Installationsverzeichnis.
    • Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.
  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
        tcplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:54525"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: `/path/to/ingestion-authentication-file.json`
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: SYSLOG
                namespace: versa_networks_sase
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
    
  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

BindPlane-Agent neu starten, um die Änderungen anzuwenden

  • Führen Sie unter Linux den folgenden Befehl aus, um den BindPlane-Agent neu zu starten:

    sudo systemctl restart bindplane-agent
    
  • Unter Windows können Sie den BindPlane-Agenten entweder über die Konsole Dienste oder über den folgenden Befehl neu starten:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Versa Networks SASE konfigurieren

Administratoren müssen Remote-Empfänger auf jedem Versa Analytics-Knoten konfigurieren, um Protokolle an Systeme von Drittanbietern weiterzuleiten.

So konfigurieren Sie die Versa-Analyseknoten:

  • Protokollweiterleitung aktivieren
  • Sitzungs-ID-Protokollierung aktivieren

Protokollweiterleitung aktivieren

  1. Melden Sie sich beim Versa-Analyseserver an.
  2. Rufen Sie die Befehlszeile auf, indem Sie den Befehl cli ausführen.
  3. Wechseln Sie zum Konfigurationsmodus, indem Sie den Befehl configure ausführen und dann load merge terminal eingeben.
  4. Kopieren Sie die folgenden Befehle und fügen Sie sie ein, um die Protokollweiterleitung einzurichten:

    • Ersetzen Sie <collector_ip> und <collector_port> durch die IP-Adresse und den Port Ihres syslog-Collectors (Bindebene).
    set system analytics log-collector-exporter destination-address <collector_ip>
    set system analytics log-collector-exporter destination-port <collector_port>
    set system analytics log-collector-exporter transport tcp
    set system analytics log-collector-exporter log-types firewall-log
    set system analytics log-collector-exporter log-types threat-log
    commit
    
  5. Speichern Sie die Konfiguration:

    save
    

Sitzungs-ID-Protokollierung aktivieren

Wenn Sie IP-bezogene Informationen erfassen möchten, aktivieren Sie die Protokollierung der Sitzungs-ID.

  1. Melden Sie sich in Versa Director an.
  2. Wechseln Sie zur Director-Ansicht.
  3. Rufen Sie Konfiguration > Geräte > Mieter > Gerät auf, um die Appliance-Ansicht aufzurufen.
  4. Wählen Sie Konfiguration > Sonstiges > System > Konfiguration > Konfiguration aus.
  5. Klicken Sie im Bereich Parameter auf Bearbeiten.
  6. Wählen Sie im Fenster Parameter bearbeiten die Option LEF aus.
  7. Klicken Sie im Bereich Firewall das Kästchen Sitzungs-ID-Protokollierung einschließen an.

  8. Klicken Sie auf OK.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
accCkt additional.fields[].key: „accCkt“
additional.fields[].value.string_value: accCkt
Wert, der direkt aus dem Feld accCkt übernommen wird.
accCktId additional.fields[].key: „accCktId“
additional.fields[].value.string_value: accCktId
Wert, der direkt aus dem Feld accCktId übernommen wird.
accCktName additional.fields[].key: „accCktName“
additional.fields[].value.string_value: accCktName
Wert, der direkt aus dem Feld accCktName übernommen wird.
accessType additional.fields[].key: „accessType“
additional.fields[].value.string_value: accessType
Wert, der direkt aus dem Feld accessType übernommen wird.
action security_result.action: action Wenn action, type, idpAction, avAction oder urlAction „Zulassen“ ist, dann ALLOW. Wenn action, type, idpAction, avAction oder urlAction „reject“ (ablehnen), „drop“ (verwerfen), „block“ (blockieren) oder „deny“ (verweigern) ist, dann BLOCK. Wenn idpAction einen anderen Wert als UNKNOWN_ACTION hat.
alarmCause security_result.detection_fields[].key: „alarmCause“
security_result.detection_fields[].value: alarmCause
Wert, der direkt aus dem Feld alarmCause übernommen wird.
alarmClass security_result.detection_fields[].key: „alarmClass“
security_result.detection_fields[].value: alarmClass
Wert, der direkt aus dem Feld alarmClass übernommen wird.
alarmClearable security_result.detection_fields[].key: „alarmClearable“
security_result.detection_fields[].value: alarmClearable
Wert, der direkt aus dem Feld alarmClearable übernommen wird.
alarmEventType metadata.product_event_type: alarmEventType Wert, der direkt aus dem Feld alarmEventType übernommen wird.
alarmKey security_result.detection_fields[].key: „alarmKey“
security_result.detection_fields[].value: alarmKey
Wert, der direkt aus dem Feld alarmKey übernommen wird.
alarmKind security_result.detection_fields[].key: „alarmKind“
security_result.detection_fields[].value: alarmKind
Wert, der direkt aus dem Feld alarmKind übernommen wird.
alarmOwner security_result.detection_fields[].key: „alarmOwner“
security_result.detection_fields[].value: alarmOwner
Wert, der direkt aus dem Feld alarmOwner übernommen wird.
alarmSeqNo security_result.detection_fields[].key: „alarmSeqNo“
security_result.detection_fields[].value: alarmSeqNo
Wert, der direkt aus dem Feld alarmSeqNo übernommen wird.
alarmSeverity security_result.severity_details: alarmSeverity Wert, der direkt aus dem Feld alarmSeverity übernommen wird.
alarmText security_result.summary: alarmText Wert, der direkt aus dem Feld alarmText übernommen wurde, ohne doppelte Anführungszeichen.
alarmType security_result.description: alarmType Wert, der direkt aus dem Feld alarmType übernommen wird.
appFamily metadata.product_event_type: appFamily
security_result.detection_fields[].key: „appFamily“
security_result.detection_fields[].value: appFamily
Wert, der direkt aus dem Feld appFamily übernommen wird.
appId security_result.detection_fields[].key: „Application ID“
security_result.detection_fields[].value: appId
Wert, der direkt aus dem Feld appId übernommen wird.
appIdStr security_result.detection_fields[].key: „appIdStr“
security_result.detection_fields[].value: appIdStr
Wert, der direkt aus dem Feld appIdStr übernommen wird.
applianceName principal.hostname: applianceName Wert, der direkt aus dem Feld applianceName, siteName oder site übernommen wird.
appProductivity security_result.detection_fields[].key: „appProductivity“
security_result.detection_fields[].value: appProductivity
Wert, der direkt aus dem Feld appProductivity übernommen wird.
appRisk security_result.severity_details: appRisk Wert, der direkt aus dem Feld appRisk übernommen wird.
appSubFamily security_result.detection_fields[].key: „appSubFamily“
security_result.detection_fields[].value: appSubFamily
Wert, der direkt aus dem Feld appSubFamily übernommen wird.
avAccuracy additional.fields[].key: „avAccuracy“
additional.fields[].value.string_value: avAccuracy
Wert, der direkt aus dem Feld avAccuracy übernommen wird.
avAction security_result.action: avAction Informationen zur Logik finden Sie unter action.
avMalwareName security_result.threat_name: avMalwareName Wert, der direkt aus dem Feld avMalwareName übernommen wird.
avMalwareType security_result.category_details: avMalwareType Wert, der direkt aus dem Feld avMalwareType übernommen wird.
classMsg security_result.description: classMsg Wert, der direkt aus dem Feld classMsg übernommen wurde, ohne doppelte Anführungszeichen.
clientIPv4Address target.ip: clientIPv4Address Wert, der direkt aus dem Feld clientIPv4Address übernommen wird.
destIp target.ip: destIp
destinationIPv4Address: destIp
Wert, der direkt aus dem Feld destIp übernommen wird.
destinationIPv4Address target.ip: destinationIPv4Address Wert, der direkt aus dem Feld destinationIPv4Address oder aus dem Feld networkPrefix abgeleitet wurde.
destinationIPv6Address target.ip: destinationIPv6Address Wert, der direkt aus dem Feld destinationIPv6Address übernommen wird.
destinationPort target.port: destinationPort Wert, der direkt aus dem Feld destinationPort übernommen und in eine Ganzzahl konvertiert wurde.
destinationTransportPort target.port: destinationTransportPort Wert, der direkt aus dem Feld destinationTransportPort übernommen und in eine Ganzzahl konvertiert wurde.
deviceKey about.resource.attribute.labels[].key: „deviceKey“
about.resource.attribute.labels[].value: deviceKey
Wert, der direkt aus dem Feld deviceKey übernommen wird, sofern nicht „Unbekannt“
deviceName about.resource.attribute.labels[].key: „deviceName“
about.resource.attribute.labels[].value: deviceName
Wert, der direkt aus dem Feld deviceName übernommen wird, sofern nicht „Unbekannt“
duration network.session_duration.seconds: duration Wert, der direkt aus dem Feld duration übernommen und in eine Ganzzahl konvertiert wurde.
egressInterfaceName additional.fields[].key: „egressInterfaceName“
additional.fields[].value.string_value: egressInterfaceName
Wert, der direkt aus dem Feld egressInterfaceName übernommen wird.
event.type metadata.event_type: event.type Wenn sowohl applianceName (oder sourceIPv4Address oder user oder sourceIPv6Address) als auch destinationIPv4Address (oder remoteSite oder destinationIPv6Address oder clientIPv4Address oder hostname) vorhanden sind, wird NETWORK_CONNECTION verwendet. Andernfalls STATUS_UPDATE. Wenn applianceName leer ist, dann GENERIC_EVENT.
eventType principal.resource.attribute.labels[].key: „eventType“
principal.resource.attribute.labels[].value: eventType
Wert, der direkt aus dem Feld eventType übernommen wird.
family security_result.detection_fields[].key: „family“
security_result.detection_fields[].value: family
Wert, der direkt aus dem Feld family übernommen wird.
fc security_result.detection_fields[].key: „ForwardingClass“
security_result.detection_fields[].value: fc
Wert, der direkt aus dem Feld fc übernommen wird.
fileTransDir additional.fields[].key: „fileTransDir“
additional.fields[].value.string_value: fileTransDir
Wert, der direkt aus dem Feld fileTransDir übernommen wird.
filename target.file.names: filename Wert, der direkt aus dem Feld filename übernommen wird.
flowCookie metadata.collected_timestamp: flowCookie Wert, der direkt aus dem Feld flowCookie übernommen und in das UNIX-Format für Zeitstempel konvertiert wird.
flowId principal.resource.product_object_id: flowId Wert, der direkt aus dem Feld flowId übernommen wird.
forwardForwardingClass security_result.detection_fields[].key: „forwardForwardingClass“
security_result.detection_fields[].value: forwardForwardingClass
Wert, der direkt aus dem Feld forwardForwardingClass übernommen wird.
fromCountry principal.location.country_or_region: fromCountry
target.location.country_or_region: fromCountry
Wert, der direkt aus dem Feld fromCountry übernommen wird.
fromUser principal.user.userid: fromUser Wert, der direkt aus dem Feld fromUser übernommen wird, sofern es nicht leer, „unbekannt“ oder „Unbekannt“ ist.
fromZone additional.fields[].key: „fromZone“
additional.fields[].value.string_value: fromZone
Wert, der direkt aus dem Feld fromZone übernommen wird.
generateTime metadata.collected_timestamp: generateTime Wert, der direkt aus dem Feld generateTime übernommen und in das UNIX-Format für Zeitstempel konvertiert wird.
hostname target.hostname: hostname Wert, der direkt aus dem Feld hostname übernommen wird.
httpUrl target.url: httpUrl Wert, der direkt aus dem Feld httpUrl übernommen wird.
icmpTypeIPv4 additional.fields[].key: „icmpTypeIPv4“
additional.fields[].value.string_value: icmpTypeIPv4
Wert, der direkt aus dem Feld icmpTypeIPv4 übernommen wird.
idpAction security_result.action: idpAction Informationen zur Logik finden Sie unter action.
ingressInterfaceName additional.fields[].key: „ingressInterfaceName“
additional.fields[].value.string_value: ingressInterfaceName
Wert, der direkt aus dem Feld ingressInterfaceName übernommen wird.
ipsApplication additional.fields[].key: „ipsApplication“
additional.fields[].value.string_value: ipsApplication
Wert, der direkt aus dem Feld ipsApplication übernommen wird.
ipsDirection security_result.detection_fields[].key: „ipsDirection“
security_result.detection_fields[].value: ipsDirection
Wert, der direkt aus dem Feld ipsDirection übernommen wird.
ipsProfile security_result.detection_fields[].key: „ipsProfile“
security_result.detection_fields[].value: ipsProfile
Wert, der direkt aus dem Feld ipsProfile übernommen wird.
ipsProfileRule security_result.rule_name: ipsProfileRule Wert, der direkt aus dem Feld ipsProfileRule übernommen wird.
ipsProtocol network.ip_protocol: ipsProtocol Wert, der direkt aus dem Feld ipsProtocol übernommen wird.
log_type metadata.description: log_type
metadata.log_type: log_type
Wert, der direkt aus dem Feld log_type übernommen wird.
mstatsTimeBlock metadata.collected_timestamp: mstatsTimeBlock Wert, der direkt aus dem Feld mstatsTimeBlock übernommen und in das UNIX-Format für Zeitstempel konvertiert wird.
mstatsTotRecvdOctets network.received_bytes: mstatsTotRecvdOctets Wert, der direkt aus dem Feld mstatsTotRecvdOctets übernommen und in eine positive Ganzzahl konvertiert wurde.
mstatsTotSentOctets network.sent_bytes: mstatsTotSentOctets Wert, der direkt aus dem Feld mstatsTotSentOctets übernommen und in eine positive Ganzzahl konvertiert wurde.
mstatsTotSessCount additional.fields[].key: „mstatsTotSessCount“
additional.fields[].value.string_value: mstatsTotSessCount
Wert, der direkt aus dem Feld mstatsTotSessCount übernommen wird.
mstatsTotSessDuration network.session_duration.seconds: mstatsTotSessDuration Wert, der direkt aus dem Feld mstatsTotSessDuration übernommen und in eine Ganzzahl konvertiert wurde.
mstatsType security_result.category_details: mstatsType Wert, der direkt aus dem Feld mstatsType übernommen wird.
networkPrefix target.ip: networkPrefix
target.port: networkPrefix
IP-Adresse, die aus dem Feld networkPrefix extrahiert wurde. Port, der aus dem Feld networkPrefix extrahiert und in eine Ganzzahl umgewandelt wurde.
protocolIdentifier network.ip_protocol: protocolIdentifier Wert, der direkt aus dem Feld protocolIdentifier übernommen, in einen Ganzzahlwert umgewandelt und mithilfe einer Suche dem Namen des IP-Protokolls zugeordnet wird.
recvdOctets network.received_bytes: recvdOctets Wert, der direkt aus dem Feld recvdOctets übernommen und in eine positive Ganzzahl konvertiert wurde.
recvdPackets network.received_packets: recvdPackets Wert, der direkt aus dem Feld recvdPackets übernommen und in eine Ganzzahl konvertiert wurde.
remoteSite target.hostname: remoteSite Wert, der direkt aus dem Feld remoteSite übernommen wird.
reverseForwardingClass security_result.detection_fields[].key: „reverseForwardingClass“
security_result.detection_fields[].value: reverseForwardingClass
Wert, der direkt aus dem Feld reverseForwardingClass übernommen wird.
risk security_result.risk_score: risk Wert, der direkt aus dem Feld risk übernommen und in einen Float-Wert umgewandelt wurde.
rule security_result.rule_name: rule Wert, der direkt aus dem Feld rule übernommen wird.
sentOctets network.sent_bytes: sentOctets Wert, der direkt aus dem Feld sentOctets übernommen und in eine positive Ganzzahl konvertiert wurde.
sentPackets network.sent_packets: sentPackets Wert, der direkt aus dem Feld sentPackets übernommen und in eine Ganzzahl konvertiert wurde.
serialNum security_result.detection_fields[].key: „serialNum“
security_result.detection_fields[].value: serialNum
Wert, der direkt aus dem Feld serialNum übernommen wird.
signatureId security_result.detection_fields[].key: „signatureID“
security_result.detection_fields[].value: signatureId
Wert, der direkt aus dem Feld signatureId übernommen wird.
signatureMsg security_result.detection_fields[].key: „signatureMsg“
security_result.detection_fields[].value: signatureMsg
Wert, der direkt aus dem Feld signatureMsg übernommen wird.
signaturePriority security_result.severity: signaturePriority Wenn signaturePriority „niedrig“ ist (ohne Berücksichtigung der Groß- und Kleinschreibung), dann LOW. Wenn signaturePriority „medium“ ist (ohne Berücksichtigung der Groß- und Kleinschreibung), dann MEDIUM. Wenn signaturePriority „hoch“ ist (ohne Berücksichtigung der Groß- und Kleinschreibung), dann HIGH.
site principal.hostname: site
applianceName: site
Wert, der direkt aus dem Feld site übernommen wird.
siteId additional.fields[].key: „siteId“
additional.fields[].value.string_value: siteId
Wert, der direkt aus dem Feld siteId übernommen wird.
siteName principal.hostname: siteName
applianceName: siteName
Wert, der direkt aus dem Feld siteName übernommen wird.
sourceIPv4Address principal.ip: sourceIPv4Address Wert, der direkt aus dem Feld sourceIPv4Address übernommen wird.
sourceIPv6Address principal.ip: sourceIPv6Address Wert, der direkt aus dem Feld sourceIPv6Address übernommen wird.
sourcePort principal.port: sourcePort Wert, der direkt aus dem Feld sourcePort übernommen und in eine Ganzzahl konvertiert wurde.
sourceTransportPort principal.port: sourceTransportPort Wert, der direkt aus dem Feld sourceTransportPort übernommen und in eine Ganzzahl konvertiert wurde.
subFamily security_result.detection_fields[].key: „subFamily“
security_result.detection_fields[].value: subFamily
Wert, der direkt aus dem Feld subFamily übernommen wird.
tcpConnAborted additional.fields[].key: „tcpConnAborted“
additional.fields[].value.string_value: tcpConnAborted
Wert, der direkt aus dem Feld tcpConnAborted übernommen wird, sofern es nicht leer oder „0“ ist.
tcpConnRefused additional.fields[].key: „tcpConnRefused“
additional.fields[].value.string_value: tcpConnRefused
Wert, der direkt aus dem Feld tcpConnRefused übernommen wird, sofern es nicht leer oder „0“ ist.
tcpPktsFwd network.sent_packets: tcpPktsFwd Wert, der direkt aus dem Feld tcpPktsFwd übernommen und in eine Ganzzahl konvertiert wurde.
tcpPktsRev network.received_packets: tcpPktsRev Wert, der direkt aus dem Feld tcpPktsRev übernommen und in eine Ganzzahl konvertiert wurde.
tcpReXmitFwd additional.fields[].key: „tcpReXmitFwd“
additional.fields[].value.string_value: tcpReXmitFwd
Wert, der direkt aus dem Feld tcpReXmitFwd übernommen wird, sofern es nicht leer oder „0“ ist.
tcpReXmitRev additional.fields[].key: „tcpReXmitRev“
additional.fields[].value.string_value: tcpReXmitRev
Wert, der direkt aus dem Feld tcpReXmitRev übernommen wird, sofern es nicht leer oder „0“ ist.
tcpSAA additional.fields[].key: „tcpSAA“
additional.fields[].value.string_value: tcpSAA
Wert, der direkt aus dem Feld tcpSAA übernommen wird, sofern es nicht leer oder „0“ ist.
tcpSSA additional.fields[].key: „tcpSSA“
additional.fields[].value.string_value: tcpSSA
Wert, der direkt aus dem Feld tcpSSA übernommen wird, sofern es nicht leer oder „0“ ist.
tcpSessCnt additional.fields[].key: „tcpSessCnt“
additional.fields[].value.string_value: tcpSessCnt
Wert, der direkt aus dem Feld tcpSessCnt übernommen wird.
tcpSessDur network.session_duration.seconds: tcpSessDur Wert, der direkt aus dem Feld tcpSessDur übernommen und in eine Ganzzahl konvertiert wurde.
tcpSynAckReXmit additional.fields[].key: „tcpSynAckReXmit“
additional.fields[].value.string_value: tcpSynAckReXmit
Wert, der direkt aus dem Feld tcpSynAckReXmit übernommen wird, sofern es nicht leer oder „0“ ist.
tcpSynReXmit additional.fields[].key: „tcpSynReXmit“
additional.fields[].value.string_value: tcpSynReXmit
Wert, der direkt aus dem Feld tcpSynReXmit übernommen wird, sofern es nicht leer oder „0“ ist.
tcpTWHS additional.fields[].key: „tcpTWHS“
additional.fields[].value.string_value: tcpTWHS
Wert, der direkt aus dem Feld tcpTWHS übernommen wird, sofern es nicht leer oder „0“ ist.
tenantId principal.resource.attribute.labels[].key: „tenantId“
principal.resource.attribute.labels[].value: tenantId
Wert, der direkt aus dem Feld tenantId übernommen wird.
tenantName observer.hostname: tenantName Wert, der direkt aus dem Feld tenantName übernommen wird.
threatType security_result.detection_fields[].key: „threatType“
security_result.detection_fields[].value: threatType
Wert, der direkt aus dem Feld threatType übernommen wird.
toCountry target.location.country_or_region: toCountry Wert, der direkt aus dem Feld toCountry übernommen wird.
toZone additional.fields[].key: „toZone“
additional.fields[].value.string_value: toZone
Wert, der direkt aus dem Feld toZone übernommen wird.
traffType additional.fields[].key: „traffType“
additional.fields[].value.string_value: traffType
Wert, der direkt aus dem Feld traffType übernommen wird.
ts metadata.event_timestamp: ts Wert, der direkt aus dem Feld ts übernommen und in einen Zeitstempel umgewandelt wurde.
type security_result.action: type Informationen zur Logik finden Sie unter action.
urlAction security_result.action: urlAction Informationen zur Logik finden Sie unter action.
urlActionMessage security_result.summary: urlActionMessage Wert, der direkt aus dem Feld urlActionMessage übernommen wird.
urlCategory principal.resource.attribute.labels[].key: „urlCategory“
principal.resource.attribute.labels[].value: urlCategory
Wert, der direkt aus dem Feld urlCategory übernommen wird.
urlProfile additional.fields[].key: „urlProfile“
additional.fields[].value.string_value: urlProfile
Wert, der direkt aus dem Feld urlProfile übernommen wird.
urlReputation security_result.severity_details: urlReputation Wert, der direkt aus dem Feld urlReputation übernommen wird.
user principal.ip: user Wert, der direkt aus dem Feld user übernommen wird.
vsnId principal.resource.attribute.labels[].key: „vsnId“
principal.resource.attribute.labels[].value: vsnId
Wert, der direkt aus dem Feld vsnId übernommen wird. Hartcodierter Wert. Hartcodierter Wert.

Änderungen

2024-06-03

  • „idpAction“ wurde in „security_result.action“ geändert.
  • „threatType“ wurde auf „security_result.detection_fields“ zugeordnet.
  • „ipsDirection“ wurde in „security_result.detection_fields“ geändert.
  • „ipsProfile“ wurde in „security_result.detection_fields“ zugeordnet.
  • „signaturePriority“ wurde zu „security_result.severity“ zugeordnet.
  • „signatureMsg“ wurde „security_result.detection_fields“ zugeordnet.
  • „signatureId“ wurde zu „security_result.detection_fields“ zugeordnet.
  • „ipsApplication“ wurde in „security_result.detection_fields“ zugeordnet.
  • „classMsg“ wurde in „security_result.description“ geändert.
  • „ipsProfileRule“ wurde in „security_result.rule_name“ geändert.
  • „ipsProtocol“ wurde in „network.ip_protocol“ ummapped.

2023-07-03

  • Unterstützung für „entitlementlog“, „monstatslog“ und „tcpappmonlog“ hinzugefügt.

2022-11-04

  • Von Mewly erstellter Parser.