Logs des VMware Networking and Security Virtualization (NSX) Manager erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie die Protokolle des VMware Networking and Security Virtualization (NSX) Managers erfassen. Der Parser extrahiert Felder mithilfe verschiedener Grok-Muster, die auf dem Nachrichtenformat basieren. Anschließend werden Schlüssel/Wert- und JSON-Parsing sowie bedingte Logik ausgeführt, um die extrahierten Felder dem UDM zuzuordnen, verschiedene Protokollformate zu verarbeiten und die Daten mit zusätzlichem Kontext anzureichern.
Hinweise
- Sie benötigen eine Google Security Operations-Instanz.
- Sie müssen Windows 2016 oder höher oder einen Linux-Host mit
systemdverwenden. - Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
- Sie benötigen Administratorzugriff auf VMware NSX.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei für die Datenaufnahmeauthentifizierung herunter. Speichern Sie die Datei sicher auf dem System, auf dem der BindPlane-Agent installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profil.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Windows-Installation
- Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Weitere Installationsressourcen
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
Bindplane-Agent so konfigurieren, dass er Syslog-Dateien aufnimmt und an Google SecOps sendet
Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis/etc/bindplane-agent/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor, z. B.
nano,vioder Notepad.
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: vmware_nsx raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsErsetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie
<customer_id>durch die tatsächliche Kundennummer.Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonim Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.
Bindplane-Agent neu starten, um die Änderungen anzuwenden
Führen Sie unter Linux den folgenden Befehl aus, um den Bindplane-Agent neu zu starten:
sudo systemctl restart bindplane-agentUnter Windows können Sie den Bindplane-Agenten entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
net stop BindPlaneAgent && net start BindPlaneAgent
Syslog-Konfiguration für NSX Edge
- Melden Sie sich im vSphere-Webclient an.
- Gehen Sie zu Netzwerk und Sicherheit > NSX-Edges.
- Wählen Sie die NSX Edge-Instanz aus, die Sie konfigurieren möchten.
- Gehen Sie zu den Syslog-Einstellungen:
- Für NSX 6.4.4 und höher:
- Gehen Sie zu Verwalten > Einstellungen > Geräteeinstellungen.
- Klicken Sie auf Einstellungen > Syslog-Konfiguration ändern.
- Für NSX 6.4.3 und niedriger:
- Gehen Sie zu Verwalten > Einstellungen > Konfiguration.
- Klicken Sie im Dialogfeld Details auf Ändern.
- Für NSX 6.4.4 und höher:
- Konfigurieren Sie die Details des Syslog-Servers:
- Server: Geben Sie die IP-Adresse oder den Hostnamen des Syslog-Servers (Bindebene) ein.
- Protocol (Protokoll): Wählen Sie je nach Bindplane-Konfiguration UDP oder TCP aus.
- Port: Geben Sie die Portnummer ein (je nach Bindplane-Konfiguration).
- Klicken Sie auf OK, um die Einstellungen zu speichern.
Syslog-Konfiguration für NSX Manager
- Melden Sie sich mit Administratoranmeldedaten in der NSX Manager-Weboberfläche an:
https://<NSX-Manager-IP>oderhttps://<NSX-Manager-Hostname>.
- Gehen Sie zu Geräteeinstellungen verwalten > Allgemein.
- Klicken Sie auf Bearbeiten, um die Syslog-Servereinstellungen zu konfigurieren.
- Geben Sie die Details zum Syslog-Server ein:
- Server: Geben Sie die IP-Adresse oder den Hostnamen des Syslog-Servers (Bindebene) ein.
- Protocol (Protokoll): Wählen Sie je nach Bindplane-Konfiguration UDP oder TCP aus.
- Port: Geben Sie die Portnummer ein (je nach Bindplane-Konfiguration).
- Klicken Sie auf OK, um die Einstellungen zu speichern.
Syslog-Konfiguration für NSX-Controller
- Melden Sie sich im vSphere-Webclient an.
- Gehen Sie zu Netzwerk und Sicherheit > Installation und Upgrade > Verwaltung > NSX-Controller-Knoten.
- Wählen Sie den NSX Manager aus, der die Controllerknoten verwaltet.
- Klicken Sie auf Allgemeine Controller-Attribute bearbeiten.
- Klicken Sie im Dialogfeld Syslog-Server auf Hinzufügen:
- Geben Sie den Namen oder die IP-Adresse des Syslog-Servers ein.
- Wählen Sie je nach Bindplane-Konfiguration das Protokoll UDP aus.
- Legen Sie die Protokollebene fest (z. B.
INFO).
- Klicken Sie auf OK, um die Einstellungen zu speichern.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
DST |
event.idm.read_only_udm.target.ip |
Die Ziel-IP-Adresse wird aus dem Feld DST im Rohprotokoll extrahiert. |
ID |
event.idm.read_only_udm.metadata.product_log_id |
Die Produktprotokoll-ID wird aus dem Feld ID im Rohprotokoll extrahiert. |
MAC |
event.idm.read_only_udm.principal.mac |
Die MAC-Adresse wird aus dem Feld MAC im Rohprotokoll extrahiert. |
ModuleName |
event.idm.read_only_udm.metadata.product_event_type |
Der Produktereignistyp wird aus dem Feld ModuleName im Rohprotokoll extrahiert. |
Operation |
event.idm.read_only_udm.principal.resource.attribute.labels.value |
Der Vorgang wird aus dem Feld Operation im Rohprotokoll extrahiert und als Label mit dem Schlüssel „Operation“ hinzugefügt. |
PROTO |
event.idm.read_only_udm.network.ip_protocol |
Das IP-Protokoll wird aus dem Feld PROTO im Rohprotokoll extrahiert. |
RES |
event.idm.read_only_udm.target.resource.name |
Der Name der Zielressource wird aus dem Feld RES im Rohprotokoll extrahiert. |
SRC |
event.idm.read_only_udm.principal.ip |
Die Quell-IP-Adresse wird aus dem Feld SRC im Rohprotokoll extrahiert. |
SPT |
event.idm.read_only_udm.principal.port |
Der Quellport wird aus dem Feld SPT im Rohprotokoll extrahiert. |
UserName |
event.idm.read_only_udm.principal.user.userid |
Die Nutzer-ID wird aus dem Feld UserName im Rohprotokoll extrahiert. |
app_type |
event.idm.read_only_udm.principal.application |
Die Hauptanwendung wird aus dem Feld app_type im Rohprotokoll extrahiert. |
application |
event.idm.read_only_udm.target.application |
Die Zielanwendung wird aus dem Feld application im Rohprotokoll extrahiert. |
audit |
event.idm.read_only_udm.principal.resource.attribute.labels.value |
Der Wert für die Prüfung wird aus dem Feld audit im Rohprotokoll extrahiert und als Label mit dem Schlüssel „audit“ hinzugefügt. |
cancelTimeUTC |
event.idm.read_only_udm.principal.resource.attribute.last_update_time |
Die Zeit der letzten Aktualisierung wird aus dem Feld cancelTimeUTC im Rohprotokoll abgeleitet. |
client |
event.idm.read_only_udm.principal.ip oder event.idm.read_only_udm.principal.administrative_domain |
Wenn das Feld client eine IP-Adresse ist, wird sie der Haupt-IP zugeordnet. Andernfalls wird sie der Hauptverwaltungsdomain zugeordnet. |
comp |
event.idm.read_only_udm.principal.resource.attribute.labels.value |
Der Komponentenwert wird aus dem Feld comp im Rohprotokoll extrahiert und als Label mit dem Schlüssel „Comp“ hinzugefügt. |
datetime |
event.idm.read_only_udm.metadata.event_timestamp |
Der Ereigniszeitstempel wird aus dem Feld datetime im Rohprotokoll extrahiert. |
description |
event.idm.read_only_udm.metadata.description |
Die Beschreibung wird aus dem Feld description im Rohprotokoll extrahiert. |
details |
event.idm.read_only_udm.principal.resource.attribute.labels |
Die Details werden aus dem Feld details im Rohprotokoll extrahiert und als Labels hinzugefügt. |
direction |
event.idm.read_only_udm.network.direction |
Wenn das Feld direction „OUT“ enthält, wird es „OUTBOUND“ zugeordnet. |
dst_ip |
event.idm.read_only_udm.target.ip |
Die Ziel-IP-Adresse wird aus dem Feld dst_ip im Rohprotokoll extrahiert. |
DPT |
event.idm.read_only_udm.target.port |
Der Zielport wird aus dem Feld DPT im Rohprotokoll extrahiert. |
errorCode |
event.idm.read_only_udm.security_result.detection_fields |
Der Fehlercode wird aus dem Feld errorCode im Rohprotokoll extrahiert und als Erkennungsfeld hinzugefügt. |
eventType |
event.idm.read_only_udm.metadata.product_event_type |
Der Produktereignistyp wird aus dem Feld eventType im Rohprotokoll extrahiert. |
filepath |
event.idm.read_only_udm.principal.process.file.full_path |
Der Dateipfad wird aus dem Feld filepath im Rohprotokoll extrahiert. |
hostname |
event.idm.read_only_udm.principal.ip |
Der Hostname wird aus dem Feld hostname im Rohprotokoll extrahiert und, falls es sich um eine IP-Adresse handelt, der Haupt-IP zugeordnet. |
kv_data |
Verschiedene UDM-Felder | Die Schlüssel/Wert-Paare in kv_data werden basierend auf ihren Schlüsseln verschiedenen UDM-Feldern zugeordnet. |
kv_data1 |
Verschiedene UDM-Felder | Die Schlüssel/Wert-Paare in kv_data1 werden basierend auf ihren Schlüsseln verschiedenen UDM-Feldern zugeordnet. |
kv_data2 |
Verschiedene UDM-Felder | Die Schlüssel/Wert-Paare in kv_data2 werden basierend auf ihren Schlüsseln verschiedenen UDM-Feldern zugeordnet. |
kv_data3 |
Verschiedene UDM-Felder | Die Schlüssel/Wert-Paare in kv_data3 werden basierend auf ihren Schlüsseln verschiedenen UDM-Feldern zugeordnet. |
kv_data4 |
Verschiedene UDM-Felder | Die Schlüssel/Wert-Paare in kv_data4 werden basierend auf ihren Schlüsseln verschiedenen UDM-Feldern zugeordnet. |
level |
event.idm.read_only_udm.security_result.severity |
Wenn das Feld level „INFO“ lautet, wird es „INFORMATIONSWEISEND“ zugeordnet. Wenn der Wert „ERROR“ ist, wird er „ERROR“ zugeordnet. |
managedExternally |
event.idm.read_only_udm.principal.resource.attribute.labels.value |
Der Wert „managedExternally“ wird aus dem Feld managedExternally im Rohprotokoll extrahiert und als Label mit dem Schlüssel „managedExternally“ hinzugefügt. |
message |
Verschiedene UDM-Felder | Das Nachrichtenfeld wird analysiert, um verschiedene UDM-Felder zu extrahieren. |
message_data |
event.idm.read_only_udm.principal.resource.attribute.labels.value |
Die Nachrichtendaten werden aus dem Feld message_data im Rohprotokoll extrahiert und als Label mit dem Schlüssel „message“ hinzugefügt. |
network_status |
event.idm.read_only_udm.additional.fields |
Der Netzwerkstatus wird aus dem Feld network_status im Rohprotokoll extrahiert und als zusätzliches Feld mit dem Schlüssel „Network_Connection_Status“ hinzugefügt. |
new_value |
Verschiedene event.idm.read_only_udm.target-Felder |
Der neue Wert wird aus dem Feld new_value im Rohprotokoll extrahiert und zum Ausfüllen verschiedener Zielfelder verwendet. |
node |
event.idm.read_only_udm.principal.resource.attribute.labels.value |
Der Knotenwert wird aus dem Feld node im Rohprotokoll extrahiert und als Label mit dem Schlüssel „Knoten“ hinzugefügt. |
old_value |
Verschiedene UDM-Felder | Der alte Wert wird aus dem Feld old_value im Rohprotokoll extrahiert und zum Ausfüllen verschiedener UDM-Felder verwendet. |
payload |
Verschiedene UDM-Felder | Die Nutzlast wird aus dem Feld payload im Rohprotokoll extrahiert und zum Ausfüllen verschiedener UDM-Felder verwendet. |
pid |
event.idm.read_only_udm.target.process.pid |
Die Prozess-ID wird aus dem Feld pid im Rohprotokoll extrahiert. |
reqId |
event.idm.read_only_udm.metadata.product_log_id |
Die Produktprotokoll-ID wird aus dem Feld reqId im Rohprotokoll extrahiert. |
resourceId |
event.idm.read_only_udm.principal.resource.product_object_id |
Die Produktobjekt-ID wird aus dem Feld resourceId im Rohprotokoll extrahiert. |
s2comp |
event.idm.read_only_udm.principal.resource.attribute.labels.value |
Der Wert „s2comp“ wird aus dem Feld s2comp im Rohprotokoll extrahiert und als Label mit dem Schlüssel „s2comp“ hinzugefügt. |
ses |
event.idm.read_only_udm.network.session_id |
Die Sitzungs-ID wird aus dem Feld ses im Rohprotokoll extrahiert. |
src_host |
event.idm.read_only_udm.principal.hostname |
Der Haupt-Hostname wird aus dem Feld src_host im Rohprotokoll extrahiert. |
src_ip |
event.idm.read_only_udm.principal.ip |
Die Quell-IP-Adresse wird aus dem Feld src_ip im Rohprotokoll extrahiert. |
src_ip1 |
event.idm.read_only_udm.principal.ip |
Die Quell-IP-Adresse wird aus dem Feld src_ip1 im Rohprotokoll extrahiert. |
src_port |
event.idm.read_only_udm.principal.port |
Der Quellport wird aus dem Feld src_port im Rohprotokoll extrahiert. |
startTimeUTC |
event.idm.read_only_udm.principal.resource.attribute.creation_time |
Die Erstellungszeit wird aus dem Feld startTimeUTC im Rohprotokoll abgeleitet. |
subcomp |
event.idm.read_only_udm.network.application_protocol oder event.idm.read_only_udm.principal.resource.attribute.labels.value |
Wenn das Feld subcomp „http“ lautet, wird es „HTTP“ zugeordnet. Andernfalls wird es als Label mit dem Schlüssel „Sub Comp“ hinzugefügt. |
tname |
event.idm.read_only_udm.principal.resource.attribute.labels.value |
Der Wert „tname“ wird aus dem Feld tname im Rohprotokoll extrahiert und als Label mit dem Schlüssel „tname“ hinzugefügt. |
type |
event.idm.read_only_udm.metadata.product_event_type |
Der Produktereignistyp wird aus dem Feld type im Rohprotokoll extrahiert. |
uid |
event.idm.read_only_udm.principal.user.userid |
Die Nutzer-ID wird aus dem Feld uid im Rohprotokoll extrahiert. |
update |
event.idm.read_only_udm.principal.resource.attribute.labels.value |
Der Wert „update“ wird aus dem Feld update im Rohprotokoll extrahiert und als Label mit dem Schlüssel „update“ hinzugefügt. |
user |
event.idm.read_only_udm.principal.user.user_display_name |
Der Anzeigename des Nutzers wird aus dem Feld user im Rohprotokoll extrahiert. |
vmw_cluster |
event.idm.read_only_udm.target.resource.name |
Der Name der Zielressource wird aus dem Feld vmw_cluster im Rohprotokoll extrahiert. |
vmw_datacenter |
event.idm.read_only_udm.target.resource.attribute.labels.value |
Der Wert „vmw_datacenter“ wird aus dem Feld vmw_datacenter im Rohprotokoll extrahiert und als Label mit dem Schlüssel „vmw_datacenter“ hinzugefügt. |
vmw_host |
event.idm.read_only_udm.target.hostname oder event.idm.read_only_udm.target.ip |
Wenn das Feld vmw_host ein Hostname ist, wird es dem Ziel-Hostnamen zugeordnet. Andernfalls wird es der Ziel-IP-Adresse zugeordnet. |
vmw_object_id |
event.idm.read_only_udm.target.resource.product_object_id |
Die Produktobjekt-ID wird aus dem Feld vmw_object_id im Rohprotokoll extrahiert. |
vmw_product |
event.idm.read_only_udm.target.application |
Die Zielanwendung wird aus dem Feld vmw_product im Rohprotokoll extrahiert. |
vmw_vcenter |
event.idm.read_only_udm.target.cloud.availability_zone |
Die Verfügbarkeitszone wird aus dem Feld vmw_vcenter im Rohprotokoll extrahiert. |
vmw_vcenter_id |
event.idm.read_only_udm.target.resource.attribute.labels.value |
Der Wert „vmw_vcenter_id“ wird aus dem Feld vmw_vcenter_id im Rohprotokoll extrahiert und als Label mit dem Schlüssel „vmw_vcenter_id“ hinzugefügt. |
vmw_vr_ops_appname |
event.idm.read_only_udm.intermediary.application |
Die Zwischenanwendung wird aus dem Feld vmw_vr_ops_appname im Rohprotokoll extrahiert. |
vmw_vr_ops_clustername |
event.idm.read_only_udm.intermediary.resource.name |
Der Name der Zwischenressource wird aus dem Feld vmw_vr_ops_clustername im Rohprotokoll extrahiert. |
vmw_vr_ops_clusterrole |
event.idm.read_only_udm.intermediary.resource.attribute.roles.name |
Der Name der Rolle der vermittelnden Ressource wird aus dem Feld vmw_vr_ops_clusterrole im Rohprotokoll extrahiert. |
vmw_vr_ops_hostname |
event.idm.read_only_udm.intermediary.hostname |
Der Zwischen-Hostname wird aus dem Feld vmw_vr_ops_hostname im Rohprotokoll extrahiert. |
vmw_vr_ops_id |
event.idm.read_only_udm.intermediary.resource.product_object_id |
Die ID des Zwischenproduktobjekts wird aus dem Feld vmw_vr_ops_id im Rohprotokoll extrahiert. |
vmw_vr_ops_logtype |
event.idm.read_only_udm.intermediary.resource.attribute.labels.value |
Der Wert „vmw_vr_ops_logtype“ wird aus dem Feld vmw_vr_ops_logtype im Rohprotokoll extrahiert und als Label mit dem Schlüssel „vmw_vr_ops_logtype“ hinzugefügt. |
vmw_vr_ops_nodename |
event.idm.read_only_udm.intermediary.resource.attribute.labels.value |
Der Wert „vmw_vr_ops_nodename“ wird aus dem Feld vmw_vr_ops_nodename im Rohprotokoll extrahiert und als Label mit dem Schlüssel „vmw_vr_ops_nodename“ hinzugefügt. Wird durch eine Reihe von bedingten Anweisungen bestimmt, die auf den Werten anderer Felder basieren. Mögliche Werte sind USER_LOGIN, NETWORK_CONNECTION, STATUS_UPDATE und GENERIC_EVENT. Hartcodiert auf „VMWARE_NSX“. Hartcodiert auf „VMWARE_NSX“. Hartcodiert auf „VMWARE_NSX“. Legen Sie „AUTHTYPE_UNSPECIFIED“ fest, wenn Operation „LOGIN“ ist und target_details nicht leer ist, oder wenn message „authentication failure“ enthält und application nicht leer ist. Legen Sie „SSH“ fest, wenn PROTO „ssh2“ ist, oder „HTTP“, wenn subcomp „http“ ist. Wird durch eine Reihe von bedingten Anweisungen bestimmt, die auf den Werten anderer Felder basieren. Mögliche Werte sind „ZULASSEN“ und „BLOCKIEREN“. Legen Sie „VIRTUAL_MACHINE“ fest, wenn vmw_cluster nicht leer ist. |
Änderungen
2023-11-15
- Verbesserung: Im Feld „Alter Wert“:
- „unique_id“ wurde auf „principal.resource.product_object_id“ zugeordnet.
- „resource_type“ wurde in „principal.resource.sub_type“ umgewandelt.
- „_create_user“ und „_last_modified_user“ wurden auf „principal.user.email_addresses“ zugeordnet.
- „action“ wurde in „security_result.action“ geändert.
- „rule_id“ wurde in „security_result.rule_id“ umgewandelt.
- „display_name“ wurde „principal.resource.name“ zugeordnet.
- „_last_modified_time“ wurde in „principal.resource.attribute.last_update_time“ geändert.
- „_create_time“ wurde in „principal.resource.attribute.creation_time“ umgewandelt.
- „parent_path“ wurde „principal.resource.parent“ zugeordnet.
- „path“ wurde auf „principal.process.file.full_path“ zugeordnet.
- „id“ wurde „principal.resource.id“ zugeordnet.
- Über das Feld „Neuer Wert“:
- „resource_type“ wurde in „target.resource.sub_type“ umgewandelt.
- „unique_id“ wurde auf „target.resource.product_object_id“ zugeordnet.
- „path“ wurde „target.process.file.full_path“ zugeordnet.
- „display_name“ wurde „target.resource.name“ zugeordnet.
- „id“ wurde „target.resource.id“ zugeordnet.
- „vmw_host“ wurde basierend auf dem Wert in „vmw_host“ zu „target_details.hostname“ oder „target_details.ip“ zugeordnet.
- „vmw_product“ wurde auf „target.application“ zugeordnet.
- „vmw_vcenter“ wurde „target.cloud.availability_zone“ zugeordnet.
- „vmw_cluster“ wurde „target.resource.name“ zugeordnet.
- „vmw_object_id“ wurde auf „target.resource.product_object_id“ zugeordnet.
- „vmw_datacenter“ wurde auf „target.resource.attribute.labels“ zugeordnet.
- „vmw_vcenter_id“ wurde auf „target.resource.attribute.labels“ zugeordnet.
- „vmw_vr_ops_logtype“ wurde auf „intermediary.resource.attribute.labels“ zugeordnet.
- „vmw_vr_ops_appname“ wurde „intermediary.application“ zugeordnet.
- „vmw_vr_ops_hostname“ wurde „intermediary.hostname“ zugeordnet.
- „vmw_vr_ops_nodename“ wurde „intermediary.resource.attribute.labels“ zugeordnet.
- „vmw_vr_ops_clustername“ wurde „intermediary.resource.name“ zugeordnet.
- „vmw_vr_ops_clusterrole“ wurde auf „intermediary.resource.attribute.labels.roles.name“ zugeordnet.
- „vmw_vr_ops_id“ wurde mit „intermediary.resource.product_object_id“ verknüpft.
2023-10-13
- Verbesserung: Ein Grok-Muster wurde geändert, um „sourceIp“ mit Ports zu parsen.
- „vmw_host“, „vmw_product“, „vmw_vcenter“, „vmw_cluster“, „vmw_vr_ops_id“, „vmw_object_id“, „vmw_datacenter“, „vmw_vcenter_id“, „vmw_vr_ops_logtype“, „vmw_vr_ops_appname“, „vmw_vr_ops_hostname“, „vmw_vr_ops_nodename“, „vmw_vr_ops_clustername“, „vmw_vr_ops_clusterrole“, „managedExternally“, „update“, „filepath“, „eventType“, „resourceId“ wurden in „principal.resource.attribute.labels“ geändert.
- Felder in „payload“ wurden „principal.resource.attribute.labels“ zugeordnet.
- „client“ wurde auf „principal.ip“ zugeordnet
- Felder in „new_value“ wurden „target.resource.attribute.labels“ zugeordnet.
2023-10-03
- Verbesserung: Es wurde ein Grok-Muster hinzugefügt, um zu prüfen, ob „sourceIp“ eine gültige IP-Adresse ist, bevor sie dem UDM-Feld zugeordnet wird.
2023-09-12
- Verbesserung: Unterstützung für syslog-Protokolle mit den Feldern „Neuer Wert“ und „Alter Wert“ hinzugefügt.
2023-06-26
- Zugeordnete Werte in „PASS“, „DROP“, „REJECT“, „NAT“, „NONAT“, „RDR“, „NORDR“, „PUNT“, „REDIRECT“ und „COPY“ werden unter „additional.fields“ als „Network_Status“ zugeordnet.
2023-03-07
- „errorCode“ wurde in „security_result.detection_fields“ zugeordnet.
- „app_type“ wurde auf „principal.application“ zugeordnet.
- „tname“, „s2comp“ und „node“ wurden auf „principal.resource.attribute.labels“ zugeordnet.
- „exe“ wurde „target.process.file.full_path“ zugeordnet.
- „dst_ip“ wurde „target.ip“ zugeordnet.
- „ses“ wurde „network.session_id“ zugeordnet.
- „hostname“ wurde „principal.ip“ zugeordnet.
- „direction“ wurde „network.direction“ zugeordnet.
- „reqId“ wurde „metadata.product_log_id“ zugeordnet.
2022-06-10
- Neu erstellter Parser
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten