Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Nix Systems Ubuntu Server (Sistem Unix)

Didukung di:

Google secops Siem

Dokumen ini menjelaskan cara menyerap log Server Ubuntu (Sistem Unix) ke Google Security Operations menggunakan Bindplane. Parser menyerap log berformat syslog dan JSON, melakukan inisialisasi berbagai kolom Unified Data Model (UDM) ke string kosong, melakukan beberapa penggantian string pada kolom message, lalu mencoba mengurai pesan sebagai JSON. Jika penguraian JSON gagal, penguraian tersebut akan menggunakan pola grok untuk mengekstrak kolom berdasarkan konten message dan event_details.original, yang memetakan kolom yang diekstrak ke UDM berdasarkan jenis peristiwa dan berbagai pemeriksaan kondisional, yang menangani berbagai format dan struktur log dari berbagai proses dan layanan sistem Unix.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Jika berjalan di belakang proxy, port firewall terbuka
Akses dengan hak istimewa ke server RHEL

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c `$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)` install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps

Akses file konfigurasi:
- Temukan file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux.
- Buka file menggunakan editor teks (misalnya, nano atau vi).

Edit file config.yaml sebagai berikut:

receivers:
  filelog/unix:
    include:
      - /var/log/auth.log
      - /var/log/lastlog
      - /var/log/btmp
      - /var/log/wtmp
      - /var/log/faillog
      - /var/log/dpkg.log
      - /var/log/boot.log
      - /var/log/kern.log
      - /var/log/syslog
    start_at: end
    poll_interval: 5s

exporters:
    chronicle/linux:
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'NIX_SYSTEM'
        override_log_type: false
        raw_log_field: body

service:
  pipelines:
    logs/linux:
      receivers:
      - filelog/linux
  exporters: [chronicle/linux]

Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Memulai agen Bindplane dan menerapkan perubahan

Mulai agen Bindplane:
```
sudo systemctl start bindplane-agent
```
Aktifkan Layanan kolektor otel observIQ:
```
systemctl enable --now bindplane-agent
```
Mulai ulang agen Bindplane jika perlu:
```
sudo systemctl restart bindplane-agent
```

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`AccessControlRuleAction`	`security_result.action`	Jika `AccessControlRuleAction` adalah `Allow`, tetapkan ke `ALLOW`. Jika `AccessControlRuleAction` adalah `Block`, tetapkan ke `BLOCK`.
`ACPolicy`	`security_result.rule_labels`	Kunci: `ACPolicy`, Nilai: `ACPolicy`
`AccessControlRuleName`	`security_result.rule_name`	Pemetaan langsung.
`acct`	`event.idm.read_only_udm.target.user.userid`	Pemetaan langsung setelah menghapus tanda petik dan garis miring terbalik.
`addr`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Pemetaan langsung jika tidak kosong, `?`, atau `UNKNOWN`.
`ApplicationProtocol`	`event.idm.read_only_udm.network.application_protocol`	Pemetaan langsung.
`auid`	`event.idm.read_only_udm.additional.fields`	Kunci: `auid`, Nilai: `auid`
`comm`	`event.idm.read_only_udm.target.process.command_line`	Pemetaan langsung.
`command`	`event.idm.read_only_udm.target.process.command_line`	Pemetaan langsung setelah menghapus spasi kosong di awal/akhir.
`Computer`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Pemetaan langsung. Jika kosong, gunakan `HostName`.
`ConnectionID`	`security_result.detection_fields`	Kunci: `Connection ID`, Nilai: `ConnectionID`
`cwd`	`event.idm.read_only_udm.target.process.file.full_path`	Pemetaan langsung setelah menghapus tanda kutip.
`data`	`message`	Digunakan dalam pola grok.
`desc`	`security_result.description`	Pemetaan langsung.
`description`	`event.idm.read_only_udm.metadata.description`, `security_result.description`	Pemetaan langsung.
`descript`	`security_result.description`	Pemetaan langsung setelah menghapus hash.
`DeviceUUID`	`event.idm.read_only_udm.metadata.product_log_id`	Pemetaan langsung.
`DNSQuery`	`event.idm.read_only_udm.additional.fields`	Kunci: `DNSQuery`, Nilai: `DNSQuery`
`DNSRecordType`	`event.idm.read_only_udm.additional.fields`	Kunci: `DNSRecordType`, Nilai: `DNSRecordType`
`DNSResponseType`	`event.idm.read_only_udm.additional.fields`	Kunci: `DNSResponseType`, Nilai: `DNSResponseType`
`DNS_TTL`	`event.idm.read_only_udm.additional.fields`	Kunci: `DNS_TTL`, Nilai: `DNS_TTL`
`DstIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Pemetaan langsung.
`DstPort`	`event.idm.read_only_udm.target.port`	Pemetaan langsung, dikonversi menjadi bilangan bulat.
`dvc`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`, `event.idm.read_only_udm.intermediary.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Jika IP valid, dipetakan ke IP utama/target. Jika nama host, dipetakan ke nama host utama/target. Juga digunakan untuk IP perantara jika IP valid.
`EgressInterface`	`event.idm.read_only_udm.principal.asset.attribute.labels`	Kunci: `EgressInterface`, Nilai: `EgressInterface`
`EgressVRF`	`event.idm.read_only_udm.principal.asset.attribute.labels`	Kunci: `EgressVRF`, Nilai: `EgressVRF`
`EgressZone`	`event.idm.read_only_udm.target.location.name`	Pemetaan langsung.
`eventType`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.target.application`	Pemetaan langsung. Untuk `SERVICE_START` dan `SERVICE_STOP`, dipetakan ke `target.application`, lalu dihapus.
`EventTime`	`@timestamp`	Diurai sebagai stempel waktu.
`exe`	`event.idm.read_only_udm.target.process.command_line`	Pemetaan langsung setelah menghapus tanda petik dan garis miring terbalik.
`extended_description`	`event.idm.read_only_udm.metadata.description`	Pemetaan langsung setelah menghapus tanda hubung dan tanda kutip.
`Facility`	`event.idm.read_only_udm.principal.resource.attribute.labels`	Kunci: `Facility`, Nilai: `Facility`
`filepath`	`event.idm.read_only_udm.principal.process.file.full_path`	Pemetaan langsung.
`file_path`	`event.idm.read_only_udm.target.file.full_path`	Pemetaan langsung.
`file_path_value`	`event.idm.read_only_udm.target.file.full_path`	Pemetaan langsung.
`FirstPacketSecond`	`security_result.detection_fields`	Kunci: `FirstPacketSecond`, Nilai: `FirstPacketSecond`
`from`	`event.idm.read_only_udm.network.email.from`	Pemetaan langsung setelah menghapus tanda kurung sudut.
`generic_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Pemetaan langsung jika IP valid dan bukan `A256:`.
`gid`	`event.idm.read_only_udm.target.user.group_identifiers`	Pemetaan langsung.
`grp`	`event.idm.read_only_udm.target.group.group_display_name`	Pemetaan langsung setelah menghapus tanda petik dan garis miring terbalik.
`hashing_algo`	`security_result.summary`	Pemetaan langsung.
`home`	`event.idm.read_only_udm.target.file.full_path`	Pemetaan langsung.
`HostName`	`Computer`	Digunakan jika `Computer` kosong.
`HostIP`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Bagian `HostIP` sebelum `%` diekstrak dan dipetakan sebagai `validated_ip`.
`hostname`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`, `event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Pemetaan langsung jika tidak kosong atau `?`.
`host_name`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Pemetaan langsung.
`InitiatorBytes`	`event.idm.read_only_udm.network.sent_bytes`	Pemetaan langsung, dikonversi menjadi bilangan bulat tanpa tanda tangan.
`InitiatorPackets`	`event.idm.read_only_udm.network.sent_packets`	Pemetaan langsung, dikonversi menjadi bilangan bulat.
`insertId`	`event.idm.read_only_udm.metadata.product_log_id`	Pemetaan langsung.
`InstanceID`	`security_result.detection_fields`	Kunci: `Instance ID`, Nilai: `InstanceID`
`int_dvc`	`event.idm.read_only_udm.intermediary.hostname`	Pemetaan langsung.
`ip`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Pemetaan langsung.
`ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	Pemetaan langsung.
`laddr`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Pemetaan langsung jika tidak kosong atau `?`.
`level`	`security_result.severity`	Jika `info`, tetapkan ke `INFORMATIONAL`.
`log.syslog.facility.name`	`event.idm.read_only_udm.target.application`	Pemetaan langsung.
`log.syslog.severity.name`	`security_result.severity`	Jika `Emergency`, tetapkan ke `HIGH`.
`logName`	`logname`	Pemetaan langsung.
`log_description`	`security_result.description`	Pemetaan langsung.
`log_level`	`security_result.severity`	Jika `error`, tetapkan ke `ERROR`.
`log_summary`	`security_result.summary`	Pemetaan langsung.
`logger_name`	`event.idm.read_only_udm.principal.resource.attribute.labels`	Kunci: `logger_name`, Nilai: `logger_name`
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Di-hardcode ke `NIX_SYSTEM`.
`lport`	`event.idm.read_only_udm.principal.port`	Pemetaan langsung, dikonversi menjadi bilangan bulat.
`MG`	`event.idm.read_only_udm.principal.resource.attribute.labels`	Kunci: `MG`, Nilai: `MG`
`method`	`event.idm.read_only_udm.network.http.method`	Pemetaan langsung, dikonversi menjadi huruf besar.
`msg1`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.additional.fields`, `security_result.description`	Diurai menggunakan pola grok. Jika `event_type` adalah `GENERIC_EVENT`, dipetakan ke `description`.
`msg2`	`event.idm.read_only_udm.network.received_bytes`, `security_result.summary`	Jika berisi angka, dikonversi menjadi bilangan bulat tanpa tanda dan dipetakan ke `received_bytes`. Jika tidak, dipetakan ke `summary`.
`NAPPolicy`	`security_result.rule_labels`	Kunci: `NAPPolicy`, Nilai: `NAPPolicy`
`name`	`event.idm.read_only_udm.target.process.file.full_path`	Pemetaan langsung setelah menghapus tanda kutip.
`outcome`	`security_result.action`	Jika `Succeeded` atau berisi `success`, tetapkan ke `ALLOW`.
`p_id`	`event.idm.read_only_udm.target.process.pid`	Pemetaan langsung.
`pid`	`event.idm.read_only_udm.target.process.pid`, `event.idm.read_only_udm.principal.process.pid`	Pemetaan langsung.
`principal_hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Pemetaan langsung.
`principal_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Pemetaan langsung.
`principal_present`	`event.idm.read_only_udm.metadata.event_type`	Jika `true` dan `has_target` adalah `true`, tetapkan `event_type` ke `NETWORK_UNCATEGORIZED`. Jika `true` atau `user_present` adalah `true`, tetapkan `event_type` ke `USER_UNCATEGORIZED`.
`process`	`event.idm.read_only_udm.target.application`, `event.idm.read_only_udm.metadata.product_event_type`	Pemetaan langsung. Jika `eventType` kosong, digunakan sebagai `target.application`.
`ProcessID`	`event.idm.read_only_udm.principal.process.pid`	Pemetaan langsung, dikonversi menjadi string.
`ProcessName`	`event.idm.read_only_udm.principal.resource.attribute.labels`	Kunci: `ProcessName`, Nilai: `ProcessName`
`prod_eve_type`	`event.idm.read_only_udm.metadata.product_event_type`	Pemetaan langsung.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Pemetaan langsung.
`Protocol`	`event.idm.read_only_udm.network.ip_protocol`	Jika cocok dengan `icmp`, `udp`, atau `tcp` (tidak peka huruf besar/kecil), dipetakan ke nilai huruf besar yang sesuai.
`proto`	`event.idm.read_only_udm.network.application_protocol`	Jika `ssh` atau `ssh2`, tetapkan ke `SSH`.
`pwd`	`event.idm.read_only_udm.target.file.full_path`	Pemetaan langsung.
`reason`	`security_result.summary`, `security_result.description`	Digunakan bersama dengan `action` dan `desc` untuk membuat `security_result.description`. Juga dipetakan ke `security_result.summary`.
`relayHostname`	`event.idm.read_only_udm.intermediary.hostname`	Pemetaan langsung.
`relayIp`	`event.idm.read_only_udm.intermediary.ip`	Pemetaan langsung.
`res`	`security_result.summary`	Pemetaan langsung.
`resource.labels.instance_id`	`event.idm.read_only_udm.target.resource.product_object_id`	Pemetaan langsung.
`resource.labels.project_id`	`event.idm.read_only_udm.target.asset.attribute.cloud.project.id`	Pemetaan langsung.
`resource.labels.zone`	`event.idm.read_only_udm.target.asset.attribute.cloud.availability_zone`	Pemetaan langsung.
`resource.type`	`event.idm.read_only_udm.target.resource.resource_subtype`	Pemetaan langsung.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	Pemetaan langsung, dikonversi menjadi bilangan bulat.
`ResponderBytes`	`event.idm.read_only_udm.network.received_bytes`	Pemetaan langsung, dikonversi menjadi bilangan bulat tanpa tanda tangan.
`ResponderPackets`	`event.idm.read_only_udm.network.received_packets`	Pemetaan langsung, dikonversi menjadi bilangan bulat.
`rhost`	`event.idm.read_only_udm.additional.fields`	Kunci: `rhost`, Nilai: `rhost`
`ruser`	`srcUser`	Pemetaan langsung.
`sec_action`	`security_result.action`	Dipetakan berdasarkan `action` atau `eventType`.
`sec_summary`	`security_result.summary`	Pemetaan langsung.
`security_action`	`security_result.action`	Pemetaan langsung.
`sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	Pemetaan langsung, dikonversi menjadi bilangan bulat tanpa tanda tangan.
`ses`	`event.idm.read_only_udm.network.session_id`, `event.idm.read_only_udm.network.session_duration`	Jika numerik, diuraikan sebagai stempel waktu UNIX dan dipetakan ke `session_duration`. Jika tidak, dipetakan ke `session_id`.
`SeverityLevel`	`security_result.severity`	Dipetakan ke tingkat keparahan yang berbeda berdasarkan nilai (pemberitahuan/info -> INFORMASI, peringatan -> TINGGI, error -> ERROR, lainnya -> UNKNOWN_SEVERITY).
`sessionId`	`event.idm.read_only_udm.network.session_id`	Pemetaan langsung.
`size`	`event.idm.read_only_udm.network.received_bytes`	Pemetaan langsung, dikonversi menjadi bilangan bulat tanpa tanda tangan.
`source`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Pemetaan langsung setelah menghapus spasi kosong di awal.
`SourceSystem`	`event.idm.read_only_udm.principal.resource.attribute.labels`, `event.idm.read_only_udm.principal.platform`	Kunci: `SourceSystem`, Nilai: `SourceSystem`. Juga dipetakan ke `platform` (Linux -> LINUX, Window -> WINDOWS, Mac/iOS -> MAC).
`SrcIP`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Pemetaan langsung.
`SrcPort`	`event.idm.read_only_udm.principal.port`	Pemetaan langsung, dikonversi menjadi bilangan bulat.
`srcIp`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Pemetaan langsung.
`srcPort`	`event.idm.read_only_udm.principal.port`	Pemetaan langsung, dikonversi menjadi bilangan bulat.
`srcUser`	`event.idm.read_only_udm.principal.user.userid`	Pemetaan langsung.
`src_user`	`event.idm.read_only_udm.principal.user.userid`	Pemetaan langsung.
`src_user_display_name`	`event.idm.read_only_udm.principal.user.user_display_name`	Pemetaan langsung.
`status`	`security_result.action`	Jika `Deferred`, tetapkan ke `BLOCK`. Jika `Sent`, tetapkan ke `ALLOW`.
`summary`	`security_result.summary`	Pemetaan langsung.
`SyslogMessage`	`security_result.description`	Pemetaan langsung.
`targetEmail`	`event.idm.read_only_udm.network.email.to`	Pemetaan langsung.
`targetEmailfrom`	`event.idm.read_only_udm.network.email.from`	Pemetaan langsung.
`targetHostname`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Pemetaan langsung.
`target_hostname`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Pemetaan langsung.
`target_ip`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Pemetaan langsung.
`target_mac`	`event.idm.read_only_udm.target.mac`	Pemetaan langsung.
`target_uri`	`event.idm.read_only_udm.target.url`	Pemetaan langsung.
`TenantId`	`event.idm.read_only_udm.principal.user.product_object_id`	Pemetaan langsung.
`terminal`	`event.idm.read_only_udm.additional.fields`	Kunci: `terminal`, Nilai: `terminal` jika tidak kosong atau `?`.
`TimeGenerated`	`event.idm.read_only_udm.metadata.collected_timestamp`	Diurai sebagai stempel waktu.
`timestamp`	`@timestamp`	Diurai sebagai stempel waktu.
`tls_cipher`	`event.idm.read_only_udm.network.tls.cipher`	Pemetaan langsung.
`Type`	`event.idm.read_only_udm.principal.resource.attribute.labels`	Kunci: `Type`, Nilai: `Type`
`uid`	`event.idm.read_only_udm.principal.user.userid`	Jika `0`, tetapkan ke `root`. Jika tidak, pemetaan langsung.
`uid_2`	`event.idm.read_only_udm.target.user.userid`	Pemetaan langsung jika `uid` kosong.
`unit`	`event.idm.read_only_udm.target.application`	Pemetaan langsung.
`url`	`event.idm.read_only_udm.target.url`	Pemetaan langsung.
`user`	`username`	Pemetaan langsung.
`username`	`event.idm.read_only_udm.target.user.userid`, `event.idm.read_only_udm.principal.user.userid`	Pemetaan langsung.
`user_display_name`	`event.idm.read_only_udm.target.user.user_display_name`	Pemetaan langsung.
`user_present`	`event.idm.read_only_udm.metadata.event_type`	Jika `true` atau `principal_present` adalah `true`, tetapkan `event_type` ke `USER_UNCATEGORIZED`.
`_Internal_WorkspaceResourceId`	`event.idm.read_only_udm.target.resource.attribute.labels`, `event.idm.read_only_udm.target.resource.product_object_id`	Kunci: `_Internal_WorkspaceResourceId`, Nilai: `_Internal_WorkspaceResourceId`. ID langganan diekstrak dan dipetakan ke `product_object_id`.
`_ItemId`	`event.idm.read_only_udm.principal.resource.attribute.labels`	Kunci: `_ItemId`, Nilai: `_ItemId`
`_ResourceId`	`event.idm.read_only_udm.principal.resource.attribute.labels`, `event.idm.read_only_udm.principal.resource.product_object_id`	Kunci: `_ResourceId`, Nilai: `_ResourceId`. ID langganan diekstrak dan dipetakan ke `product_object_id`.
`_timestamp`	`@timestamp`	Diurai sebagai stempel waktu.
`_timestamp_tz`	`@timestamp`	Diurai sebagai stempel waktu.

event.idm.read_only_udm.metadata.event_type: Awalnya ditetapkan ke GENERIC_EVENT, lalu ditimpa berdasarkan logika parser. event.idm.read_only_udm.metadata.product_name: Di-hardcode ke Unix System. event.idm.read_only_udm.extensions.auth.type: Tetapkan ke MACHINE untuk jenis peristiwa tertentu. event.idm.read_only_udm.target.asset.attribute.cloud.environment: Tetapkan ke GOOGLE_CLOUD_PLATFORM untuk Google Cloud log audit. event.idm.read_only_udm.target.resource.resource_type: Tetapkan ke VIRTUAL_MACHINE untuk Google Cloud log audit. event.idm.read_only_udm.extensions.auth.mechanism: Tetapkan ke USERNAME_PASSWORD untuk peristiwa login. has_target_resource: Tetapkan ke true jika resource.labels.instance_id atau _Internal_WorkspaceResourceId ada.

Perubahan

2024-05-30

Peningkatan:

Memetakan APP-NAME dari pesan syslog ke target.application.

2024-05-26

Peningkatan:

Memetakan HostIP ke principal.ip.
Memetakan Computer ke principal.hostname.
Memetakan ProcessID ke principal.process.pid.
Memetakan TenantId ke principal.user.product_object_id
Memetakan target_url ke target.url.
Memetakan sec_summary ke security_result.summary.
Memetakan file_path_value ke target.file.full_path.
Memetakan SeverityLevel ke security_result.severity.
Memetakan SyslogMessage ke security_result.description.
Memetakan action_details_value ke security_result.action_details.
Memetakan _ResourceId ke principal.resource.attribute.labels.
Memetakan _Internal_WorkspaceResourceId ke target.resource.attribute.labels.
Memetakan Facility, MG, ProcessName, SourceSystem, Type, logger_name, dan _ItemId ke principal.resource.attribute.labels.
Mengekstrak nilai resource_id_value dari _ResourceId dan memetakan resource_id_value ke principal.resource.product_object_id.
Mengekstrak nilai target_resource_id_value dari _Internal_WorkspaceResourceId dan memetakan target_resource_id_value ke target.resource.product_object_id.
Jika nilai kolom process adalah su dan nilai dvc adalah IP yang valid, petakan dvc ke principal.ip.
Jika nilai kolom process adalah su dan nilai dvc bukan alamat IP yang valid, petakan dvc ke principal.hostname.
Jika nilai kolom process adalah su, pemetaan msg1 ke additional.fields.
Jika nilai kolom process adalah su, pemetaan user_display_name ke target.user.user_display_name.
Jika nilai kolom process adalah su, pemetaan src_user_display_name ke principal.user.user_display_name.
Jika nilai kolom prod_eve_type adalah null, pemetaan process ke metadata.product_event_type.

2024-04-22

Peningkatan:

Menambahkan fungsi kv di atas extended_description untuk memisahkan kolom nilai kunci.
Memetakan pid ke principal.process.pid.
Memetakan uid ke principal.user.userid.
Memetakan res ke security_result.summary.
Memetakan ses ke network.session_duration.
Memetakan auid, cmd, dan terminal ke additional.fields.

2024-04-10

Peningkatan:

Menambahkan pola Grok untuk memisahkan reason dan uid_2 dari reason.
Memetakan uid_2 ke target.user.userid.
Memetakan reason ke security_result.description.

2024-04-09

Peningkatan:

Memetakan description ke security_result.description.
Memetakan userid ke target.user.userId.

2024-04-03

Peningkatan:

Menambahkan dukungan subProcess cleanup dan qmgr untuk log proses postfix.
Jika msg1 berisi user NOT in sudoers atau command not allowed, tetapkan security_result.action ke FAIL.

2024-03-26

Peningkatan:

Menambahkan Grok untuk menyelesaikan masalah yang menyebabkan too long for type ACCOUNT_ID (336 bytes, max 256): invalid argument.

2024-02-08

Peningkatan:

Memetakan eventType ke target.application.
Memetakan description ke security_result.description.
Jika description hampir sama dengan fail, tetapkan security_result.action ke BLOCK.
Menyelaraskan pemetaan principal.ip, principal.hostname, dan principal.asset.ip, principal.asset.hostname.
Menyelaraskan pemetaan target.ip, target.hostname, dan target.asset.ip, target.asset.hostname.

2024-01-09

Peningkatan:

Jika eventType adalah dispatcher, petakan msg1 ke metadata.description, dvc ke principal.hostname, dan tetapkan metadata.event_type ke STATUS_UPDATE.
Menambahkan dukungan untuk mengurai log dengan action sebagai rexec dengan mengurai msg1 dan memetakan dvc ke principal.hostname, msg1 ke metadata.description, dan menetapkan metadata.event_type ke STATUS_UPDATE.
Menambahkan dukungan untuk mengurai log dengan action sebagai Postponed publickey dengan mengurai msg1 dan memetakan dvc ke principal.hostname, msg1 ke metadata.description, srcIP ke principal.ip, srcPort ke principal.port, dan menetapkan metadata.event_type sebagai STATUS_UPDATE.
Mengubah dan menambahkan pola Grok baru untuk mengurai srcPort dan dipetakan ke principal.port.

2023-12-11

Peningkatan:

Menambahkan pola Grok agar cocok dengan bagian msg1.
Memetakan insertId ke metadata.product_log_id.
Memetakan resource.labels.instance.id ke target.resource.product_object_id.
Memetakan resource.labels.project.id ke target.asset.attribute.cloud.project.id.
Memetakan resource.labels.zone ke target.asset.attribute.cloud.availability_zone.
Memetakan resource.type ke target.resource.resource_subtype.
Memetakan logname ke additional.fields.

2023-11-10

Peningkatan:

Menambahkan filter 'json' untuk menguraikan log JSON yang baru ditambahkan dengan benar.
Memetakan DeviceUUID ke metadata.product_log_id.
Memetakan InstanceID, ConnectionID, FirstPacketSecond ke security_result.detection_fields.
Memetakan AccessControlRuleAction ke security_result.action.
Memetakan DstIP ke target.ip.
Memetakan DstPort ke target.port.
Memetakan SrcIP ke principal.ip.
Memetakan Protocol ke network.ip_protocol.
Memetakan IngressInterface, EgressInterface, IngressVRF, EgressVRF ke principal.asset.attribute.labels.
Memetakan IngressZone ke principal.location.name.
Memetakan EgressZone ke target.location.name.
Memetakan ACPolicy, NAPPolicy ke security_result.rule_labels.
Memetakan AccessControlRuleName ke security_result.rule_name.
Memetakan ApplicationProtocol ke network.application_protocol.
Memetakan InitiatorPackets ke network.sent_packets.
Memetakan ResponderPackets ke network.received_packets.
Memetakan InitiatorBytes ke network.sent_bytes.
Memetakan DNSQuery, DNSRecordType, DNSResponseType, DNS_TTL ke additional_fields.

2023-10-30

Peningkatan:

Jika detail pengguna tidak ada, tetapkan metadata.event_type ke STATUS_UPDATE untuk log systemd dan systemd-logind.
Menambahkan pola Grok untuk mendukung pola baru log systemd dan systemd-logind.
Memetakan application_name ke target.application untuk log systemd.
Memetakan p_id ke target.process.pid untuk log systemd.
Memetakan username ke target.user.userid untuk log systemd.

2023-10-26

Perbaikan bug:

Mengubah pola Grok untuk mengurai seluruh nilai di target.user.userid.
Memetakan security_result.action ke ALLOW jika action adalah Accepted publickey.

2023-09-21

Menyesuaikan parser untuk mendukung log format JSON beserta SYSLOG.
Memetakan host.ip ke principal.ip.
Memetakan event_details.original ke security_result.description.
Memetakan log.syslog.facility.name ke target.application.
Memetakan log.syslog.severity.name ke security_result.severity.

2023-09-15

Perbaikan bug:

Menambahkan pola Grok untuk memetakan nama host server proxy Squid ke intermediary.hostname.

2023-08-10

Menambahkan pola Grok untuk memetakan log format baru.

2023-04-27

Masalah pelanggan:

Log yang disertakan dengan action:OPENED mengubah event_type dari FILE_READ menjadi FILE_OPEN.

2023-04-05

Masalah pelanggan:

Memetakan kolom exe ke target.process.command_line dan acct ke target.user.userid.

2022-03-23

Masalah pelanggan:

Menambahkan pola Grok untuk mengurai log dengan eventType = su.
Menambahkan file include untuk mengurai facility dan severity untuk jenis log Syslog.

2023-03-10

Masalah pelanggan:

Menambahkan pola Grok untuk mengurai log dengan eventType = cp, USER_CHAUTHTOK.
Menambahkan pola Grok untuk mengurai log dengan process = CRON.

2022-12-06

Peningkatan:

Mengubah event_type yang diubah dari USER_UNCATEGORIZED menjadi USER_LOGIN untuk tindakan = Accepted publickey.
Parser yang dipetakan untuk memetakan nama proses setroubleshoot ke target.application.

2022-10-21

Peningkatan:

Mengubah pola Grok untuk mengurai log yang mungkin berisi atau tidak berisi process_id.
Log yang diuraikan dari jenis -bash , su.
Untuk log SSHD dengan refused connect , pemetaan nama host yang diubah dari target.hostname menjadi principal.hostname.

2022-08-12

Peningkatan:

Menurunkan persentase GENERIC_EVENT
Pemetaan yang diubah untuk metadata.event_type dari GENERIC_EVENT menjadi STATUS_UPDATE dengan mereplikasi pemetaan untuk intermeidary.hostname/target.hostname ke principal.hostname.
Mengurai log jenis postfix/smtpd,sudo,systemd-logind,sftp-server .

2022-06-28

Perbaikan bug:

Menambahkan Grok baru untuk mengurai log yang dihapus dengan tag TAG_NO_SECURITY_VALUE
Memetakan pid ke target.process.pid
Memetakan comm ke target.process.command
Memetakan uid ke principal.user.userid
Memetakan grp ke target.group.group_display_name
Memetakan ip ke principal.ip
Memetakan ses ke network.session_id

2022-06-13

Peningkatan:

Menambahkan pola Grok untuk process == named.
Menambahkan pola Grok untuk process == unbound.
untuk process == named
Memetakan action ke security_result.action.
Memetakan hostname ke target.hostname.
Memetakan ip ke principal.ip.
Memetakan srcPort ke principal.port.
untuk process == unbound
Memetakan hostname ke target.hostname.
Memetakan ip ke principal.ip.

2022-06-07

Peningkatan:

Menghapus spasi di awal atau di akhir dari principal.hostname dan target.process.command_line`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.