Versa Networks Secure Access Service Edge (SASE)-Protokolle erfassen
In diesem Dokument wird beschrieben, wie Sie die SASE-Protokolle (Secure Access Service Edge) von Versa Networks erfassen. Der Parser extrahiert Schlüssel/Wert-Paare nach einem ersten Grok-Filter. Diese Werte werden dann dem Unified Data Model (UDM) zugeordnet. Dabei werden verschiedene Protokollformate wie Firewall-Ereignisse, Anwendungsprotokolle und Alarmprotokolle verarbeitet. Außerdem werden Umwandlungen und Anreicherungen für bestimmte Felder wie IP-Protokoll und Risikobewertung durchgeführt.
Hinweis
- Sie benötigen eine Google Security Operations-Instanz.
- Sie müssen Windows 2016 oder höher oder einen Linux-Host mit
systemd
verwenden. - Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
- Sie benötigen erhöhte Zugriffsrechte für Versa SASE.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profil.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Windows-Installation
- Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Zusätzliche Installationsressourcen
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet
Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei
config.yaml
. Unter Linux befindet es sich normalerweise im Verzeichnis/etc/bindplane-agent/
, unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor, z. B.
nano
,vi
oder Notepad.
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yaml
so:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: `/path/to/ingestion-authentication-file.json` # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: versa_networks_sase raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie
<customer_id>
durch die tatsächliche Kundennummer.Aktualisieren Sie
/path/to/ingestion-authentication-file.json
im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.
BindPlane-Agent neu starten, um die Änderungen anzuwenden
Führen Sie unter Linux den folgenden Befehl aus, um den BindPlane-Agent neu zu starten:
sudo systemctl restart bindplane-agent
Unter Windows können Sie den BindPlane-Agenten entweder über die Konsole Dienste oder über den folgenden Befehl neu starten:
net stop BindPlaneAgent && net start BindPlaneAgent
Versa Networks SASE konfigurieren
Administratoren müssen Remote-Empfänger auf jedem Versa Analytics-Knoten konfigurieren, um Protokolle an Systeme von Drittanbietern weiterzuleiten.
So konfigurieren Sie die Versa-Analyseknoten:
- Protokollweiterleitung aktivieren
- Sitzungs-ID-Protokollierung aktivieren
Protokollweiterleitung aktivieren
- Melden Sie sich beim Versa-Analyseserver an.
- Rufen Sie die Befehlszeile auf, indem Sie den Befehl
cli
ausführen. - Wechseln Sie zum Konfigurationsmodus, indem Sie den Befehl
configure
ausführen und dannload merge terminal
eingeben. Kopieren Sie die folgenden Befehle und fügen Sie sie ein, um die Protokollweiterleitung einzurichten:
- Ersetzen Sie
<collector_ip>
und<collector_port>
durch die IP-Adresse und den Port Ihres syslog-Collectors (Bindebene).
set system analytics log-collector-exporter destination-address <collector_ip> set system analytics log-collector-exporter destination-port <collector_port> set system analytics log-collector-exporter transport tcp set system analytics log-collector-exporter log-types firewall-log set system analytics log-collector-exporter log-types threat-log commit
- Ersetzen Sie
Speichern Sie die Konfiguration:
save
Sitzungs-ID-Protokollierung aktivieren
Wenn Sie IP-bezogene Informationen erfassen möchten, aktivieren Sie die Protokollierung der Sitzungs-ID.
- Melden Sie sich in Versa Director an.
- Wechseln Sie zur Director-Ansicht.
- Rufen Sie Konfiguration > Geräte > Mieter > Gerät auf, um die Appliance-Ansicht aufzurufen.
- Wählen Sie Konfiguration > Sonstiges > System > Konfiguration > Konfiguration aus.
- Klicken Sie im Bereich Parameter auf Bearbeiten.
- Wählen Sie im Fenster Parameter bearbeiten die Option LEF aus.
Klicken Sie im Bereich Firewall das Kästchen Sitzungs-ID-Protokollierung einschließen an.
Klicken Sie auf OK.
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
accCkt |
additional.fields[].key : „accCkt“additional.fields[].value.string_value : accCkt |
Wert, der direkt aus dem Feld accCkt übernommen wird. |
accCktId |
additional.fields[].key : „accCktId“additional.fields[].value.string_value : accCktId |
Wert, der direkt aus dem Feld accCktId übernommen wird. |
accCktName |
additional.fields[].key : „accCktName“additional.fields[].value.string_value : accCktName |
Wert, der direkt aus dem Feld accCktName übernommen wird. |
accessType |
additional.fields[].key : „accessType“additional.fields[].value.string_value : accessType |
Wert, der direkt aus dem Feld accessType übernommen wird. |
action |
security_result.action : action |
Wenn action , type , idpAction , avAction oder urlAction „Zulassen“ ist, dann ALLOW . Wenn action , type , idpAction , avAction oder urlAction „reject“ (ablehnen), „drop“ (verwerfen), „block“ (blockieren) oder „deny“ (verweigern) ist, dann BLOCK . Wenn idpAction einen anderen Wert als UNKNOWN_ACTION hat. |
alarmCause |
security_result.detection_fields[].key : „alarmCause“security_result.detection_fields[].value : alarmCause |
Wert, der direkt aus dem Feld alarmCause übernommen wird. |
alarmClass |
security_result.detection_fields[].key : „alarmClass“security_result.detection_fields[].value : alarmClass |
Wert, der direkt aus dem Feld alarmClass übernommen wird. |
alarmClearable |
security_result.detection_fields[].key : „alarmClearable“security_result.detection_fields[].value : alarmClearable |
Wert, der direkt aus dem Feld alarmClearable übernommen wird. |
alarmEventType |
metadata.product_event_type : alarmEventType |
Wert, der direkt aus dem Feld alarmEventType übernommen wird. |
alarmKey |
security_result.detection_fields[].key : „alarmKey“security_result.detection_fields[].value : alarmKey |
Wert, der direkt aus dem Feld alarmKey übernommen wird. |
alarmKind |
security_result.detection_fields[].key : „alarmKind“security_result.detection_fields[].value : alarmKind |
Wert, der direkt aus dem Feld alarmKind übernommen wird. |
alarmOwner |
security_result.detection_fields[].key : „alarmOwner“security_result.detection_fields[].value : alarmOwner |
Wert, der direkt aus dem Feld alarmOwner übernommen wird. |
alarmSeqNo |
security_result.detection_fields[].key : „alarmSeqNo“security_result.detection_fields[].value : alarmSeqNo |
Wert, der direkt aus dem Feld alarmSeqNo übernommen wird. |
alarmSeverity |
security_result.severity_details : alarmSeverity |
Wert, der direkt aus dem Feld alarmSeverity übernommen wird. |
alarmText |
security_result.summary : alarmText |
Wert, der direkt aus dem Feld alarmText übernommen wurde, ohne doppelte Anführungszeichen. |
alarmType |
security_result.description : alarmType |
Wert, der direkt aus dem Feld alarmType übernommen wird. |
appFamily |
metadata.product_event_type : appFamily security_result.detection_fields[].key : „appFamily“security_result.detection_fields[].value : appFamily |
Wert, der direkt aus dem Feld appFamily übernommen wird. |
appId |
security_result.detection_fields[].key : „Application ID“security_result.detection_fields[].value : appId |
Wert, der direkt aus dem Feld appId übernommen wird. |
appIdStr |
security_result.detection_fields[].key : „appIdStr“security_result.detection_fields[].value : appIdStr |
Wert, der direkt aus dem Feld appIdStr übernommen wird. |
applianceName |
principal.hostname : applianceName |
Wert, der direkt aus dem Feld applianceName , siteName oder site übernommen wird. |
appProductivity |
security_result.detection_fields[].key : „appProductivity“security_result.detection_fields[].value : appProductivity |
Wert, der direkt aus dem Feld appProductivity übernommen wird. |
appRisk |
security_result.severity_details : appRisk |
Wert, der direkt aus dem Feld appRisk übernommen wird. |
appSubFamily |
security_result.detection_fields[].key : „appSubFamily“security_result.detection_fields[].value : appSubFamily |
Wert, der direkt aus dem Feld appSubFamily übernommen wird. |
avAccuracy |
additional.fields[].key : „avAccuracy“additional.fields[].value.string_value : avAccuracy |
Wert, der direkt aus dem Feld avAccuracy übernommen wird. |
avAction |
security_result.action : avAction |
Informationen zur Logik finden Sie unter action . |
avMalwareName |
security_result.threat_name : avMalwareName |
Wert, der direkt aus dem Feld avMalwareName übernommen wird. |
avMalwareType |
security_result.category_details : avMalwareType |
Wert, der direkt aus dem Feld avMalwareType übernommen wird. |
classMsg |
security_result.description : classMsg |
Wert, der direkt aus dem Feld classMsg übernommen wurde, ohne doppelte Anführungszeichen. |
clientIPv4Address |
target.ip : clientIPv4Address |
Wert, der direkt aus dem Feld clientIPv4Address übernommen wird. |
destIp |
target.ip : destIp destinationIPv4Address : destIp |
Wert, der direkt aus dem Feld destIp übernommen wird. |
destinationIPv4Address |
target.ip : destinationIPv4Address |
Wert, der direkt aus dem Feld destinationIPv4Address oder aus dem Feld networkPrefix abgeleitet wurde. |
destinationIPv6Address |
target.ip : destinationIPv6Address |
Wert, der direkt aus dem Feld destinationIPv6Address übernommen wird. |
destinationPort |
target.port : destinationPort |
Wert, der direkt aus dem Feld destinationPort übernommen und in eine Ganzzahl konvertiert wurde. |
destinationTransportPort |
target.port : destinationTransportPort |
Wert, der direkt aus dem Feld destinationTransportPort übernommen und in eine Ganzzahl konvertiert wurde. |
deviceKey |
about.resource.attribute.labels[].key : „deviceKey“about.resource.attribute.labels[].value : deviceKey |
Wert, der direkt aus dem Feld deviceKey übernommen wird, sofern nicht „Unbekannt“ |
deviceName |
about.resource.attribute.labels[].key : „deviceName“about.resource.attribute.labels[].value : deviceName |
Wert, der direkt aus dem Feld deviceName übernommen wird, sofern nicht „Unbekannt“ |
duration |
network.session_duration.seconds : duration |
Wert, der direkt aus dem Feld duration übernommen und in eine Ganzzahl konvertiert wurde. |
egressInterfaceName |
additional.fields[].key : „egressInterfaceName“additional.fields[].value.string_value : egressInterfaceName |
Wert, der direkt aus dem Feld egressInterfaceName übernommen wird. |
event.type |
metadata.event_type : event.type |
Wenn sowohl applianceName (oder sourceIPv4Address oder user oder sourceIPv6Address ) als auch destinationIPv4Address (oder remoteSite oder destinationIPv6Address oder clientIPv4Address oder hostname ) vorhanden sind, wird NETWORK_CONNECTION verwendet. Andernfalls STATUS_UPDATE . Wenn applianceName leer ist, dann GENERIC_EVENT . |
eventType |
principal.resource.attribute.labels[].key : „eventType“principal.resource.attribute.labels[].value : eventType |
Wert, der direkt aus dem Feld eventType übernommen wird. |
family |
security_result.detection_fields[].key : „family“security_result.detection_fields[].value : family |
Wert, der direkt aus dem Feld family übernommen wird. |
fc |
security_result.detection_fields[].key : „ForwardingClass“security_result.detection_fields[].value : fc |
Wert, der direkt aus dem Feld fc übernommen wird. |
fileTransDir |
additional.fields[].key : „fileTransDir“additional.fields[].value.string_value : fileTransDir |
Wert, der direkt aus dem Feld fileTransDir übernommen wird. |
filename |
target.file.names : filename |
Wert, der direkt aus dem Feld filename übernommen wird. |
flowCookie |
metadata.collected_timestamp : flowCookie |
Wert, der direkt aus dem Feld flowCookie übernommen und in das UNIX-Format für Zeitstempel konvertiert wird. |
flowId |
principal.resource.product_object_id : flowId |
Wert, der direkt aus dem Feld flowId übernommen wird. |
forwardForwardingClass |
security_result.detection_fields[].key : „forwardForwardingClass“security_result.detection_fields[].value : forwardForwardingClass |
Wert, der direkt aus dem Feld forwardForwardingClass übernommen wird. |
fromCountry |
principal.location.country_or_region : fromCountry target.location.country_or_region : fromCountry |
Wert, der direkt aus dem Feld fromCountry übernommen wird. |
fromUser |
principal.user.userid : fromUser |
Wert, der direkt aus dem Feld fromUser übernommen wird, sofern es nicht leer, „unbekannt“ oder „Unbekannt“ ist. |
fromZone |
additional.fields[].key : „fromZone“additional.fields[].value.string_value : fromZone |
Wert, der direkt aus dem Feld fromZone übernommen wird. |
generateTime |
metadata.collected_timestamp : generateTime |
Wert, der direkt aus dem Feld generateTime übernommen und in das UNIX-Format für Zeitstempel konvertiert wird. |
hostname |
target.hostname : hostname |
Wert, der direkt aus dem Feld hostname übernommen wird. |
httpUrl |
target.url : httpUrl |
Wert, der direkt aus dem Feld httpUrl übernommen wird. |
icmpTypeIPv4 |
additional.fields[].key : „icmpTypeIPv4“additional.fields[].value.string_value : icmpTypeIPv4 |
Wert, der direkt aus dem Feld icmpTypeIPv4 übernommen wird. |
idpAction |
security_result.action : idpAction |
Informationen zur Logik finden Sie unter action . |
ingressInterfaceName |
additional.fields[].key : „ingressInterfaceName“additional.fields[].value.string_value : ingressInterfaceName |
Wert, der direkt aus dem Feld ingressInterfaceName übernommen wird. |
ipsApplication |
additional.fields[].key : „ipsApplication“additional.fields[].value.string_value : ipsApplication |
Wert, der direkt aus dem Feld ipsApplication übernommen wird. |
ipsDirection |
security_result.detection_fields[].key : „ipsDirection“security_result.detection_fields[].value : ipsDirection |
Wert, der direkt aus dem Feld ipsDirection übernommen wird. |
ipsProfile |
security_result.detection_fields[].key : „ipsProfile“security_result.detection_fields[].value : ipsProfile |
Wert, der direkt aus dem Feld ipsProfile übernommen wird. |
ipsProfileRule |
security_result.rule_name : ipsProfileRule |
Wert, der direkt aus dem Feld ipsProfileRule übernommen wird. |
ipsProtocol |
network.ip_protocol : ipsProtocol |
Wert, der direkt aus dem Feld ipsProtocol übernommen wird. |
log_type |
metadata.description : log_type metadata.log_type : log_type |
Wert, der direkt aus dem Feld log_type übernommen wird. |
mstatsTimeBlock |
metadata.collected_timestamp : mstatsTimeBlock |
Wert, der direkt aus dem Feld mstatsTimeBlock übernommen und in das UNIX-Format für Zeitstempel konvertiert wird. |
mstatsTotRecvdOctets |
network.received_bytes : mstatsTotRecvdOctets |
Wert, der direkt aus dem Feld mstatsTotRecvdOctets übernommen und in eine positive Ganzzahl konvertiert wurde. |
mstatsTotSentOctets |
network.sent_bytes : mstatsTotSentOctets |
Wert, der direkt aus dem Feld mstatsTotSentOctets übernommen und in eine positive Ganzzahl konvertiert wurde. |
mstatsTotSessCount |
additional.fields[].key : „mstatsTotSessCount“additional.fields[].value.string_value : mstatsTotSessCount |
Wert, der direkt aus dem Feld mstatsTotSessCount übernommen wird. |
mstatsTotSessDuration |
network.session_duration.seconds : mstatsTotSessDuration |
Wert, der direkt aus dem Feld mstatsTotSessDuration übernommen und in eine Ganzzahl konvertiert wurde. |
mstatsType |
security_result.category_details : mstatsType |
Wert, der direkt aus dem Feld mstatsType übernommen wird. |
networkPrefix |
target.ip : networkPrefix target.port : networkPrefix |
IP-Adresse, die aus dem Feld networkPrefix extrahiert wurde. Port, der aus dem Feld networkPrefix extrahiert und in eine Ganzzahl umgewandelt wurde. |
protocolIdentifier |
network.ip_protocol : protocolIdentifier |
Wert, der direkt aus dem Feld protocolIdentifier übernommen, in einen Ganzzahlwert umgewandelt und mithilfe einer Suche dem Namen des IP-Protokolls zugeordnet wird. |
recvdOctets |
network.received_bytes : recvdOctets |
Wert, der direkt aus dem Feld recvdOctets übernommen und in eine positive Ganzzahl konvertiert wurde. |
recvdPackets |
network.received_packets : recvdPackets |
Wert, der direkt aus dem Feld recvdPackets übernommen und in eine Ganzzahl konvertiert wurde. |
remoteSite |
target.hostname : remoteSite |
Wert, der direkt aus dem Feld remoteSite übernommen wird. |
reverseForwardingClass |
security_result.detection_fields[].key : „reverseForwardingClass“security_result.detection_fields[].value : reverseForwardingClass |
Wert, der direkt aus dem Feld reverseForwardingClass übernommen wird. |
risk |
security_result.risk_score : risk |
Wert, der direkt aus dem Feld risk übernommen und in einen Float-Wert umgewandelt wurde. |
rule |
security_result.rule_name : rule |
Wert, der direkt aus dem Feld rule übernommen wird. |
sentOctets |
network.sent_bytes : sentOctets |
Wert, der direkt aus dem Feld sentOctets übernommen und in eine positive Ganzzahl konvertiert wurde. |
sentPackets |
network.sent_packets : sentPackets |
Wert, der direkt aus dem Feld sentPackets übernommen und in eine Ganzzahl konvertiert wurde. |
serialNum |
security_result.detection_fields[].key : „serialNum“security_result.detection_fields[].value : serialNum |
Wert, der direkt aus dem Feld serialNum übernommen wird. |
signatureId |
security_result.detection_fields[].key : „signatureID“security_result.detection_fields[].value : signatureId |
Wert, der direkt aus dem Feld signatureId übernommen wird. |
signatureMsg |
security_result.detection_fields[].key : „signatureMsg“security_result.detection_fields[].value : signatureMsg |
Wert, der direkt aus dem Feld signatureMsg übernommen wird. |
signaturePriority |
security_result.severity : signaturePriority |
Wenn signaturePriority „niedrig“ ist (ohne Berücksichtigung der Groß- und Kleinschreibung), dann LOW . Wenn signaturePriority „medium“ ist (ohne Berücksichtigung der Groß- und Kleinschreibung), dann MEDIUM . Wenn signaturePriority „hoch“ ist (ohne Berücksichtigung der Groß- und Kleinschreibung), dann HIGH . |
site |
principal.hostname : site applianceName : site |
Wert, der direkt aus dem Feld site übernommen wird. |
siteId |
additional.fields[].key : „siteId“additional.fields[].value.string_value : siteId |
Wert, der direkt aus dem Feld siteId übernommen wird. |
siteName |
principal.hostname : siteName applianceName : siteName |
Wert, der direkt aus dem Feld siteName übernommen wird. |
sourceIPv4Address |
principal.ip : sourceIPv4Address |
Wert, der direkt aus dem Feld sourceIPv4Address übernommen wird. |
sourceIPv6Address |
principal.ip : sourceIPv6Address |
Wert, der direkt aus dem Feld sourceIPv6Address übernommen wird. |
sourcePort |
principal.port : sourcePort |
Wert, der direkt aus dem Feld sourcePort übernommen und in eine Ganzzahl konvertiert wurde. |
sourceTransportPort |
principal.port : sourceTransportPort |
Wert, der direkt aus dem Feld sourceTransportPort übernommen und in eine Ganzzahl konvertiert wurde. |
subFamily |
security_result.detection_fields[].key : „subFamily“security_result.detection_fields[].value : subFamily |
Wert, der direkt aus dem Feld subFamily übernommen wird. |
tcpConnAborted |
additional.fields[].key : „tcpConnAborted“additional.fields[].value.string_value : tcpConnAborted |
Wert, der direkt aus dem Feld tcpConnAborted übernommen wird, sofern es nicht leer oder „0“ ist. |
tcpConnRefused |
additional.fields[].key : „tcpConnRefused“additional.fields[].value.string_value : tcpConnRefused |
Wert, der direkt aus dem Feld tcpConnRefused übernommen wird, sofern es nicht leer oder „0“ ist. |
tcpPktsFwd |
network.sent_packets : tcpPktsFwd |
Wert, der direkt aus dem Feld tcpPktsFwd übernommen und in eine Ganzzahl konvertiert wurde. |
tcpPktsRev |
network.received_packets : tcpPktsRev |
Wert, der direkt aus dem Feld tcpPktsRev übernommen und in eine Ganzzahl konvertiert wurde. |
tcpReXmitFwd |
additional.fields[].key : „tcpReXmitFwd“additional.fields[].value.string_value : tcpReXmitFwd |
Wert, der direkt aus dem Feld tcpReXmitFwd übernommen wird, sofern es nicht leer oder „0“ ist. |
tcpReXmitRev |
additional.fields[].key : „tcpReXmitRev“additional.fields[].value.string_value : tcpReXmitRev |
Wert, der direkt aus dem Feld tcpReXmitRev übernommen wird, sofern es nicht leer oder „0“ ist. |
tcpSAA |
additional.fields[].key : „tcpSAA“additional.fields[].value.string_value : tcpSAA |
Wert, der direkt aus dem Feld tcpSAA übernommen wird, sofern es nicht leer oder „0“ ist. |
tcpSSA |
additional.fields[].key : „tcpSSA“additional.fields[].value.string_value : tcpSSA |
Wert, der direkt aus dem Feld tcpSSA übernommen wird, sofern es nicht leer oder „0“ ist. |
tcpSessCnt |
additional.fields[].key : „tcpSessCnt“additional.fields[].value.string_value : tcpSessCnt |
Wert, der direkt aus dem Feld tcpSessCnt übernommen wird. |
tcpSessDur |
network.session_duration.seconds : tcpSessDur |
Wert, der direkt aus dem Feld tcpSessDur übernommen und in eine Ganzzahl konvertiert wurde. |
tcpSynAckReXmit |
additional.fields[].key : „tcpSynAckReXmit“additional.fields[].value.string_value : tcpSynAckReXmit |
Wert, der direkt aus dem Feld tcpSynAckReXmit übernommen wird, sofern es nicht leer oder „0“ ist. |
tcpSynReXmit |
additional.fields[].key : „tcpSynReXmit“additional.fields[].value.string_value : tcpSynReXmit |
Wert, der direkt aus dem Feld tcpSynReXmit übernommen wird, sofern es nicht leer oder „0“ ist. |
tcpTWHS |
additional.fields[].key : „tcpTWHS“additional.fields[].value.string_value : tcpTWHS |
Wert, der direkt aus dem Feld tcpTWHS übernommen wird, sofern es nicht leer oder „0“ ist. |
tenantId |
principal.resource.attribute.labels[].key : „tenantId“principal.resource.attribute.labels[].value : tenantId |
Wert, der direkt aus dem Feld tenantId übernommen wird. |
tenantName |
observer.hostname : tenantName |
Wert, der direkt aus dem Feld tenantName übernommen wird. |
threatType |
security_result.detection_fields[].key : „threatType“security_result.detection_fields[].value : threatType |
Wert, der direkt aus dem Feld threatType übernommen wird. |
toCountry |
target.location.country_or_region : toCountry |
Wert, der direkt aus dem Feld toCountry übernommen wird. |
toZone |
additional.fields[].key : „toZone“additional.fields[].value.string_value : toZone |
Wert, der direkt aus dem Feld toZone übernommen wird. |
traffType |
additional.fields[].key : „traffType“additional.fields[].value.string_value : traffType |
Wert, der direkt aus dem Feld traffType übernommen wird. |
ts |
metadata.event_timestamp : ts |
Wert, der direkt aus dem Feld ts übernommen und in einen Zeitstempel umgewandelt wurde. |
type |
security_result.action : type |
Informationen zur Logik finden Sie unter action . |
urlAction |
security_result.action : urlAction |
Informationen zur Logik finden Sie unter action . |
urlActionMessage |
security_result.summary : urlActionMessage |
Wert, der direkt aus dem Feld urlActionMessage übernommen wird. |
urlCategory |
principal.resource.attribute.labels[].key : „urlCategory“principal.resource.attribute.labels[].value : urlCategory |
Wert, der direkt aus dem Feld urlCategory übernommen wird. |
urlProfile |
additional.fields[].key : „urlProfile“additional.fields[].value.string_value : urlProfile |
Wert, der direkt aus dem Feld urlProfile übernommen wird. |
urlReputation |
security_result.severity_details : urlReputation |
Wert, der direkt aus dem Feld urlReputation übernommen wird. |
user |
principal.ip : user |
Wert, der direkt aus dem Feld user übernommen wird. |
vsnId |
principal.resource.attribute.labels[].key : „vsnId“principal.resource.attribute.labels[].value : vsnId |
Wert, der direkt aus dem Feld vsnId übernommen wird. Hartcodierter Wert. Hartcodierter Wert. |
Änderungen
2024-06-03
- „idpAction“ wurde in „security_result.action“ geändert.
- „threatType“ wurde auf „security_result.detection_fields“ zugeordnet.
- „ipsDirection“ wurde in „security_result.detection_fields“ geändert.
- „ipsProfile“ wurde in „security_result.detection_fields“ zugeordnet.
- „signaturePriority“ wurde zu „security_result.severity“ zugeordnet.
- „signatureMsg“ wurde „security_result.detection_fields“ zugeordnet.
- „signatureId“ wurde zu „security_result.detection_fields“ zugeordnet.
- „ipsApplication“ wurde in „security_result.detection_fields“ zugeordnet.
- „classMsg“ wurde in „security_result.description“ geändert.
- „ipsProfileRule“ wurde in „security_result.rule_name“ geändert.
- „ipsProtocol“ wurde in „network.ip_protocol“ ummapped.
2023-07-03
- Unterstützung für „entitlementlog“, „monstatslog“ und „tcpappmonlog“ hinzugefügt.
2022-11-04
- Von Mewly erstellter Parser.