Diese Seite wurde von der Cloud Translation API übersetzt.

Versa Networks Secure Access Service Edge (SASE)-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie die SASE-Protokolle (Secure Access Service Edge) von Versa Networks erfassen. Der Parser extrahiert Schlüssel/Wert-Paare nach einem ersten Grok-Filter. Diese Werte werden dann dem Unified Data Model (UDM) zugeordnet. Dabei werden verschiedene Protokollformate wie Firewall-Ereignisse, Anwendungsprotokolle und Alarmprotokolle verarbeitet. Außerdem werden Umwandlungen und Anreicherungen für bestimmte Felder wie IP-Protokoll und Risikobewertung durchgeführt.

Hinweis

Sie benötigen eine Google Security Operations-Instanz.
Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Sie benötigen erhöhte Zugriffsrechte für Versa SASE.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profil.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Unter Linux befindet es sich normalerweise im Verzeichnis /etc/bindplane-agent/, unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: `/path/to/ingestion-authentication-file.json`
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: versa_networks_sase
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

BindPlane-Agent neu starten, um die Änderungen anzuwenden

Führen Sie unter Linux den folgenden Befehl aus, um den BindPlane-Agent neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Unter Windows können Sie den BindPlane-Agenten entweder über die Konsole Dienste oder über den folgenden Befehl neu starten:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Versa Networks SASE konfigurieren

Administratoren müssen Remote-Empfänger auf jedem Versa Analytics-Knoten konfigurieren, um Protokolle an Systeme von Drittanbietern weiterzuleiten.

So konfigurieren Sie die Versa-Analyseknoten:

Protokollweiterleitung aktivieren
Sitzungs-ID-Protokollierung aktivieren

Protokollweiterleitung aktivieren

Melden Sie sich beim Versa-Analyseserver an.
Rufen Sie die Befehlszeile auf, indem Sie den Befehl cli ausführen.
Wechseln Sie zum Konfigurationsmodus, indem Sie den Befehl configure ausführen und dann load merge terminal eingeben.

Kopieren Sie die folgenden Befehle und fügen Sie sie ein, um die Protokollweiterleitung einzurichten:

Ersetzen Sie <collector_ip> und <collector_port> durch die IP-Adresse und den Port Ihres syslog-Collectors (Bindebene).

set system analytics log-collector-exporter destination-address <collector_ip>
set system analytics log-collector-exporter destination-port <collector_port>
set system analytics log-collector-exporter transport tcp
set system analytics log-collector-exporter log-types firewall-log
set system analytics log-collector-exporter log-types threat-log
commit

Speichern Sie die Konfiguration:
```
save
```

Sitzungs-ID-Protokollierung aktivieren

Wenn Sie IP-bezogene Informationen erfassen möchten, aktivieren Sie die Protokollierung der Sitzungs-ID.

Melden Sie sich in Versa Director an.
Wechseln Sie zur Director-Ansicht.
Rufen Sie Konfiguration > Geräte > Mieter > Gerät auf, um die Appliance-Ansicht aufzurufen.
Wählen Sie Konfiguration > Sonstiges > System > Konfiguration > Konfiguration aus.
Klicken Sie im Bereich Parameter auf Bearbeiten.
Wählen Sie im Fenster Parameter bearbeiten die Option LEF aus.
Klicken Sie im Bereich Firewall das Kästchen Sitzungs-ID-Protokollierung einschließen an.

Hinweis :In den Releases 21.1.1 und höher ist die Sitzungsidentifikation automatisch aktiviert. Prüfen Sie, ob diese Funktion in Ihrer Konfiguration aktiviert ist.
Klicken Sie auf OK.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`accCkt`	`additional.fields[].key`: „accCkt“ `additional.fields[].value.string_value`: `accCkt`	Wert, der direkt aus dem Feld `accCkt` übernommen wird.
`accCktId`	`additional.fields[].key`: „accCktId“ `additional.fields[].value.string_value`: `accCktId`	Wert, der direkt aus dem Feld `accCktId` übernommen wird.
`accCktName`	`additional.fields[].key`: „accCktName“ `additional.fields[].value.string_value`: `accCktName`	Wert, der direkt aus dem Feld `accCktName` übernommen wird.
`accessType`	`additional.fields[].key`: „accessType“ `additional.fields[].value.string_value`: `accessType`	Wert, der direkt aus dem Feld `accessType` übernommen wird.
`action`	`security_result.action`: `action`	Wenn `action`, `type`, `idpAction`, `avAction` oder `urlAction` „Zulassen“ ist, dann `ALLOW`. Wenn `action`, `type`, `idpAction`, `avAction` oder `urlAction` „reject“ (ablehnen), „drop“ (verwerfen), „block“ (blockieren) oder „deny“ (verweigern) ist, dann `BLOCK`. Wenn `idpAction` einen anderen Wert als `UNKNOWN_ACTION` hat.
`alarmCause`	`security_result.detection_fields[].key`: „alarmCause“ `security_result.detection_fields[].value`: `alarmCause`	Wert, der direkt aus dem Feld `alarmCause` übernommen wird.
`alarmClass`	`security_result.detection_fields[].key`: „alarmClass“ `security_result.detection_fields[].value`: `alarmClass`	Wert, der direkt aus dem Feld `alarmClass` übernommen wird.
`alarmClearable`	`security_result.detection_fields[].key`: „alarmClearable“ `security_result.detection_fields[].value`: `alarmClearable`	Wert, der direkt aus dem Feld `alarmClearable` übernommen wird.
`alarmEventType`	`metadata.product_event_type`: `alarmEventType`	Wert, der direkt aus dem Feld `alarmEventType` übernommen wird.
`alarmKey`	`security_result.detection_fields[].key`: „alarmKey“ `security_result.detection_fields[].value`: `alarmKey`	Wert, der direkt aus dem Feld `alarmKey` übernommen wird.
`alarmKind`	`security_result.detection_fields[].key`: „alarmKind“ `security_result.detection_fields[].value`: `alarmKind`	Wert, der direkt aus dem Feld `alarmKind` übernommen wird.
`alarmOwner`	`security_result.detection_fields[].key`: „alarmOwner“ `security_result.detection_fields[].value`: `alarmOwner`	Wert, der direkt aus dem Feld `alarmOwner` übernommen wird.
`alarmSeqNo`	`security_result.detection_fields[].key`: „alarmSeqNo“ `security_result.detection_fields[].value`: `alarmSeqNo`	Wert, der direkt aus dem Feld `alarmSeqNo` übernommen wird.
`alarmSeverity`	`security_result.severity_details`: `alarmSeverity`	Wert, der direkt aus dem Feld `alarmSeverity` übernommen wird.
`alarmText`	`security_result.summary`: `alarmText`	Wert, der direkt aus dem Feld `alarmText` übernommen wurde, ohne doppelte Anführungszeichen.
`alarmType`	`security_result.description`: `alarmType`	Wert, der direkt aus dem Feld `alarmType` übernommen wird.
`appFamily`	`metadata.product_event_type`: `appFamily` `security_result.detection_fields[].key`: „appFamily“ `security_result.detection_fields[].value`: `appFamily`	Wert, der direkt aus dem Feld `appFamily` übernommen wird.
`appId`	`security_result.detection_fields[].key`: „Application ID“ `security_result.detection_fields[].value`: `appId`	Wert, der direkt aus dem Feld `appId` übernommen wird.
`appIdStr`	`security_result.detection_fields[].key`: „appIdStr“ `security_result.detection_fields[].value`: `appIdStr`	Wert, der direkt aus dem Feld `appIdStr` übernommen wird.
`applianceName`	`principal.hostname`: `applianceName`	Wert, der direkt aus dem Feld `applianceName`, `siteName` oder `site` übernommen wird.
`appProductivity`	`security_result.detection_fields[].key`: „appProductivity“ `security_result.detection_fields[].value`: `appProductivity`	Wert, der direkt aus dem Feld `appProductivity` übernommen wird.
`appRisk`	`security_result.severity_details`: `appRisk`	Wert, der direkt aus dem Feld `appRisk` übernommen wird.
`appSubFamily`	`security_result.detection_fields[].key`: „appSubFamily“ `security_result.detection_fields[].value`: `appSubFamily`	Wert, der direkt aus dem Feld `appSubFamily` übernommen wird.
`avAccuracy`	`additional.fields[].key`: „avAccuracy“ `additional.fields[].value.string_value`: `avAccuracy`	Wert, der direkt aus dem Feld `avAccuracy` übernommen wird.
`avAction`	`security_result.action`: `avAction`	Informationen zur Logik finden Sie unter `action`.
`avMalwareName`	`security_result.threat_name`: `avMalwareName`	Wert, der direkt aus dem Feld `avMalwareName` übernommen wird.
`avMalwareType`	`security_result.category_details`: `avMalwareType`	Wert, der direkt aus dem Feld `avMalwareType` übernommen wird.
`classMsg`	`security_result.description`: `classMsg`	Wert, der direkt aus dem Feld `classMsg` übernommen wurde, ohne doppelte Anführungszeichen.
`clientIPv4Address`	`target.ip`: `clientIPv4Address`	Wert, der direkt aus dem Feld `clientIPv4Address` übernommen wird.
`destIp`	`target.ip`: `destIp` `destinationIPv4Address`: `destIp`	Wert, der direkt aus dem Feld `destIp` übernommen wird.
`destinationIPv4Address`	`target.ip`: `destinationIPv4Address`	Wert, der direkt aus dem Feld `destinationIPv4Address` oder aus dem Feld `networkPrefix` abgeleitet wurde.
`destinationIPv6Address`	`target.ip`: `destinationIPv6Address`	Wert, der direkt aus dem Feld `destinationIPv6Address` übernommen wird.
`destinationPort`	`target.port`: `destinationPort`	Wert, der direkt aus dem Feld `destinationPort` übernommen und in eine Ganzzahl konvertiert wurde.
`destinationTransportPort`	`target.port`: `destinationTransportPort`	Wert, der direkt aus dem Feld `destinationTransportPort` übernommen und in eine Ganzzahl konvertiert wurde.
`deviceKey`	`about.resource.attribute.labels[].key`: „deviceKey“ `about.resource.attribute.labels[].value`: `deviceKey`	Wert, der direkt aus dem Feld `deviceKey` übernommen wird, sofern nicht „Unbekannt“
`deviceName`	`about.resource.attribute.labels[].key`: „deviceName“ `about.resource.attribute.labels[].value`: `deviceName`	Wert, der direkt aus dem Feld `deviceName` übernommen wird, sofern nicht „Unbekannt“
`duration`	`network.session_duration.seconds`: `duration`	Wert, der direkt aus dem Feld `duration` übernommen und in eine Ganzzahl konvertiert wurde.
`egressInterfaceName`	`additional.fields[].key`: „egressInterfaceName“ `additional.fields[].value.string_value`: `egressInterfaceName`	Wert, der direkt aus dem Feld `egressInterfaceName` übernommen wird.
`event.type`	`metadata.event_type`: `event.type`	Wenn sowohl `applianceName` (oder `sourceIPv4Address` oder `user` oder `sourceIPv6Address`) als auch `destinationIPv4Address` (oder `remoteSite` oder `destinationIPv6Address` oder `clientIPv4Address` oder `hostname`) vorhanden sind, wird `NETWORK_CONNECTION` verwendet. Andernfalls `STATUS_UPDATE`. Wenn `applianceName` leer ist, dann `GENERIC_EVENT`.
`eventType`	`principal.resource.attribute.labels[].key`: „eventType“ `principal.resource.attribute.labels[].value`: `eventType`	Wert, der direkt aus dem Feld `eventType` übernommen wird.
`family`	`security_result.detection_fields[].key`: „family“ `security_result.detection_fields[].value`: `family`	Wert, der direkt aus dem Feld `family` übernommen wird.
`fc`	`security_result.detection_fields[].key`: „ForwardingClass“ `security_result.detection_fields[].value`: `fc`	Wert, der direkt aus dem Feld `fc` übernommen wird.
`fileTransDir`	`additional.fields[].key`: „fileTransDir“ `additional.fields[].value.string_value`: `fileTransDir`	Wert, der direkt aus dem Feld `fileTransDir` übernommen wird.
`filename`	`target.file.names`: `filename`	Wert, der direkt aus dem Feld `filename` übernommen wird.
`flowCookie`	`metadata.collected_timestamp`: `flowCookie`	Wert, der direkt aus dem Feld `flowCookie` übernommen und in das UNIX-Format für Zeitstempel konvertiert wird.
`flowId`	`principal.resource.product_object_id`: `flowId`	Wert, der direkt aus dem Feld `flowId` übernommen wird.
`forwardForwardingClass`	`security_result.detection_fields[].key`: „forwardForwardingClass“ `security_result.detection_fields[].value`: `forwardForwardingClass`	Wert, der direkt aus dem Feld `forwardForwardingClass` übernommen wird.
`fromCountry`	`principal.location.country_or_region`: `fromCountry` `target.location.country_or_region`: `fromCountry`	Wert, der direkt aus dem Feld `fromCountry` übernommen wird.
`fromUser`	`principal.user.userid`: `fromUser`	Wert, der direkt aus dem Feld `fromUser` übernommen wird, sofern es nicht leer, „unbekannt“ oder „Unbekannt“ ist.
`fromZone`	`additional.fields[].key`: „fromZone“ `additional.fields[].value.string_value`: `fromZone`	Wert, der direkt aus dem Feld `fromZone` übernommen wird.
`generateTime`	`metadata.collected_timestamp`: `generateTime`	Wert, der direkt aus dem Feld `generateTime` übernommen und in das UNIX-Format für Zeitstempel konvertiert wird.
`hostname`	`target.hostname`: `hostname`	Wert, der direkt aus dem Feld `hostname` übernommen wird.
`httpUrl`	`target.url`: `httpUrl`	Wert, der direkt aus dem Feld `httpUrl` übernommen wird.
`icmpTypeIPv4`	`additional.fields[].key`: „icmpTypeIPv4“ `additional.fields[].value.string_value`: `icmpTypeIPv4`	Wert, der direkt aus dem Feld `icmpTypeIPv4` übernommen wird.
`idpAction`	`security_result.action`: `idpAction`	Informationen zur Logik finden Sie unter `action`.
`ingressInterfaceName`	`additional.fields[].key`: „ingressInterfaceName“ `additional.fields[].value.string_value`: `ingressInterfaceName`	Wert, der direkt aus dem Feld `ingressInterfaceName` übernommen wird.
`ipsApplication`	`additional.fields[].key`: „ipsApplication“ `additional.fields[].value.string_value`: `ipsApplication`	Wert, der direkt aus dem Feld `ipsApplication` übernommen wird.
`ipsDirection`	`security_result.detection_fields[].key`: „ipsDirection“ `security_result.detection_fields[].value`: `ipsDirection`	Wert, der direkt aus dem Feld `ipsDirection` übernommen wird.
`ipsProfile`	`security_result.detection_fields[].key`: „ipsProfile“ `security_result.detection_fields[].value`: `ipsProfile`	Wert, der direkt aus dem Feld `ipsProfile` übernommen wird.
`ipsProfileRule`	`security_result.rule_name`: `ipsProfileRule`	Wert, der direkt aus dem Feld `ipsProfileRule` übernommen wird.
`ipsProtocol`	`network.ip_protocol`: `ipsProtocol`	Wert, der direkt aus dem Feld `ipsProtocol` übernommen wird.
`log_type`	`metadata.description`: `log_type` `metadata.log_type`: `log_type`	Wert, der direkt aus dem Feld `log_type` übernommen wird.
`mstatsTimeBlock`	`metadata.collected_timestamp`: `mstatsTimeBlock`	Wert, der direkt aus dem Feld `mstatsTimeBlock` übernommen und in das UNIX-Format für Zeitstempel konvertiert wird.
`mstatsTotRecvdOctets`	`network.received_bytes`: `mstatsTotRecvdOctets`	Wert, der direkt aus dem Feld `mstatsTotRecvdOctets` übernommen und in eine positive Ganzzahl konvertiert wurde.
`mstatsTotSentOctets`	`network.sent_bytes`: `mstatsTotSentOctets`	Wert, der direkt aus dem Feld `mstatsTotSentOctets` übernommen und in eine positive Ganzzahl konvertiert wurde.
`mstatsTotSessCount`	`additional.fields[].key`: „mstatsTotSessCount“ `additional.fields[].value.string_value`: `mstatsTotSessCount`	Wert, der direkt aus dem Feld `mstatsTotSessCount` übernommen wird.
`mstatsTotSessDuration`	`network.session_duration.seconds`: `mstatsTotSessDuration`	Wert, der direkt aus dem Feld `mstatsTotSessDuration` übernommen und in eine Ganzzahl konvertiert wurde.
`mstatsType`	`security_result.category_details`: `mstatsType`	Wert, der direkt aus dem Feld `mstatsType` übernommen wird.
`networkPrefix`	`target.ip`: `networkPrefix` `target.port`: `networkPrefix`	IP-Adresse, die aus dem Feld `networkPrefix` extrahiert wurde. Port, der aus dem Feld `networkPrefix` extrahiert und in eine Ganzzahl umgewandelt wurde.
`protocolIdentifier`	`network.ip_protocol`: `protocolIdentifier`	Wert, der direkt aus dem Feld `protocolIdentifier` übernommen, in einen Ganzzahlwert umgewandelt und mithilfe einer Suche dem Namen des IP-Protokolls zugeordnet wird.
`recvdOctets`	`network.received_bytes`: `recvdOctets`	Wert, der direkt aus dem Feld `recvdOctets` übernommen und in eine positive Ganzzahl konvertiert wurde.
`recvdPackets`	`network.received_packets`: `recvdPackets`	Wert, der direkt aus dem Feld `recvdPackets` übernommen und in eine Ganzzahl konvertiert wurde.
`remoteSite`	`target.hostname`: `remoteSite`	Wert, der direkt aus dem Feld `remoteSite` übernommen wird.
`reverseForwardingClass`	`security_result.detection_fields[].key`: „reverseForwardingClass“ `security_result.detection_fields[].value`: `reverseForwardingClass`	Wert, der direkt aus dem Feld `reverseForwardingClass` übernommen wird.
`risk`	`security_result.risk_score`: `risk`	Wert, der direkt aus dem Feld `risk` übernommen und in einen Float-Wert umgewandelt wurde.
`rule`	`security_result.rule_name`: `rule`	Wert, der direkt aus dem Feld `rule` übernommen wird.
`sentOctets`	`network.sent_bytes`: `sentOctets`	Wert, der direkt aus dem Feld `sentOctets` übernommen und in eine positive Ganzzahl konvertiert wurde.
`sentPackets`	`network.sent_packets`: `sentPackets`	Wert, der direkt aus dem Feld `sentPackets` übernommen und in eine Ganzzahl konvertiert wurde.
`serialNum`	`security_result.detection_fields[].key`: „serialNum“ `security_result.detection_fields[].value`: `serialNum`	Wert, der direkt aus dem Feld `serialNum` übernommen wird.
`signatureId`	`security_result.detection_fields[].key`: „signatureID“ `security_result.detection_fields[].value`: `signatureId`	Wert, der direkt aus dem Feld `signatureId` übernommen wird.
`signatureMsg`	`security_result.detection_fields[].key`: „signatureMsg“ `security_result.detection_fields[].value`: `signatureMsg`	Wert, der direkt aus dem Feld `signatureMsg` übernommen wird.
`signaturePriority`	`security_result.severity`: `signaturePriority`	Wenn `signaturePriority` „niedrig“ ist (ohne Berücksichtigung der Groß- und Kleinschreibung), dann `LOW`. Wenn `signaturePriority` „medium“ ist (ohne Berücksichtigung der Groß- und Kleinschreibung), dann `MEDIUM`. Wenn `signaturePriority` „hoch“ ist (ohne Berücksichtigung der Groß- und Kleinschreibung), dann `HIGH`.
`site`	`principal.hostname`: `site` `applianceName`: `site`	Wert, der direkt aus dem Feld `site` übernommen wird.
`siteId`	`additional.fields[].key`: „siteId“ `additional.fields[].value.string_value`: `siteId`	Wert, der direkt aus dem Feld `siteId` übernommen wird.
`siteName`	`principal.hostname`: `siteName` `applianceName`: `siteName`	Wert, der direkt aus dem Feld `siteName` übernommen wird.
`sourceIPv4Address`	`principal.ip`: `sourceIPv4Address`	Wert, der direkt aus dem Feld `sourceIPv4Address` übernommen wird.
`sourceIPv6Address`	`principal.ip`: `sourceIPv6Address`	Wert, der direkt aus dem Feld `sourceIPv6Address` übernommen wird.
`sourcePort`	`principal.port`: `sourcePort`	Wert, der direkt aus dem Feld `sourcePort` übernommen und in eine Ganzzahl konvertiert wurde.
`sourceTransportPort`	`principal.port`: `sourceTransportPort`	Wert, der direkt aus dem Feld `sourceTransportPort` übernommen und in eine Ganzzahl konvertiert wurde.
`subFamily`	`security_result.detection_fields[].key`: „subFamily“ `security_result.detection_fields[].value`: `subFamily`	Wert, der direkt aus dem Feld `subFamily` übernommen wird.
`tcpConnAborted`	`additional.fields[].key`: „tcpConnAborted“ `additional.fields[].value.string_value`: `tcpConnAborted`	Wert, der direkt aus dem Feld `tcpConnAborted` übernommen wird, sofern es nicht leer oder „0“ ist.
`tcpConnRefused`	`additional.fields[].key`: „tcpConnRefused“ `additional.fields[].value.string_value`: `tcpConnRefused`	Wert, der direkt aus dem Feld `tcpConnRefused` übernommen wird, sofern es nicht leer oder „0“ ist.
`tcpPktsFwd`	`network.sent_packets`: `tcpPktsFwd`	Wert, der direkt aus dem Feld `tcpPktsFwd` übernommen und in eine Ganzzahl konvertiert wurde.
`tcpPktsRev`	`network.received_packets`: `tcpPktsRev`	Wert, der direkt aus dem Feld `tcpPktsRev` übernommen und in eine Ganzzahl konvertiert wurde.
`tcpReXmitFwd`	`additional.fields[].key`: „tcpReXmitFwd“ `additional.fields[].value.string_value`: `tcpReXmitFwd`	Wert, der direkt aus dem Feld `tcpReXmitFwd` übernommen wird, sofern es nicht leer oder „0“ ist.
`tcpReXmitRev`	`additional.fields[].key`: „tcpReXmitRev“ `additional.fields[].value.string_value`: `tcpReXmitRev`	Wert, der direkt aus dem Feld `tcpReXmitRev` übernommen wird, sofern es nicht leer oder „0“ ist.
`tcpSAA`	`additional.fields[].key`: „tcpSAA“ `additional.fields[].value.string_value`: `tcpSAA`	Wert, der direkt aus dem Feld `tcpSAA` übernommen wird, sofern es nicht leer oder „0“ ist.
`tcpSSA`	`additional.fields[].key`: „tcpSSA“ `additional.fields[].value.string_value`: `tcpSSA`	Wert, der direkt aus dem Feld `tcpSSA` übernommen wird, sofern es nicht leer oder „0“ ist.
`tcpSessCnt`	`additional.fields[].key`: „tcpSessCnt“ `additional.fields[].value.string_value`: `tcpSessCnt`	Wert, der direkt aus dem Feld `tcpSessCnt` übernommen wird.
`tcpSessDur`	`network.session_duration.seconds`: `tcpSessDur`	Wert, der direkt aus dem Feld `tcpSessDur` übernommen und in eine Ganzzahl konvertiert wurde.
`tcpSynAckReXmit`	`additional.fields[].key`: „tcpSynAckReXmit“ `additional.fields[].value.string_value`: `tcpSynAckReXmit`	Wert, der direkt aus dem Feld `tcpSynAckReXmit` übernommen wird, sofern es nicht leer oder „0“ ist.
`tcpSynReXmit`	`additional.fields[].key`: „tcpSynReXmit“ `additional.fields[].value.string_value`: `tcpSynReXmit`	Wert, der direkt aus dem Feld `tcpSynReXmit` übernommen wird, sofern es nicht leer oder „0“ ist.
`tcpTWHS`	`additional.fields[].key`: „tcpTWHS“ `additional.fields[].value.string_value`: `tcpTWHS`	Wert, der direkt aus dem Feld `tcpTWHS` übernommen wird, sofern es nicht leer oder „0“ ist.
`tenantId`	`principal.resource.attribute.labels[].key`: „tenantId“ `principal.resource.attribute.labels[].value`: `tenantId`	Wert, der direkt aus dem Feld `tenantId` übernommen wird.
`tenantName`	`observer.hostname`: `tenantName`	Wert, der direkt aus dem Feld `tenantName` übernommen wird.
`threatType`	`security_result.detection_fields[].key`: „threatType“ `security_result.detection_fields[].value`: `threatType`	Wert, der direkt aus dem Feld `threatType` übernommen wird.
`toCountry`	`target.location.country_or_region`: `toCountry`	Wert, der direkt aus dem Feld `toCountry` übernommen wird.
`toZone`	`additional.fields[].key`: „toZone“ `additional.fields[].value.string_value`: `toZone`	Wert, der direkt aus dem Feld `toZone` übernommen wird.
`traffType`	`additional.fields[].key`: „traffType“ `additional.fields[].value.string_value`: `traffType`	Wert, der direkt aus dem Feld `traffType` übernommen wird.
`ts`	`metadata.event_timestamp`: `ts`	Wert, der direkt aus dem Feld `ts` übernommen und in einen Zeitstempel umgewandelt wurde.
`type`	`security_result.action`: `type`	Informationen zur Logik finden Sie unter `action`.
`urlAction`	`security_result.action`: `urlAction`	Informationen zur Logik finden Sie unter `action`.
`urlActionMessage`	`security_result.summary`: `urlActionMessage`	Wert, der direkt aus dem Feld `urlActionMessage` übernommen wird.
`urlCategory`	`principal.resource.attribute.labels[].key`: „urlCategory“ `principal.resource.attribute.labels[].value`: `urlCategory`	Wert, der direkt aus dem Feld `urlCategory` übernommen wird.
`urlProfile`	`additional.fields[].key`: „urlProfile“ `additional.fields[].value.string_value`: `urlProfile`	Wert, der direkt aus dem Feld `urlProfile` übernommen wird.
`urlReputation`	`security_result.severity_details`: `urlReputation`	Wert, der direkt aus dem Feld `urlReputation` übernommen wird.
`user`	`principal.ip`: `user`	Wert, der direkt aus dem Feld `user` übernommen wird.
`vsnId`	`principal.resource.attribute.labels[].key`: „vsnId“ `principal.resource.attribute.labels[].value`: `vsnId`	Wert, der direkt aus dem Feld `vsnId` übernommen wird. Hartcodierter Wert. Hartcodierter Wert.

Änderungen

2024-06-03

„idpAction“ wurde in „security_result.action“ geändert.
„threatType“ wurde auf „security_result.detection_fields“ zugeordnet.
„ipsDirection“ wurde in „security_result.detection_fields“ geändert.
„ipsProfile“ wurde in „security_result.detection_fields“ zugeordnet.
„signaturePriority“ wurde zu „security_result.severity“ zugeordnet.
„signatureMsg“ wurde „security_result.detection_fields“ zugeordnet.
„signatureId“ wurde zu „security_result.detection_fields“ zugeordnet.
„ipsApplication“ wurde in „security_result.detection_fields“ zugeordnet.
„classMsg“ wurde in „security_result.description“ geändert.
„ipsProfileRule“ wurde in „security_result.rule_name“ geändert.
„ipsProtocol“ wurde in „network.ip_protocol“ ummapped.

2023-07-03

Unterstützung für „entitlementlog“, „monstatslog“ und „tcpappmonlog“ hinzugefügt.

2022-11-04

Von Mewly erstellter Parser.