Symantec Endpoint Protection のログを収集する
このドキュメントでは、Bindplane を使用して Symantec Endpoint Protection のログを Google Security Operations に取り込む方法について説明します。パーサーは、SYSLOG 形式または KV 形式でログを処理し、まずログデータ内のさまざまな形式からタイムスタンプを抽出します。次に、別の構成ファイル(sep_pt2.include
)を使用してログイベントの詳細な解析と構造化を行い、最初のタイムスタンプの抽出が成功した場合にのみ処理が成功するようにします。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- Windows 2016 以降、または systemd を使用する Linux ホスト
- プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
- Symantec Endpoint Protection プラットフォームに対する特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows へのインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
その他のインストール オプションについては、インストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
- 構成ファイルにアクセスします。
config.yaml
ファイルを見つけます。通常、Linux では/etc/bindplane-agent/
ディレクトリ、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano
、vi
、メモ帳など)を使用してファイルを開きます。
config.yaml
ファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: `0.0.0.0:514` exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'CES' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>
は、実際のお客様 ID に置き換えます。/path/to/ingestion-authentication-file.json
の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agent
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Symantec Endpoint Protection で Syslog を構成する
- Symantec Endpoint Protection Manager のウェブ UI にログインします。
- [管理] アイコンをクリックします。
- [View Servers] セクションを見つけて、[Servers] をクリックします。
- [ローカルサイト] > [外部ロギングの構成] をクリックします。
- [Enable Transmission of Logs to a Syslog Server] チェックボックスをオンにします。
- 次の構成情報を提供してください。
- Syslog サーバー: Bindplane の IP アドレスを入力します。
- UDP 宛先ポート: Bindplane ポート番号を入力します(UDP の場合は
514
など)。 - Log Facility: [Local6] と入力します。
- [Audit Logs] チェックボックスをオンにします。
- [セキュリティ ログ] チェックボックスをオンにします。
- [リスク] チェックボックスをオンにします。
- [OK] をクリックします。
UDM マッピング テーブル
ログフィールド | UDM マッピング | ロジック |
---|---|---|
アクション | security_result.action | この値は、未加工ログの Action フィールドから取得され、UDM アクションにマッピングされます。 |
アクションの種類 | security_result.action_details | この値は、未加工ログの Action Type フィールドから取得されます。 |
管理者 | ||
許可された申請理由 | security_result.action_details | この値は、未加工ログの Allowed application reason フィールドから取得されます。 |
アプリケーション | principal.process.command_line | この値は、未加工ログの Application フィールドから取得されます。 |
アプリケーション ハッシュ | target.file.sha256 | この値は、未加工ログの Application hash フィールドから取得されます。 |
アプリケーション名 | target.application | この値は、未加工ログの Application name フィールドから取得されます。 |
アプリケーションの種類 | target.resource.attribute.labels.value | この値は、未加工ログの Application type フィールドから取得されます。キーは Application Type にハードコードされています。 |
アプリケーションのバージョン | target.application.version | この値は、未加工ログの Application version フィールドから取得されます。 |
開始 | ||
開始時間 | extensions.vulns.vulnerabilities.scan_start_time | この値は、未加工ログの Begin Time フィールドから取得されます。 |
開始: | extensions.vulns.vulnerabilities.scan_start_time | この値は、未加工ログの Begin: フィールドから取得されます。 |
カテゴリ | principal.resource.attribute.labels.value | この値は、未加工ログの Category フィールドから取得されます。キーは Category にハードコードされています。 |
カテゴリセット | security_result.category | この値は、未加工ログの Category set フィールドから取得され、UDM カテゴリにマッピングされます。 |
カテゴリタイプ | security_result.category_details | この値は、未加工ログの Category type フィールドから取得されます。 |
CIDS 署名 ID | ||
CIDS シグネチャ文字列 | security_result.summary | この値は、未加工ログの CIDS Signature string フィールドから取得されます。 |
CIDS 署名サブ ID | ||
クライアント ポリシー | ||
コマンド | ||
パソコン | target.hostname | この値は、未加工ログの Computer フィールドから取得されます。 |
コンピュータ名 | principal.hostname | この値は、未加工ログの Computer name フィールドから取得されます。 |
信頼度 | security_result.confidence_details | この値は、未加工ログの Confidence フィールドから取得されます。 |
データ | ||
説明 | security_result.action_details | この値は、未加工ログの Description フィールドから取得されます。 |
説明: | security_result.action_details | この値は、未加工ログの Description: フィールドから取得されます。 |
検出スコア | ||
検出の送信なし | ||
検出タイプ | security_result.summary | この値は、未加工ログの Detection type フィールドから取得されます。 |
デバイス ID | target.asset.hostname | この値は、未加工ログの Device ID フィールドから取得されます。 |
処理 | security_result.action | この値は、未加工ログの Disposition フィールドから取得され、UDM アクションにマッピングされます。 |
ドメイン | principal.administrative_domain | この値は、未加工ログの Domain フィールドから取得されます。 |
ドメイン名 | principal.administrative_domain | この値は、未加工ログの Domain Name フィールドから取得されます。 |
Domain Name: | principal.administrative_domain | この値は、未加工ログの Domain Name: フィールドから取得されます。 |
ダウンロードしたユーザー | principal.process.file.full_path | この値は、未加工ログの Downloaded by フィールドから取得されます。 |
ダウンロード サイト | ||
期間(秒) | extensions.vulns.vulnerabilities.scan_end_time | この値は、未加工ログの Duration (seconds) フィールドから取得され、スキャン開始時間に追加されます。 |
終了 | ||
終了時刻 | extensions.vulns.vulnerabilities.scan_end_time | この値は、未加工ログの End Time フィールドから取得されます。 |
終了時間: | extensions.vulns.vulnerabilities.scan_end_time | この値は、未加工ログの End Time: フィールドから取得されます。 |
終了: | extensions.vulns.vulnerabilities.scan_end_time | この値は、未加工ログの End: フィールドから取得されます。 |
イベントの説明 | metadata.description | この値は、未加工ログの Event Description フィールドから取得されます。 |
イベントの説明: | metadata.description | この値は、未加工ログの Event Description: フィールドから取得されます。 |
イベントの挿入時間 | ||
イベント時間 | metadata.event_timestamp | この値は、未加工ログの Event time フィールドから取得されます。 |
イベントの時間: | metadata.event_timestamp | この値は、未加工ログの Event time: フィールドから取得されます。 |
イベントタイプ | metadata.product_event_type | この値は、未加工ログの Event Type フィールドから取得されます。 |
イベント タイプ: | metadata.product_event_type | この値は、未加工ログの Event Type: フィールドから取得されます。 |
ファイルパス | target.file.full_path | この値は、未加工ログの File path フィールドから取得されます。 |
ファイルパス: | target.file.full_path | この値は、未加工ログの File path: フィールドから取得されます。 |
ファイルサイズ(バイト) | target.file.size | この値は、未加工ログの File size (bytes) フィールドから取得されます。 |
初回検知 | security_result.action_details | この値は、未加工ログの First Seen フィールドから取得されます。 |
初回検知: | security_result.action_details | この値は、未加工ログの First Seen: フィールドから取得されます。 |
グループ | principal.group.group_display_name | この値は、未加工ログの Group フィールドから取得されます。 |
グループ名 | principal.group.group_display_name | この値は、未加工ログの Group Name フィールドから取得されます。 |
グループ名: | principal.group.group_display_name | この値は、未加工ログの Group Name: フィールドから取得されます。 |
ハッシュタイプ | target.resource.attribute.labels.value | この値は、未加工ログの Hash type フィールドから取得されます。キーは Hash Type にハードコードされています。 |
集中保護レベル | ||
侵入 ID | ||
侵入ペイロードの URL | ||
侵入 URL | ||
IP アドレス | principal.ip | この値は、未加工ログの IP Address フィールドから取得されます。 |
IP アドレス: | principal.ip | この値は、未加工ログの IP Address: フィールドから取得されます。 |
最終更新時刻 | ||
ローカルホスト | principal.ip | この値は、未加工ログの Local Host フィールドから取得されます。 |
ローカルホストの IP | principal.ip | この値は、未加工ログの Local Host IP フィールドから取得されます。 |
ローカルホストの MAC | principal.mac | この値は、未加工ログの Local Host MAC フィールドから取得されます。 |
ローカルポート | principal.port | この値は、未加工ログの Local Port フィールドから取得されます。 |
場所 | ||
MD-5 | ||
発生回数 | security_result.about.resource.attribute.labels.value | この値は、未加工ログの Occurrences フィールドから取得されます。キーは Occurrences にハードコードされています。 |
許可される申請理由 | security_result.action_details | この値は、未加工ログの Permitted application reason フィールドから取得されます。 |
普及率 | security_result.description | この値は、未加工ログの Prevalence フィールドから取得されます。 |
リモートパス | target.file.full_path | この値は、未加工ログの Remote file path フィールドから取得されます。 |
リモートホストの IP | target.ip | この値は、未加工ログの Remote Host IP フィールドから取得されます。 |
リモートホストの MAC | target.mac | この値は、未加工ログの Remote Host MAC フィールドから取得されます。 |
リモート ホスト名 | target.hostname | この値は、未加工ログの Remote Host Name フィールドから取得されます。 |
リモートポート | target.port | この値は、未加工ログの Remote Port フィールドから取得されます。 |
リクエストされた対応 | security_result.action | この値は、未加工ログの Requested action フィールドから取得され、UDM アクションにマッピングされます。 |
リスクレベル | security_result.severity | この値は、未加工ログの Risk Level フィールドから取得され、UDM の重大度にマッピングされます。 |
リスク名 | security_result.threat_name | この値は、未加工ログの Risk name フィールドから取得されます。 |
リスクの種類 | security_result.detection_fields.value | この値は、未加工ログの Risk type フィールドから取得されます。キーは Risk Type にハードコードされています。 |
ルール | principal.resource.name | この値は、未加工ログの Rule フィールドから取得されます。 |
ルール: | principal.resource.name | この値は、未加工ログの Rule: フィールドから取得されます。 |
スキャン ID | extensions.vulns.vulnerabilities.name | この値は、未加工ログの Scan ID フィールドから取得されます。 |
スキャン ID: | extensions.vulns.vulnerabilities.name | この値は、未加工ログの Scan ID: フィールドから取得されます。 |
Scan Type | ||
サブアクション | target.resource.attribute.labels.value | この値は、未加工ログの Secondary action フィールドから取得されます。キーは Secondary action にハードコードされています。 |
セキュリティ リスクが検出されました | metadata.description | この値は、未加工ログの Security risk found フィールドから取得されます。 |
サーバー | intermediary.hostname | この値は、未加工ログの Server フィールドから取得されます。 |
サーバー名 | intermediary.hostname | この値は、未加工ログの Server Name フィールドから取得されます。 |
サーバー名: | intermediary.hostname | この値は、未加工ログの Server Name: フィールドから取得されます。 |
SHA-256 | principal.process.file.sha256 | この値は、未加工ログの SHA-256 フィールドから取得されます。 |
サイト | additional.fields.value.string_value | この値は、未加工ログの Site フィールドから取得されます。キーは Site Name にハードコードされています。 |
サイト名 | additional.fields.value.string_value | この値は、未加工ログの Site Name フィールドから取得されます。キーは Site Name にハードコードされています。 |
サイト: | additional.fields.value.string_value | この値は、未加工ログの Site: フィールドから取得されます。キーは Site Name にハードコードされています。 |
ソース | metadata.product_event_type | この値は、未加工ログの Source フィールドから取得され、ハードコードされた文字列 Security risk found - に追加されます。 |
移行元のパソコン | ||
移行元のパソコン: | ||
ソース IP | ||
送信元 IP: | ||
出典: | metadata.product_event_type | この値は、未加工ログの Source: フィールドから取得され、ハードコードされた文字列 Security risk found - に追加されます。 |
ts | metadata.event_timestamp | この値は、未加工ログの ts フィールドから取得されます。 |
URL トラッキング ステータス | ||
ユーザー | principal.user.userid | この値は、未加工ログの User フィールドから取得されます。 |
ユーザー名 | principal.user.userid | この値は、未加工ログの User Name フィールドから取得されます。 |
ユーザー名: | principal.user.userid | この値は、未加工ログの User Name: フィールドから取得されます。 |
ウェブドメイン | ||
metadata.description | 未加工ログに文字列 The client has downloaded が含まれている場合、説明は The client has downloaded {target file name} に設定されます。未加工ログに文字列 The management server received が含まれている場合、説明は The management server received the client log successfully に設定されます。それ以外の場合、説明は未加工ログの Event Description フィールドの値に設定されます。 |
|
metadata.event_type | イベントタイプは、未加工ログの内容に基づいてパーサー ロジックによって決定されます。 | |
metadata.log_type | ログタイプは SEP にハードコードされています。 |
|
metadata.product_name | プロダクト名は SEP にハードコードされています。 |
|
metadata.vendor_name | ベンダー名は Symantec にハードコードされています。 |
変更点
2025-01-09
機能強化:
Actual action
の値がLeft alone
の場合、security_result.action
のマッピングをBLOCK
からUNKNOWN_ACTION
に変更しました。computer
のマッピングをintermediary.hostname
からprincipal.hostname
とprincipal.asset.hostname
に変更しました。syslogServer
のマッピングをprincipal.hostname
からintermediary.hostname
に変更しました。
2024-12-12
機能強化:
- 新しい形式の syslog ログを解析するための Grok パターンを追加しました。
anvpap-srv1
をintermediary.hostname
にマッピングしました。SymantecServer
をprincipal.hostname
にマッピングしました。Remote Host Name
をtarget.hostname
にマッピングしました。Remote Port
をtarget.port
にマッピングしました。Remote Host IP
をtarget.ip
にマッピングしました。Local Port
をprincipal.port
にマッピングしました。Remote Host MAC
をprincipal.mac
にマッピングしました。ICMP
をnetwork.ip_protocol
にマッピングしました。Inbound
をnetwork.direction
にマッピングしました。Application
をprincipal.process.file.full_path
にマッピングしました。Rule
をsecurity_result.rule_name
にマッピングしました。Action
をsecurity_result.action
にマッピングしました。SHA-256
をprincipal.process.file.sha256
にマッピングしました。
2024-11-21
機能強化:
- 新しいログパターンを解析するために
gsub
を追加しました。 - フィールドを解析するための Grok パターンを
event_description
に追加しました。 File
をprincipal.process.file.full_path
にマッピングしました。Size
をprincipal.process.file.size
にマッピングしました。
2024-11-07
機能強化:
SITE_NAME
とSOURCE
をadditional.fields
にマッピングしました。SOURCE
をsecurity_result.description
にマッピングしました。
2024-10-25
機能強化:
SCAN_ID
、CATEGORY_DESC
、CLIENT_TYPE
、DETECTION_TYPE
、HELP_VIRUS_IDX
、HPP_APP_TYPE
、IDX
、LAST_LOG_SESSION_GUID
、SITE_TYPE
、UUID
、VBIN_ID
、VIRUS_TYPE
をadditional.fields
にマッピングしました。USER_DOMAIN_NAME
をtarget.administrative_domain
にマッピングしました。COMPUTER_DOMAIN_NAME
をprincipal.administrative_domain
にマッピングしました。IP_ADDR1
をsrc.ip
にマッピングしました。SOURCE_COMPUTER_NAME
をsrc.asset.hostname
とsrc.hostname
にマッピングしました。COMPUTER_NAME
をprincipal.asset.hostname
とprincipal.hostname
にマッピングしました。OPERATION_SYSTEM
をprincipal.asset.platform_software.platform
にマッピングしました。SERVICE_PACK
をprincipal.asset.platform_software.platform_version
にマッピングしました。SOURCE_COMPUTER_IP
をprincipal.ip
とprincipal.asset.ip
にマッピングしました。ALERT
をmetadata.product_event_type
にマッピングしました。USER_NAME
をprincipal.user.userid
にマッピングしました。BIOS_SERIALNUMBER
をprincipal.asset.hardware.serial_number
にマッピングしました。ACTUALACTION
をsecurity_result.action_details
にマッピングしました。VIRUSNAME
をsecurity_result.threat_name
にマッピングしました。NOOFVIRUSES
をsecurity_result.verdict_info.malicious_count
にマッピングしました。SOURCE
、DESCRIPTION
、REQUESTEDACTION
をsecurity_result.detection_fields
にマッピングしました。CLIENT_GROUP
をprincipal.group.group_display_name
にマッピングしました。downloader
をprincipal.process.file.full_path
にマッピングしました。
2024-10-24
機能強化:
logType
をIPS
、Network Intrusion Protection System
、REP
、Memory Exploit Mitigation System
、NTR
としてログを解析するサポートを追加しました。
2024-10-08
機能強化:
- 新しい形式の Syslog ログのサポートを追加しました。
2024-09-23
機能強化:
rule_name
のマッピングをprincipal.resource.name
からsecurity_result.rule_name
に変更しました。principal.resource.resource_type
をFIREWALL_RULE
としてマッピングから削除しました。security_result.category
のマッピングをACL_VIOLATION
からUNKNOWN_CATEGORY
に変更しました。
2024-09-11
機能強化:
- 配列タイプのログのサポートを追加しました。
2024-08-08
機能強化:
REQUESTEDACTION
をsecurity_result.action_details
にマッピングしました。SECONDARYACTION
、ACTUALACTION
、VIRUSNAME
、NOOFVIRUSES
をsecurity_result.detection_fields
にマッピングしました。SOURCE
をadditional.fields
にマッピングしました。HPP_APP_HASH
をtarget.file.sha256
にマッピングしました。HPP_APP_NAME
をtarget.file.names
にマッピングしました。FILEPATH
をtarget.file.full_path
にマッピングしました。CLIENT_GROUP
をtarget.user.group_identifiers
にマッピングしました。
2024-06-07
機能強化:
- KV 形式のログのサポートを追加しました。
2024-05-27
機能強化:
target_file_name
をtarget.file.full_path
からtarget.file.names
にマッピングしました。
2023-11-28
バグの修正:
event_time
が存在する場合、同じ値をdatetime
にマッピングしました。
2023-11-08
バグの修正:
ServerName
からtarget.asset.hostname
へのマッピングを削除し、intermediary.hostname
にマッピングしました。Actualaction
がCleaned
の場合、security_result.action
をBLOCK
に、is_significant
をfalse
にマッピングしました。- さまざまなパターンで解析されていないログを解析するための Grok パターンを追加しました。
type
、utility-sub-type
、lang
、service-sandbox-type
、mojo-platform-channel-handle
、field-trial-handle
、disable-features
をsecurity_result.detection_fields
にマッピングしました。target_arguments
をread_only_udm.additional.fields
にマッピングしました。user-data-dir
をsec_result.about.file.full_path
にマッピングしました。security-realm
をsecurity_result.summary
にマッピングしました。startup-url
をprincipal.url
にマッピングしました。source_ip
をtarget.ip
にマッピングしました。action_word
をsecurity_result.action_details
にマッピングしました。
2023-10-12
バグの修正:
- さまざまなパターンで解析されていないログを解析するための Grok パターンを追加しました。
2023-04-21
バグの修正:
- インクルード ファイルの中間変数名を変更しました。
File
関連イベントのsecurity_result.rule_name
をマッピングしました。
2023-04-10
機能強化:
- logType が
File Read
、File Write
、File Delete
、またはRegistry Write
のドロップされたログを処理しました。 payload.domain_name
をprincipal.administrative_domain
にマッピングしました。payload.device_id
とevent_description
の null チェックを追加しました。
2023-01-21
機能強化:
targetComputerName
、event_description1
の条件付きチェックを追加しました。file_full_path
、GroupName
、ServerName
の on_error チェックを追加しました。Applicationtype
をprincipal.resource.attribute.labels
にマッピングしました。mail
をtarget.user.email_addresses
にマッピングしました。server_name_1
をprincipal.hostname
にマッピングしました。- logtype
SEC
の場合: computer
をprincipal.hostname
にマッピングしました。syslogServer
をintermediary.hostname
にマッピングしました。event_description
をmetadata.description
にマッピングしました。- ログタイプ
SONAR
、CVE
、SEC
にfor loop
を追加しました。
2022-11-24
機能強化:
SONAR detection now allowed
を含むログを解析するための Grok パターンを追加しました。
2022-11-15
機能強化:
Virus Found
型とSONAR Scan
型の失敗したログを解析するための Grok パターンを追加しました。Categorytype
の条件付きチェックを追加しました。
2022-10-25
機能強化:
EventDescription
をmetadata.description
にマッピングしました。LocalHostIP
、IPAddress
、source_ip
をprincipal.ip
にマッピングしました。LocalHostMAC
をprincipal.mac
にマッピングしました。computer
をprincipal.hostname
にマッピングしましたguid
をprincipal.asset.asset_id
にマッピングしました。DeviceID
をprincipal.resource.product_object_id
にマッピングしました。Filesize
をtarget.file.size
にマッピングしました。SHA256
をtarget.file.sha256
にマッピングしました。User1
をprincipal.user.userid
にマッピングしました。file_path
をtarget.file.full_path
にマッピングしました。GroupName
をprincipal.group.group_display_name
にマッピングしました。action_word
をsecurity_result.action_details
にマッピングしました。Begin
をvulnerabilities.scan_start_time
にマッピングしました。EndTime
をvulnerabilities.scan_end_time
にマッピングしました。ScanID
をprincipal.process.product_specific_process_id
にマッピングしました。inter_host
をintermediary.hostname
にマッピングしました。inter_ip
をintermediary.ip
にマッピングしました。ActionType
をadditional.fields
にマッピングしました。Rule
をsecurity_result.rule_name
にマッピングしました。
2022-10-10
機能強化:
category
をsecurity_result.category_details
にマッピングしました。CIDS Signature ID
をtarget.resource.attribute.labels
にマッピングしました。CIDS Signature SubID
をtarget.resource.attribute.labels
にマッピングしました。CIDS Signature string
をtarget.resource.attribute.labels
にマッピングしました。Intrusion URL
をprincipal.url
にマッピングしました。User Name
をprincipal.user.userid
にマッピングしました。Actual action
をsecurity_result.action_details
にマッピングしました。Application hash
をtarget.file.sha256
にマッピングしました。Application name
をtarget.application
にマッピングしました。Application type
をtarget.resource.attribute.labels
にマッピングしました。Certificate issuer
をnetwork.tls.server.certificate.issuer
にマッピングしました。Certificate serial number
をnetwork.tls.server.certificate.serial
にマッピングしました。Certificate signer
をnetwork.tls.server.certificate.subject
にマッピングしました。Certificate thumbprint
をnetwork.tls.server.certificate.sha256
にマッピングしました。Secondary action
をtarget.resource.attribute.labels
にマッピングしました。First Seen
をsecurity_result.detection_fields
にマッピングしました。Risk Name
をsecurity_result.detection_fields
にマッピングしました。Risk Type
をsecurity_result.detection_fields
にマッピングしました。Permitted application reason
をsecurity_result.detection_fields
にマッピングしました。Company name
をtarget.user.company_name
にマッピングしました。Computer name
をprincipal.hostname
にマッピングしました。Server Name
をprincipal.asset.network_domain
にマッピングしました。Confidence
をsecurity_result.description
にマッピングしました。Detection Type
をsecurity_result.summary
にマッピングしました。Group Name
をprincipal.group.group_display_name
にマッピングしました。Risk Level
をsecurity_result.severity_details
にマッピングしました。File size (bytes)
をtarget.file.size
にマッピングしました。
2022-09-21
機能強化:
- カスタム パーサーをデフォルトのパーサーに移行しました。
2022-08-12
機能強化:
- ログを解析するように Grok パターンを変更しました。
- 廃棄されたログを処理し、有効な event_types にマッピングしました。
- 破棄されたログの logType は、
REP
、SubmissionsMan
、SYLINK
、IPS
、SONAR
、SEC
、CVE
、LiveUpdate Manager; Messages related to definition updates
、Antivirus detection submission
でした。これらの logType は現在処理されています。 Create Process|GUP|RebootManager|Smc|WSS|Network Intrusion|Mitigation System
を含む新しい条件msg1
が処理されます。client-server activity logs|Got a valid certificate.|Replication .*from remote site|The database|received the client log successfully
を含む event_description。- logType REP、SONAR、CVE、GUP、Smc、WSS を処理する新しいコードブロックを追加し、解析できるようにしました。
- イベントタイプを
GENERIC_EVENT
からSTATUS_UPDATE
、USER_UNCATEGORIZED
、NETWORK_CONNECTION
、STATUS_UNCATEGORIZED
に可能な限り変更しました。 eventDescription
をmetadata.description
にマッピングしました。hostName
をprincipal.hostname
にマッピングしました。machineDomainName
をprincipal.administrative_domain
にマッピングしました。domainName
をtarget.administrative_domain
にマッピングしました。serverName
をintermediary.hostname
にマッピングしました。userName
をprincipal.user.userid
にマッピングしました。siteName
をread_only_udm.additional.fields
にマッピングしました。
2022-07-26
機能強化:
- サイトとして messageTmp があるログの場合、次のフィールドをマッピングしました。
eventDescription
をmetadata.description
にマッピングしました。hostName
をtarget.hostname
にマッピングしました。machineDomainName
をtarget.administrative_domain
にマッピングしました。domainName
をprincipal.administrative_domain
にマッピングしました。serverName
をprincipal.hostname
にマッピングしました。userName
をprincipal.user.userid
にマッピングしました。siteName
をread_only_udm.additional.fields
にマッピングしました。
2022-05-11
機能強化:
yyyy-MM-dd HH:mm:ss
形式の解析されたイベント タイムスタンプ ログエントリ。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。