Coletar registros do Symantec Endpoint Protection

Compatível com:

Este documento explica como transferir os registros de proteção de endpoint da Symantec para as operações de segurança do Google usando o Bindplane. O analisador processa registros no formato SYSLOG ou KV, extraindo primeiro carimbos de data/hora de vários formatos nos dados de registro. Em seguida, ele usa um arquivo de configuração separado (sep_pt2.include) para realizar mais análises e estruturar os eventos de registro, garantindo o processamento apenas se a extração inicial de carimbos de data/hora for bem-sucedida.

Antes de começar

Verifique se você tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Windows 2016 ou mais recente ou host Linux com systemd
  • Se estiver em execução por trás de um proxy, as portas do firewall estarão abertas.
  • Acesso privilegiado à plataforma Symantec Endpoint Protection

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:
    • Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: `0.0.0.0:514`

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CES'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID real do cliente.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando: 

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar o Syslog no Symantec Endpoint Protection

  1. Faça login na UI da Web do Symantec Endpoint Protection Manager.
  2. Clique no ícone Administrador.
  3. Localize a seção View Servers e clique em Servers.
  4. Clique em Site local > Configurar o registro externo.
  5. Marque a caixa de seleção Ativar a transmissão de registros para um servidor Syslog.
  6. Informe os seguintes detalhes de configuração:
    • Servidor Syslog: insira o endereço IP do Bindplane.
    • Porta de destino UDP: insira o número da porta do Bindplane. Por exemplo, 514 para UDP.
    • Log Facility: digite Local6.
    • Marque a caixa de seleção Registros de auditoria.
    • Marque a caixa de seleção Registros de segurança.
    • Marque a caixa de seleção Riscos.
  7. Clique em OK.

Tabela de mapeamento da UDM

Campo de registro Mapeamento de UDM Lógica
Ação security_result.action O valor é extraído do campo Action no registro bruto e mapeado para uma ação do UDM.
Tipo de ação security_result.action_details O valor é retirado do campo Action Type no registro bruto.
Administrador
Motivo da permissão do aplicativo security_result.action_details O valor é retirado do campo Allowed application reason no registro bruto.
Aplicativo principal.process.command_line O valor é retirado do campo Application no registro bruto.
Hash do aplicativo target.file.sha256 O valor é retirado do campo Application hash no registro bruto.
Nome do aplicativo target.application O valor é retirado do campo Application name no registro bruto.
Tipo de aplicativo target.resource.attribute.labels.value O valor é retirado do campo Application type no registro bruto. A chave está fixada em Application Type.
Versão do aplicativo target.application.version O valor é retirado do campo Application version no registro bruto.
Iniciar
Horário de início extensions.vulns.vulnerabilities.scan_start_time O valor é retirado do campo Begin Time no registro bruto.
Comece: extensions.vulns.vulnerabilities.scan_start_time O valor é retirado do campo Begin: no registro bruto.
Categoria principal.resource.attribute.labels.value O valor é retirado do campo Category no registro bruto. A chave está fixada em Category.
Conjunto de categorias security_result.category O valor é extraído do campo Category set no registro bruto e mapeado para uma categoria do UDM.
Tipo de categoria security_result.category_details O valor é retirado do campo Category type no registro bruto.
ID da assinatura do CIDS
String de assinatura CIDS security_result.summary O valor é retirado do campo CIDS Signature string no registro bruto.
SubID da assinatura do CIDS
Política do cliente
Comando
Computador target.hostname O valor é retirado do campo Computer no registro bruto.
Nome do computador principal.hostname O valor é retirado do campo Computer name no registro bruto.
Confiança security_result.confidence_details O valor é retirado do campo Confidence no registro bruto.
dados
Descrição security_result.action_details O valor é retirado do campo Description no registro bruto.
Descrição: security_result.action_details O valor é retirado do campo Description: no registro bruto.
Pontuação de detecção
Envios de detecção não
Tipo de detecção security_result.summary O valor é retirado do campo Detection type no registro bruto.
ID do dispositivo target.asset.hostname O valor é retirado do campo Device ID no registro bruto.
Disposição security_result.action O valor é extraído do campo Disposition no registro bruto e mapeado para uma ação do UDM.
Domínio principal.administrative_domain O valor é retirado do campo Domain no registro bruto.
Nome do domínio principal.administrative_domain O valor é retirado do campo Domain Name no registro bruto.
Nome do domínio: principal.administrative_domain O valor é retirado do campo Domain Name: no registro bruto.
Download feito por principal.process.file.full_path O valor é retirado do campo Downloaded by no registro bruto.
Site de download
Duração (segundos) extensions.vulns.vulnerabilities.scan_end_time O valor é retirado do campo Duration (seconds) no registro bruto e adicionado ao horário de início da verificação.
Fim
Horário de término extensions.vulns.vulnerabilities.scan_end_time O valor é retirado do campo End Time no registro bruto.
Horário de término: extensions.vulns.vulnerabilities.scan_end_time O valor é retirado do campo End Time: no registro bruto.
Final: extensions.vulns.vulnerabilities.scan_end_time O valor é retirado do campo End: no registro bruto.
Descrição do evento metadata.description O valor é retirado do campo Event Description no registro bruto.
Descrição do evento: metadata.description O valor é retirado do campo Event Description: no registro bruto.
Horário de inserção do evento
Horário do evento metadata.event_timestamp O valor é retirado do campo Event time no registro bruto.
Horário do evento: metadata.event_timestamp O valor é retirado do campo Event time: no registro bruto.
Tipo de evento metadata.product_event_type O valor é retirado do campo Event Type no registro bruto.
Tipo de evento: metadata.product_event_type O valor é retirado do campo Event Type: no registro bruto.
Caminho do arquivo target.file.full_path O valor é retirado do campo File path no registro bruto.
Caminho do arquivo: target.file.full_path O valor é retirado do campo File path: no registro bruto.
Tamanho do arquivo (bytes) target.file.size O valor é retirado do campo File size (bytes) no registro bruto.
Visto pela primeira vez security_result.action_details O valor é retirado do campo First Seen no registro bruto.
Primeira visualização: security_result.action_details O valor é retirado do campo First Seen: no registro bruto.
Grupo principal.group.group_display_name O valor é retirado do campo Group no registro bruto.
Nome do grupo principal.group.group_display_name O valor é retirado do campo Group Name no registro bruto.
Nome do grupo: principal.group.group_display_name O valor é retirado do campo Group Name: no registro bruto.
Tipo de hash target.resource.attribute.labels.value O valor é retirado do campo Hash type no registro bruto. A chave está fixada em Hash Type.
Nível de proteção intensivo
ID da invasão
URL do payload de invasão
URL de invasão
Endereço IP principal.ip O valor é retirado do campo IP Address no registro bruto.
Endereço IP: principal.ip O valor é retirado do campo IP Address: no registro bruto.
Hora da última atualização
Host local principal.ip O valor é retirado do campo Local Host no registro bruto.
IP do host local principal.ip O valor é retirado do campo Local Host IP no registro bruto.
Endereço MAC do host local principal.mac O valor é retirado do campo Local Host MAC no registro bruto.
Porta local principal.port O valor é retirado do campo Local Port no registro bruto.
Local
MD-5
Ocorrências security_result.about.resource.attribute.labels.value O valor é retirado do campo Occurrences no registro bruto. A chave está fixada em Occurrences.
Motivo permitido para a inscrição security_result.action_details O valor é retirado do campo Permitted application reason no registro bruto.
Prevalência security_result.description O valor é retirado do campo Prevalence no registro bruto.
Caminho remoto target.file.full_path O valor é retirado do campo Remote file path no registro bruto.
IP do host remoto target.ip O valor é retirado do campo Remote Host IP no registro bruto.
MAC do host remoto target.mac O valor é retirado do campo Remote Host MAC no registro bruto.
Nome do host remoto target.hostname O valor é retirado do campo Remote Host Name no registro bruto.
Porta remota target.port O valor é retirado do campo Remote Port no registro bruto.
Ação solicitada security_result.action O valor é extraído do campo Requested action no registro bruto e mapeado para uma ação do UDM.
Nível de risco security_result.severity O valor é extraído do campo Risk Level no registro bruto e mapeado para uma gravidade do UDM.
Nome do risco security_result.threat_name O valor é retirado do campo Risk name no registro bruto.
Tipo de risco security_result.detection_fields.value O valor é retirado do campo Risk type no registro bruto. A chave está fixada em Risk Type.
Regra principal.resource.name O valor é retirado do campo Rule no registro bruto.
Regra: principal.resource.name O valor é retirado do campo Rule: no registro bruto.
ID de verificação extensions.vulns.vulnerabilities.name O valor é retirado do campo Scan ID no registro bruto.
ID de verificação: extensions.vulns.vulnerabilities.name O valor é retirado do campo Scan ID: no registro bruto.
Tipo de verificação
Ação secundária target.resource.attribute.labels.value O valor é retirado do campo Secondary action no registro bruto. A chave está fixada em Secondary action.
Risco de segurança encontrado metadata.description O valor é retirado do campo Security risk found no registro bruto.
Servidor intermediary.hostname O valor é retirado do campo Server no registro bruto.
Nome do servidor intermediary.hostname O valor é retirado do campo Server Name no registro bruto.
Nome do servidor: intermediary.hostname O valor é retirado do campo Server Name: no registro bruto.
SHA-256 principal.process.file.sha256 O valor é retirado do campo SHA-256 no registro bruto.
Site additional.fields.value.string_value O valor é retirado do campo Site no registro bruto. A chave está fixada em Site Name.
Nome do site additional.fields.value.string_value O valor é retirado do campo Site Name no registro bruto. A chave está fixada em Site Name.
Site: additional.fields.value.string_value O valor é retirado do campo Site: no registro bruto. A chave está fixada em Site Name.
Origem metadata.product_event_type O valor é retirado do campo Source no registro bruto e anexado à string codificada Security risk found -.
Computador de origem
Computador de origem:
IP de origem
IP de origem:
Fonte: metadata.product_event_type O valor é retirado do campo Source: no registro bruto e anexado à string codificada Security risk found -.
ts metadata.event_timestamp O valor é retirado do campo ts no registro bruto.
Status do rastreamento de URL
Usuário principal.user.userid O valor é retirado do campo User no registro bruto.
Nome do usuário principal.user.userid O valor é retirado do campo User Name no registro bruto.
Nome de usuário: principal.user.userid O valor é retirado do campo User Name: no registro bruto.
Domínio da Web
metadata.description Se o registro bruto contiver a string The client has downloaded, a descrição será definida como The client has downloaded {target file name}. Se o registro bruto contiver a string The management server received, a descrição será definida como The management server received the client log successfully. Caso contrário, a descrição é definida como o valor do campo Event Description no registro bruto.
metadata.event_type O tipo de evento é determinado pela lógica do analisador com base no conteúdo do registro bruto.
metadata.log_type O tipo de registro está fixado em SEP.
metadata.product_name O nome do produto está fixado em SEP.
metadata.vendor_name O nome do fornecedor está codificado como Symantec.

Alterações

2025-01-09

Melhoria:

  • Se o valor de Actual action for Left alone, o mapeamento de security_result.action será alterado de BLOCK para UNKNOWN_ACTION.
  • O mapeamento de computer foi alterado de intermediary.hostname para principal.hostname e principal.asset.hostname.
  • O mapeamento de syslogServer foi alterado de principal.hostname para intermediary.hostname.

2024-12-12

Melhoria:

  • Um padrão Grok foi adicionado para analisar o novo formato de registros syslog.
  • anvpap-srv1 foi mapeado para intermediary.hostname.
  • SymantecServer foi mapeado para principal.hostname.
  • Remote Host Name foi mapeado para target.hostname.
  • Remote Port foi mapeado para target.port.
  • Remote Host IP foi mapeado para target.ip.
  • Local Port foi mapeado para principal.port.
  • Remote Host MAC foi mapeado para principal.mac.
  • ICMP foi mapeado para network.ip_protocol.
  • Inbound foi mapeado para network.direction.
  • Application foi mapeado para principal.process.file.full_path.
  • Rule foi mapeado para security_result.rule_name.
  • Action foi mapeado para security_result.action.
  • SHA-256 foi mapeado para principal.process.file.sha256.

2024-11-21

Melhoria:

  • gsub foi adicionado para analisar um novo padrão de registros.
  • Adicionamos um padrão Grok a event_description para analisar os campos.
  • File foi mapeado para principal.process.file.full_path.
  • Size foi mapeado para principal.process.file.size.

2024-11-07

Melhoria:

  • SITE_NAME e SOURCE foram mapeados para additional.fields.
  • SOURCE foi mapeado para security_result.description.

2024-10-25

Melhoria:

  • Mapeou SCAN_ID, CATEGORY_DESC, CLIENT_TYPE, DETECTION_TYPE, HELP_VIRUS_IDX, HPP_APP_TYPE, IDX, LAST_LOG_SESSION_GUID, SITE_TYPE, UUID, VBIN_ID e VIRUS_TYPE para additional.fields.
  • USER_DOMAIN_NAME foi mapeado para target.administrative_domain.
  • COMPUTER_DOMAIN_NAME foi mapeado para principal.administrative_domain.
  • IP_ADDR1 foi mapeado para src.ip.
  • SOURCE_COMPUTER_NAME foi mapeado para src.asset.hostname e src.hostname.
  • COMPUTER_NAME foi mapeado para principal.asset.hostname e principal.hostname.
  • OPERATION_SYSTEM foi mapeado para principal.asset.platform_software.platform.
  • SERVICE_PACK foi mapeado para principal.asset.platform_software.platform_version.
  • SOURCE_COMPUTER_IP foi mapeado para principal.ip e principal.asset.ip.
  • ALERT foi mapeado para metadata.product_event_type.
  • USER_NAME foi mapeado para principal.user.userid.
  • BIOS_SERIALNUMBER foi mapeado para principal.asset.hardware.serial_number.
  • ACTUALACTION foi mapeado para security_result.action_details.
  • VIRUSNAME foi mapeado para security_result.threat_name.
  • NOOFVIRUSES foi mapeado para security_result.verdict_info.malicious_count.
  • Mapeamos SOURCE, DESCRIPTION e REQUESTEDACTION para security_result.detection_fields.
  • CLIENT_GROUP foi mapeado para principal.group.group_display_name.
  • downloader foi mapeado para principal.process.file.full_path.

2024-10-24

Melhoria:

  • Foi adicionado suporte para analisar registros com logType como IPS, Network Intrusion Protection System, REP, Memory Exploit Mitigation System e NTR.

2024-10-08

Melhoria:

  • Suporte adicionado para o novo formato de registros syslog.

2024-09-23

Melhoria:

  • O mapeamento de rule_name foi alterado de principal.resource.name para security_result.rule_name.
  • O mapeamento de principal.resource.resource_type como FIREWALL_RULE foi removido.
  • O mapeamento de security_result.category foi alterado de ACL_VIOLATION para UNKNOWN_CATEGORY.

2024-09-11

Melhoria:

  • Adição de suporte a registros do tipo matriz.

2024-08-08

Melhoria:

  • REQUESTEDACTION foi mapeado para security_result.action_details.
  • SECONDARYACTION, ACTUALACTION, VIRUSNAME e NOOFVIRUSES foram mapeados para security_result.detection_fields.
  • SOURCE foi mapeado para additional.fields.
  • HPP_APP_HASH foi mapeado para target.file.sha256.
  • HPP_APP_NAME foi mapeado para target.file.names.
  • FILEPATH foi mapeado para target.file.full_path.
  • CLIENT_GROUP foi mapeado para target.user.group_identifiers.

2024-06-07

Melhoria:

  • Suporte a registros no formato KV adicionado.

2024-05-27

Melhoria:

  • target_file_name foi mapeado de target.file.full_path para target.file.names.

2023-11-28

Correção de bugs:

  • Quando event_time está presente, ele é mapeado para datetime.

2023-11-08

Correção de bugs:

  • O mapeamento de ServerName para target.asset.hostname foi removido e mapeado para intermediary.hostname.
  • Quando Actualaction é Cleaned, security_result.action é mapeado para BLOCK e is_significant para false.
  • Adição do padrão Grok para analisar os registros não analisados com padrões variados.
  • type, utility-sub-type, lang, service-sandbox-type, mojo-platform-channel-handle, field-trial-handle e disable-features foram mapeados para security_result.detection_fields.
  • target_arguments foi mapeado para read_only_udm.additional.fields.
  • user-data-dir foi mapeado para sec_result.about.file.full_path.
  • security-realm foi mapeado para security_result.summary.
  • startup-url foi mapeado para principal.url.
  • source_ip foi mapeado para target.ip.
  • action_word foi mapeado para security_result.action_details.

2023-10-12

Correção de bugs:

  • Adição do padrão Grok para analisar os registros não analisados com padrões variados.

2023-04-21

Correção de bugs:

  • Mudança de nomes de variáveis intermediárias nos arquivos de inclusão.
  • security_result.rule_name mapeado para eventos relacionados a File.

2023-04-10

Melhoria:

  • Processou os registros descartados com o logType File Read, File Write, File Delete ou Registry Write.
  • payload.domain_name foi mapeado para principal.administrative_domain.
  • Adição de verificação de valor nulo para payload.device_id e event_description.

2023-01-21

Melhoria:

  • Adição de verificação condicional para targetComputerName,event_description1.
  • Adição da verificação on_error para file_full_path, GroupName e ServerName.
  • Applicationtype foi mapeado para principal.resource.attribute.labels.
  • mail foi mapeado para target.user.email_addresses.
  • server_name_1 foi mapeado para principal.hostname.
  • Para o tipo de registro SEC:
  • computer foi mapeado para principal.hostname.
  • syslogServer foi mapeado para intermediary.hostname.
  • event_description foi mapeado para metadata.description.
  • for loop foi adicionado para o tipo de registro SONAR,CVE,SEC.

2022-11-24

Melhoria:

  • O padrão Grok foi adicionado para analisar registros que contêm SONAR detection now allowed.

2022-11-15

Melhoria:

  • Adicionamos o padrão Grok para analisar registros com falhas dos tipos Virus Found e SONAR Scan.
  • Foi adicionada uma verificação condicional para Categorytype.

2022-10-25

Melhoria:

  • EventDescription foi mapeado para metadata.description.
  • Mapeamos LocalHostIP,IPAddress,source_ip para principal.ip.
  • LocalHostMAC foi mapeado para principal.mac.
  • Mapeou computer para principal.hostname
  • guid foi mapeado para principal.asset.asset_id.
  • DeviceID foi mapeado para principal.resource.product_object_id.
  • Filesize foi mapeado para target.file.size.
  • SHA256 foi mapeado para target.file.sha256.
  • User1 foi mapeado para principal.user.userid.
  • file_path foi mapeado para target.file.full_path.
  • GroupName foi mapeado para principal.group.group_display_name.
  • action_word foi mapeado para security_result.action_details.
  • Begin foi mapeado para vulnerabilities.scan_start_time.
  • EndTime foi mapeado para vulnerabilities.scan_end_time.
  • ScanID foi mapeado para principal.process.product_specific_process_id.
  • inter_host foi mapeado para intermediary.hostname.
  • inter_ip foi mapeado para intermediary.ip.
  • ActionType foi mapeado para additional.fields.
  • Rule foi mapeado para security_result.rule_name.

2022-10-10

Melhoria:

  • category foi mapeado para security_result.category_details.
  • CIDS Signature ID foi mapeado para target.resource.attribute.labels.
  • CIDS Signature SubID foi mapeado para target.resource.attribute.labels.
  • CIDS Signature string foi mapeado para target.resource.attribute.labels.
  • Intrusion URL foi mapeado para principal.url.
  • User Name foi mapeado para principal.user.userid.
  • Actual action foi mapeado para security_result.action_details.
  • Application hash foi mapeado para target.file.sha256.
  • Application name foi mapeado para target.application.
  • Application type foi mapeado para target.resource.attribute.labels.
  • Certificate issuer foi mapeado para network.tls.server.certificate.issuer.
  • Certificate serial number foi mapeado para network.tls.server.certificate.serial.
  • Certificate signer foi mapeado para network.tls.server.certificate.subject.
  • Certificate thumbprint foi mapeado para network.tls.server.certificate.sha256.
  • Secondary action foi mapeado para target.resource.attribute.labels.
  • First Seen foi mapeado para security_result.detection_fields.
  • Risk Name foi mapeado para security_result.detection_fields.
  • Risk Type foi mapeado para security_result.detection_fields.
  • Permitted application reason foi mapeado para security_result.detection_fields.
  • Company name foi mapeado para target.user.company_name.
  • Computer name foi mapeado para principal.hostname.
  • Server Name foi mapeado para principal.asset.network_domain.
  • Confidence foi mapeado para security_result.description.
  • Detection Type foi mapeado para security_result.summary.
  • Group Name foi mapeado para principal.group.group_display_name.
  • Risk Level foi mapeado para security_result.severity_details.
  • File size (bytes) foi mapeado para target.file.size.

2022-09-21

Melhoria:

  • Os analisadores personalizados foram migrados para o analisador padrão.

2022-08-12

Melhoria:

  • O padrão Grok foi modificado para analisar os registros.
  • Os registros descartados foram processados e mapeados para event_types válidos.
  • Os registros descartados tinham o seguinte logType, que agora é processado: REP, SubmissionsMan, SYLINK, IPS, SONAR, SEC, CVE, LiveUpdate Manager; Messages related to definition updates, Antivirus detection submission.
  • As novas condições msg1 que contêm Create Process|GUP|RebootManager|Smc|WSS|Network Intrusion|Mitigation System são processadas.
  • event_description contendo client-server activity logs|Got a valid certificate.|Replication .*from remote site|The database|received the client log successfully.
  • Novo bloco de código adicionado para processar o logType REP,SONAR,CVE,GUP,Smc,WSS.
  • O tipo de evento foi alterado de GENERIC_EVENT para STATUS_UPDATE, USER_UNCATEGORIZED, NETWORK_CONNECTION e STATUS_UNCATEGORIZED sempre que possível.
  • eventDescription foi mapeado para metadata.description.
  • hostName foi mapeado para principal.hostname.
  • machineDomainName foi mapeado para principal.administrative_domain.
  • domainName foi mapeado para target.administrative_domain.
  • serverName foi mapeado para intermediary.hostname.
  • userName foi mapeado para principal.user.userid.
  • siteName foi mapeado para read_only_udm.additional.fields.

2022-07-26

Melhoria:

  • para os registros que têm messageTmp como site, os seguintes campos foram mapeados:
  • eventDescription foi mapeado para metadata.description.
  • hostName foi mapeado para target.hostname.
  • machineDomainName foi mapeado para target.administrative_domain.
  • domainName foi mapeado para principal.administrative_domain.
  • serverName foi mapeado para principal.hostname.
  • userName foi mapeado para principal.user.userid.
  • siteName foi mapeado para read_only_udm.additional.fields.

2022-05-11

Melhoria:

  • Registros de carimbo de data/hora de eventos analisados com o formato yyyy-MM-dd HH:mm:ss.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.