Diese Seite wurde von der Cloud Translation API übersetzt.

WatchGuard-Firewall-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

Übersicht

Dieser Parser extrahiert WatchGuard-Firewall-Protokolle im JSON- oder Schlüssel/Wert-Format (KV) und wandelt sie in UDM um. Dabei werden „Traffic“- und „Ereignis“-Protokolle unterschiedlich behandelt. Mithilfe von Grok- und KV-Filtern werden Felder extrahiert und UDM zugeordnet. Dabei wird eine spezielle Logik für verschiedene msg_id-Werte und Ereignisnamen verwendet, um Netzwerkprotokolle, Nutzeraktionen, Sicherheitsergebnisse und andere relevante Details zu verarbeiten. Außerdem wird eine zweite Gruppe von Syslog-Einträgen verarbeitet, wobei ähnliche Informationen extrahiert und dem UDM-Format zugeordnet werden.

Hinweise

Sie benötigen eine Google SecOps-Instanz.
Sie benötigen erhöhte Zugriffsrechte für Watchguard.
Sie benötigen Windows 2012 SP2 oder höher oder einen Linux-Host mit systemd.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei für die Datenaufnahmeauthentifizierung herunter.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profile.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Führen Sie für die Windows-Installation das folgende Script aus: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Führen Sie für die Linux-Installation das folgende Script aus: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Dateien aufnimmt und an Google SecOps sendet

Rufen Sie den Computer auf, auf dem BindPlane installiert ist.

Bearbeiten Sie die Datei config.yamlso:

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: testNamespace
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Starten Sie den Bindplane-Agent mit dem folgenden Befehl neu, um die Änderungen anzuwenden: sudo systemctl bindplane restart

Syslog-Serverkonfiguration zu Watchguard hinzufügen

Melden Sie sich in der Watchguard-Benutzeroberfläche an.
Wählen Sie System > Logging aus.
Klicken Sie auf den Tab Syslog-Server.
Klicken Sie das Kästchen Protokollmeldungen an diese syslog-Server senden an.
Klicken Sie auf Hinzufügen.
Geben Sie im Dialogfeld Syslog-Server Werte für die Eingabeparameter an:
- IP-Adresse: Geben Sie die IP-Adresse des Servers ein.
- Port: Ändern Sie den Standard-Syslog-Serverport (514) und geben Sie einen anderen Port für Ihren Server ein.
- Logformat: Wählen Sie im Drop-down-Menü die Option Syslog aus.
- Optional: Beschreibung: Geben Sie eine Beschreibung für den Server ein, z. B. Google SecOps-Export.
- Optional: Zeitstempel: Klicken Sie das Kästchen an, um das Datum und die Uhrzeit des Ereignisses auf Ihrem Firebox in den Details der Protokollnachricht aufzunehmen.
- Optional: Die Seriennummer des Geräts: Klicken Sie das Kästchen an, um die Seriennummer des Fireboxes in die Details der Protokollnachricht aufzunehmen.
- Syslog-Einrichtung: Wählen Sie für jeden Lognachrichtentyp eine Priorität aus dem Drop-down-Menü aus. Beispiel: Für syslog-Nachrichten mit hoher Priorität, z. B. Benachrichtigungen, wählen Sie Local0 aus.
Hinweis :Weisen Sie Prioritäten für alle Arten von Protokollmeldungen zu (niedrigere Zahlen haben eine höhere Priorität). Wählen Sie Local1–Local7 aus.
- Optional: Standardeinstellungen wiederherstellen: Damit werden die Standardeinstellungen wiederhergestellt.
Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`action`	`security_result.action_details`	Der Wert von `action` aus dem Rohprotokoll wird `security_result.action_details` zugewiesen.
`action`	`target.labels.value`	Der Wert von `action` aus dem Rohprotokoll wird `target.labels.value` zugewiesen. `target.labels.key` ist „Aktion auf Ressource“.
`arg`	`target.file.full_path`	Der Wert von `arg` aus dem Rohprotokoll wird `target.file.full_path` zugewiesen.
`app_cat_id`	`about.labels.value`	Der Wert von `app_cat_id` aus dem Rohprotokoll wird `about.labels.value` zugewiesen. `about.labels.key` ist „app_cat_id“.
`app_cat_name`	`target.application`	Wird in Kombination mit `app_name` verwendet, um den Wert von `target.application` zu bilden (z.B. „Google – Webdienste“).
`app_id`	`about.labels.value`	Der Wert von `app_id` aus dem Rohprotokoll wird `about.labels.value` zugewiesen. `about.labels.key` ist „app_id“.
`app_name`	`target.application`	Wird in Kombination mit `app_cat_name` verwendet, um den Wert von `target.application` zu bilden (z.B. „Google – Webdienste“).
`cats`	`security_result.category_details`	Der Wert von `cats` aus dem Rohprotokoll wird `security_result.category_details` zugewiesen.
`cert_issuer`	`network.tls.server.certificate.issuer`	Der Wert von `cert_issuer` aus dem Rohprotokoll wird `network.tls.server.certificate.issuer` zugewiesen.
`cert_subject`	`network.tls.server.certificate.subject`	Der Wert von `cert_subject` aus dem Rohprotokoll wird `network.tls.server.certificate.subject` zugewiesen.
`cn`	`network.tls.server.certificate.subject`	Der Wert von `cn` aus dem Rohprotokoll wird `network.tls.server.certificate.subject` zugewiesen.
`conn_action`	`security_result.action_details`	Der Wert von `conn_action` aus dem Rohprotokoll wird `security_result.action_details` zugewiesen.
`content_type`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`description`	`metadata.description`	Der aus dem Rohprotokoll abgeleitete Wert von `description` wird `metadata.description` zugewiesen.
`dhcp_type`	`network.dhcp.type`	Der Wert von `dhcp_type` aus dem Rohprotokoll wird dem entsprechenden DHCP-Typ in `network.dhcp.type` zugeordnet (z.B. „REQUEST“, „ACK“).
`dst_host`	`target.hostname`	Der Wert von `dst_host` aus dem Rohprotokoll wird `target.hostname` zugewiesen.
`dst_ip`	`target.ip`	Der Wert von `dst_ip` aus dem Rohprotokoll wird `target.ip` zugewiesen.
`dst_mac`	`target.mac`	Der Wert von `dst_mac` aus dem Rohprotokoll wird `target.mac` zugewiesen.
`dst_port`	`target.port`	Der Wert von `dst_port` aus dem Rohprotokoll wird `target.port` zugewiesen.
`dst_user`	`target.user.user_display_name`	Der Wert von `dst_user` aus dem Rohprotokoll wird `target.user.user_display_name` zugewiesen.
`dstname`	`target.administrative_domain`	Der Wert von `dstname` aus dem Rohprotokoll wird `target.administrative_domain` zugewiesen.
`duration`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`elapsed_time`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`endpoint`	`intermediary.labels.value`	Der Wert von `endpoint` aus dem Rohprotokoll wird `intermediary.labels.value` zugewiesen. `intermediary.labels.key` ist „Gateway-Endpunkt“.
`event_name`	`principal.application`	Der Wert von `event_name` aus dem Rohprotokoll wird `principal.application` zugewiesen.
`firewall_id`	`intermediary.asset_id`	Dem Wert von `firewall_id` aus dem Rohprotokoll wird „Firewall-ID: “ vorangestellt und `intermediary.asset_id` zugewiesen.
`firewall_name`	`principal.asset_id`	Dem Wert von `firewall_name` aus dem Rohprotokoll wird „Firewall:“ vorangestellt und er wird `principal.asset_id` zugewiesen.
`firewallname`	`intermediary.hostname`	Der Wert von `firewallname` aus dem Rohprotokoll wird `intermediary.hostname` zugewiesen.
`firewallname`	`principal.hostname`	Der Wert von `firewallname` aus dem Rohprotokoll wird `principal.hostname` zugewiesen.
`fqdn_dst_match`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`geo`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`geo_dst`	`target.location.country_or_region`	Der Wert von `geo_dst` aus dem Rohprotokoll wird `target.location.country_or_region` zugewiesen.
`geo_src`	`principal.location.country_or_region`	Der Wert von `geo_src` aus dem Rohprotokoll wird `principal.location.country_or_region` zugewiesen.
`host`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`ike_policy`	`security_result.rule_id`	Der Wert von `ike_policy` aus dem Rohprotokoll wird `security_result.rule_id` zugewiesen.
`ike_policy_version`	`security_result.rule_version`	Der Wert von `ike_policy_version` aus dem Rohprotokoll wird `security_result.rule_version` zugewiesen.
`intermediary_host`	`intermediary.hostname`	Der Wert von `intermediary_host` aus dem Rohprotokoll wird `intermediary.hostname` zugewiesen.
`ipaddress`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`ipsec_policy`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`ipsec_policy_version`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`keyword`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`line`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`log_message`	`metadata.description`	Der Wert `log_message` aus dem Rohprotokoll wird `metadata.description` zugewiesen, wenn keine anderen, genaueren Beschreibungen verfügbar sind.
`log_reason`	`security_result.summary`	Der Wert von `log_reason` aus dem Rohprotokoll wird `security_result.summary` zugewiesen.
`log_type`	`metadata.log_type`	Der Wert von `log_type` aus dem Rohprotokoll wird `metadata.log_type` zugewiesen. Muss immer auf „WATCHGUARD“ gesetzt sein.
`msg`	`security_result.summary`	Der Wert von `msg` aus dem Rohprotokoll wird `security_result.summary` zugewiesen.
`msg_id`	`metadata.product_event_type`	Der Wert von `msg_id` aus dem Rohprotokoll wird `metadata.product_event_type` zugewiesen.
`new_action`	`security_result.action_details`	Wird mit `conn_action` verwendet, um den Wert von `security_result.action_details` zu bilden (z.B. „ProxyReplace: IP protocol - HTTPS-Client.DPI-Off“).
`op`	`network.http.method`	Der Wert von `op` aus dem Rohprotokoll wird `network.http.method` zugewiesen.
`path`	`target.url`	Der Wert von `path` aus dem Rohprotokoll wird `target.url` zugewiesen.
`pid`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`policy_name`	`intermediary.resource.name`	Der Wert von `policy_name` aus dem Rohprotokoll wird `intermediary.resource.name` zugewiesen.
`policy_name`	`security_result.rule_name`	Der Wert von `policy_name` aus dem Rohprotokoll wird `security_result.rule_name` zugewiesen.
`policyname_label.value`	`security_result.rule_labels.value`	Der Wert von `policy_name` aus dem Rohprotokoll wird `security_result.rule_labels.value` zugewiesen. `security_result.rule_labels.key` ist „PolicyName“.
`prin_host`	`principal.hostname`	Der Wert von `prin_host` aus dem Rohprotokoll wird `principal.hostname` zugewiesen.
`proc_id`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`protocol`	`network.ip_protocol`	Der Wert von `protocol` aus dem Rohprotokoll wird in Großbuchstaben umgewandelt und `network.ip_protocol` zugewiesen. Spezielle Behandlung für „EXTERNAL ICMP“, das „ICMP“ zugeordnet ist.
`proxy_act`	`security_result.rule_id`	Der Wert von `proxy_act` aus dem Rohprotokoll wird `security_result.rule_id` zugewiesen.
`proxy_act`	`security_result.rule_name`	Der Wert von `proxy_act` aus dem Rohprotokoll wird `security_result.rule_name` zugewiesen.
`query_name`	`network.dns.questions.name`	Der Wert von `query_name` aus dem Rohprotokoll wird `network.dns.questions.name` zugewiesen.
`query_type`	`network.dns.questions.type`	Der Wert von `query_type` aus dem Rohprotokoll wird `network.dns.questions.type` zugewiesen. Spezielle Behandlung numerischer Abfragetypen und Zuordnung zu Standard-DNS-Abfragetypen.
`rc`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`reason`	`security_result.summary`	Der Wert von `reason` aus dem Rohprotokoll wird `security_result.summary` zugewiesen.
`record_type`	`network.dns.answers.type`	Der Wert von `record_type` aus dem Rohprotokoll wird dem entsprechenden DNS-Eintragstyp in `network.dns.answers.type` zugeordnet.
`redirect_action`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`reputation`	`additional.fields.value.string_value`	Der Wert von `reputation` aus dem Rohprotokoll wird `additional.fields.value.string_value` zugewiesen. `additional.fields.key` ist „Reputation“.
`response`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`response_code`	`network.dns.response_code`	Der Wert von `response_code` aus dem Rohprotokoll wird dem entsprechenden DNS-Antwortcode in `network.dns.response_code` zugeordnet.
`route_type`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`rule_name`	`security_result.rule_name`	Der Wert von `rule_name` aus dem Rohprotokoll wird `security_result.rule_name` zugewiesen.
`rcvd_bytes`	`network.received_bytes`	Der Wert von `rcvd_bytes` aus dem Rohprotokoll wird `network.received_bytes` zugewiesen.
`sent_bytes`	`network.sent_bytes`	Der Wert von `sent_bytes` aus dem Rohprotokoll wird `network.sent_bytes` zugewiesen.
`server_ssl`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`severity`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`sig_vers`	`network.tls.server.certificate.version`	Der Wert von `sig_vers` aus dem Rohprotokoll wird `network.tls.server.certificate.version` zugewiesen.
`signature_cat`	`additional.fields.value.string_value`	Der Wert von `signature_cat` aus dem Rohprotokoll wird `additional.fields.value.string_value` zugewiesen. `additional.fields.key` ist „signature_cat“.
`signature_id`	`additional.fields.value.string_value`	Der Wert von `signature_id` aus dem Rohprotokoll wird `additional.fields.value.string_value` zugewiesen. `additional.fields.key` ist „signature_id“.
`signature_name`	`additional.fields.value.string_value`	Der Wert von `signature_name` aus dem Rohprotokoll wird `additional.fields.value.string_value` zugewiesen. `additional.fields.key` ist „signature_name“.
`sni`	`network.tls.client.server_name`	Der Wert von `sni` aus dem Rohprotokoll wird `network.tls.client.server_name` zugewiesen.
`src_ctid`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`src_host`	`principal.hostname`	Der Wert von `src_host` aus dem Rohprotokoll wird `principal.hostname` zugewiesen.
`src_ip`	`principal.ip`	Der Wert von `src_ip` aus dem Rohprotokoll wird `principal.ip` zugewiesen.
`src_ip_nat`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`src_mac`	`principal.mac`	Der Wert von `src_mac` aus dem Rohprotokoll wird `principal.mac` zugewiesen.
`src_port`	`principal.port`	Der Wert von `src_port` aus dem Rohprotokoll wird `principal.port` zugewiesen.
`src_user`	`principal.user.user_display_name`	Der Wert von `src_user` aus dem Rohprotokoll wird `principal.user.user_display_name` zugewiesen.
`src_user_name`	`principal.user.user_display_name`	Der Wert von `src_user_name` aus dem Rohprotokoll wird `principal.user.user_display_name` zugewiesen.
`src_vpn_ip`	`principal.ip`	Der Wert von `src_vpn_ip` aus dem Rohprotokoll wird `principal.ip` zugewiesen.
`srv_ip`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`srv_port`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`ssl_offload`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`tcp_info`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`time`	`metadata.event_timestamp.seconds`, `timestamp.seconds`	Der Wert von `time` aus dem Rohprotokoll wird analysiert und zum Ausfüllen von `metadata.event_timestamp.seconds` und `timestamp.seconds` verwendet.
`time1`	`metadata.event_timestamp.seconds`, `timestamp.seconds`	Der Wert von `time1` aus dem Rohprotokoll wird analysiert und zum Ausfüllen von `metadata.event_timestamp.seconds` und `timestamp.seconds` verwendet.
`tls_profile`	`about.labels.value`	Der Wert von `tls_profile` aus dem Rohprotokoll wird `about.labels.value` zugewiesen. `about.labels.key` ist „tls_profile“.
`tls_version`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
`user_name`	`principal.user.userid`, `principal.user.user_display_name`	Der Wert von `user_name` aus dem Rohprotokoll wird je nach Kontext `principal.user.userid` oder `principal.user.user_display_name` zugewiesen.
`user_type`	Nicht zugeordnet	In den bereitgestellten UDM-Beispielen nicht dem IDM-Objekt zugeordnet.
(–)	`intermediary.resource.type`	Muss immer auf „ACCESS_POLICY“ festgelegt sein.
(–)	`metadata.event_type`	Wird anhand der Parserlogik basierend auf `msg_id`, `log_type`, `event_name` und anderen Feldern ermittelt. Kann `NETWORK_CONNECTION`, `SERVICE_MODIFICATION`, `NETWORK_SMTP`, `NETWORK_DNS`, `NETWORK_HTTP`, `USER_LOGIN`, `USER_LOGOUT`, `USER_RESOURCE_UPDATE_CONTENT`, `RESOURCE_PERMISSIONS_CHANGE`, `RESOURCE_CREATION`, `GENERIC_EVENT`, `STATUS_UPDATE` oder `USER_UNCATEGORIZED` sein.
(–)	`metadata.product_name`	Muss immer auf „Fireware“ gesetzt sein.
(–)	`metadata.vendor_name`	Muss immer auf „Watchguard“ festgelegt sein.
(–)	`security_result.action`	Wird durch die Parserlogik basierend auf `disposition` bestimmt. Kann „ALLOW“ oder „BLOCK“ sein.
(–)	`extensions.auth.type`	Legen Sie für Anmelde-/Abmeldeereignisse von Nutzern „AUTHTYPE_UNSPECIFIED“ und für Netzwerkereignisse im Zusammenhang mit VPNs „VPN“ fest.
(–)	`network.application_protocol`	Wird durch die Parserlogik anhand von `msg_id` und `event_name` bestimmt. Kann „DNS“, „DHCP“, „HTTP“ oder „HTTPS“ sein.
(–)	`network.dns.questions.type`	Legen Sie für Abfragen von „A“-Einträgen den Wert „1“ fest.
(–)	`target.labels.key`	Legen Sie „Aktion auf Ressource“ fest, wenn `action` auf `target.labels.value` zugeordnet ist.
(–)	`intermediary.labels.key`	Legen Sie „Firewall Member Name“ fest, wenn `prin_host` `intermediary.labels.value` zugeordnet ist.
(–)	`intermediary.labels.key`	Legen Sie „Gateway-Endpunkt“ fest, wenn `endpoint` mit `intermediary.labels.value` verknüpft ist.
(–)	`principal.labels.key`	Legen Sie „Gateway“ fest, wenn `gateway` auf `principal.labels.value` zugeordnet ist.
(–)	`target.labels.key`	Legen Sie „Gateway“ fest, wenn `gateway` auf `target.labels.value` zugeordnet ist.
(–)	`principal.labels.key`	Legen Sie „state“ fest, wenn `status` auf `principal.labels.value` festgelegt ist.
(–)	`target.labels.key`	Legen Sie „Gateway-Status“ fest, wenn `status` auf `target.labels.value` zugeordnet ist.
(–)	`additional.fields.key`	Legen Sie „signature_name“, „signature_cat“, „signature_id“ oder „reputation“ fest, wenn die entsprechenden Werte aus dem Rohprotokoll zugeordnet werden.

Änderungen

2023-12-03

Ein Grok-Muster wurde geändert, um neue Felder zu parsen.
Einige Grok-Muster wurden geändert, um neue Muster von „identified_log“ zu analysieren.
Es wurde ein neues Grok-Muster hinzugefügt, um „identified_log“ mit dem Wert „msg_id“ als „1600-0066“ zu parsen.

2023-11-27

„signature_name“ wurde für Protokolle mit „msg_id“ = „3000-0150“ in „additional.fields“ zugeordnet.
„signature_id“ und „signature_cat“ wurden „additional.fields“ zugeordnet.

2023-11-24

Einige Grok-Muster wurden geändert, um neue Felder zu parsen.
„firewallname“ wurde „event.idm.read_only_udm.intermediary.hostname“ zugeordnet.
„firewall_id“ wurde „event.idm.read_only_udm.intermediary.asset_id“ zugeordnet.
„prin_host“ wurde auf „event.idm.read_only_udm.intermediary.labels“ zugeordnet

2023-11-10

Redundanter Code wurde entfernt.
„signature_name“ wurde „additional.fields“ zugeordnet.

2023-09-28

Fehlerkorrektur:
Der Filter „Datum“ wurde so geändert, dass die folgenden Formate unterstützt werden: „TT.MM.JJJJ HH:mm:ss“, „TT.MM.JJ HH:mm:ss“, „TT.MM.JJ HH:mm:ss“, „ISO8601“ und „TT.MM.JJJJTHH:mm:ss“.

2023-05-25

Fehlerkorrektur:
Die Zuordnung für das Feld „src_vpn_ip“ wurde für das Ereignis „DPD-Nachricht vom Zielhost über das Gateway empfangen“ von „principal.ip“ zu „target.ip“ geändert.

2023-05-04

Verbesserung: Es wurden Grok-Muster hinzugefügt, um nicht geparste Protokolle mit den Ereignissen „dnsmasq“, „dhcpd“, „iked“ und „admd“ zu verarbeiten.

2023-01-20

Verbesserung: Grok wurde hinzugefügt, um nicht geparste Protokolle zu verarbeiten.
„dst_port“ wurde „target.port“ zugeordnet.
„src_port“ wurde auf „principal.port“ zugeordnet.
„rcvd_bytes“ wurde in „network.received_bytes“ umgewandelt.
„geo_src“ wurde principal.location.country_or_region zugeordnet.
„geo_dst“ wurde „target.location.country_or_region“ zugeordnet.
„prin_host“ wurde auf „principal.hostname“ zugeordnet.
Bedingte Prüfung für „dhcp_type“, „intermediary_host“ und „protocol“ hinzugefügt
Wenn „msg_id“ gleich „1600-0066“ ist
Grok-Muster für „msg_id“ hinzugefügt, das „1600-0066“ entspricht.
„description“ wurde in „metadeta.description“ umgewandelt.
„msg_id“ ist „2DFF-0000“
„proxy_act“ wurde „security_result.rule_name“ zugeordnet.

2022-12-17

Verbesserung: Der Name der Firewall wurde für die Protokolle, die Member1 enthalten, auf „principal.asset_id“ zugeordnet.
„event_type“ von „SERVICE_MODIFICATION“ in „NETWORK_CONNECTION“ geändert.
„src_user“ wurde „principal.user.email_addresses“ zugeordnet, wenn es sich um eine E-Mail-Adresse handelt, andernfalls „principal.user.user_display_name“.

2022-12-16

Verbesserung –
Grok-Regel zum Verarbeiten nicht geparster Protokolle mit dem Ereignisnamen „firewall“ hinzugefügt.
Der GENERIC_EVENT-Typ wurde reduziert.

2022-11-16

Verbesserung: Das Feld „Grund“ wurde in „security_result.action_details“ ummapped.
Grok-Regel zum Verarbeiten nicht geparster Protokolle mit dem Ereignisnamen „firewall“ hinzugefügt.
Es wurden zusätzliche bedingte Blöcke hinzugefügt, um Protokolle mit dem Ereignisnamen „loggerd“, „sigd“, „sessiond“, „admd“ und „iked“ zu analysieren.

2022-11-07

Fehlerkorrektur:
Der im HTTP-Header angegebene zugeordnete Pfad von „target.file.full_path“ zu „target.url“.

2022-06-17

Verbesserung: Protokolle mit Ereignissen im Zusammenhang mit „Firewall“, „http-proxy“ und „https-proxy“ werden geparst.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten