PowerShell-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie PowerShell-Logs mit Bindplane in Google Security Operations erfassen. Der Parser wandelt Microsoft PowerShell-Rohlogs in ein einheitliches Datenmodell (Unified Data Model, UDM) um. Dabei werden zuerst Felder aus der Rohlognachricht extrahiert, in UDM-Felder normalisiert und dann anhand bestimmter Ereignis-IDs mit zusätzlichem Kontext angereichert. So wird letztendlich ein strukturiertes UDM-Ereignis für die Sicherheitsanalyse erstellt.
Hinweise
- Prüfen Sie, ob Sie eine Google SecOps-Instanz haben.
- Achten Sie darauf, dass Sie Windows 2016 oder höher verwenden.
- Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
Bindplane-Agent unter Windows installieren
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Zusätzliche Installationsressourcen
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
- Bevor Sie die YAML-Datei konfigurieren, beenden Sie den
observIQ Distro for Open Telemetry Collector-Dienst im Bereich „Dienste“. Greifen Sie auf die Konfigurationsdatei zu:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis/etc/bindplane-agent/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor (z. B.
nano,vioder Notepad).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: windowseventlog/powershell: channel: Microsoft-Windows-PowerShell/Operational max_reads: 100 poll_interval: 5s raw: true start_at: end processors: batch: exporters: chronicle/powershell: endpoint: malachiteingestion-pa.googleapis.com # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' log_type: 'POWERSHELL' override_log_type: false raw_log_field: body customer_id: '<customer_id>' service: pipelines: logs/winpowershell: receivers: - windowseventlog/powershell processors: [batch] exporters: [chronicle/powershell]Ersetzen Sie
<customer_id>durch die tatsächliche Kunden-ID.Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonauf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.Nachdem Sie die Datei
config.yamlgespeichert haben, starten Sie denobservIQ Distro for Open Telemetry Collector-Dienst.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
net stop BindPlaneAgent && net start BindPlaneAgent
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| AccountName | principal.user.userid | Direkt aus dem Feld AccountName im Rohlog zugeordnet. |
| ActivityID | security_result.detection_fields[0].value | Direkt aus dem Feld ActivityID im Rohlog zugeordnet. Die geschweiften Klammern werden entfernt. |
| Kanal | Nicht dem IDM-Objekt zugeordnet. | |
| collection_time.nanos | Nicht dem IDM-Objekt zugeordnet. | |
| collection_time.seconds | Nicht dem IDM-Objekt zugeordnet. | |
| Befehl | Nicht dem IDM-Objekt zugeordnet. | |
| CommandLine | Nicht dem IDM-Objekt zugeordnet. | |
| Computer | principal.hostname | Direkt aus dem Feld Computer im Rohlog zugeordnet, sofern vorhanden. |
| ContextInfo | Nicht dem IDM-Objekt zugeordnet. | |
| ContextInfo_Command Name | security_result.detection_fields[0].value | Direkt aus dem Feld ContextInfo_Command Name im Rohlog zugeordnet, sofern vorhanden. |
| ContextInfo_Command Type | security_result.detection_fields[1].value | Direkt aus dem Feld ContextInfo_Command Type im Rohlog zugeordnet, sofern vorhanden. |
| ContextInfo_Host Application | target.process.command_line | Direkt aus dem Feld ContextInfo_Host Application im Rohlog zugeordnet, wenn powershell.Host Application nicht vorhanden ist. |
| ContextInfo_Host-ID | target.asset.asset_id | Direkt aus dem Feld ContextInfo_Host ID im Rohlog zugeordnet, wenn powershell.Host ID nicht vorhanden ist. Dem Wert wird Host ID: vorangestellt. |
| ContextInfo_Host Name | target.hostname | Direkt aus dem Feld ContextInfo_Host Name im Rohlog zugeordnet, wenn powershell.Host Name nicht vorhanden ist. |
| ContextInfo_Script Name | target.process.file.full_path | Direkt aus dem Feld ContextInfo_Script Name im Rohlog zugeordnet, wenn script_name nicht vorhanden ist. |
| ContextInfo_Sequence Number | security_result.detection_fields[2].value | Direkt aus dem Feld ContextInfo_Sequence Number im Rohlog zugeordnet, sofern vorhanden. In einen String konvertiert. |
| ContextInfo_Severity | Nicht dem IDM-Objekt zugeordnet. | |
| create_time.nanos | Nicht dem IDM-Objekt zugeordnet. | |
| create_time.seconds | Nicht dem IDM-Objekt zugeordnet. | |
| customer_id | Nicht dem IDM-Objekt zugeordnet. | |
| Daten | Nicht dem IDM-Objekt zugeordnet. | |
| Daten | security_result.detection_fields[0].value | Direkt aus dem Feld Data im Rohlog zugeordnet, sofern vorhanden. |
| Data_1 | security_result.detection_fields[1].value | Direkt aus dem Feld Data_1 im Rohlog zugeordnet, sofern vorhanden. |
| Data_2 | security_result.detection_fields[2].value | Direkt aus dem Feld Data_2 im Rohlog zugeordnet, sofern vorhanden. |
| Domain | principal.administrative_domain | Direkt aus dem Feld Domain im Rohlog zugeordnet. |
| entries | Nicht dem IDM-Objekt zugeordnet. | |
| ERROR_EVT_UNRESOLVED | Nicht dem IDM-Objekt zugeordnet. | |
| EventCategory | Nicht dem IDM-Objekt zugeordnet. | |
| EventData | Nicht dem IDM-Objekt zugeordnet. | |
| EventID | metadata.product_event_type, security_result.rule_name | Direkt aus dem Feld EventID im Rohlog zugeordnet. Dem Wert wird für das Feld security_result.rule_name das Präfix EventID: vorangestellt. |
| EventLevel | Nicht dem IDM-Objekt zugeordnet. | |
| EventLevelName | security_result.severity | Zugeordnet basierend auf dem Wert von EventLevelName:– Information wird INFORMATIONAL zugeordnet.– Verbose wird LOW zugeordnet. |
| EventLog | Nicht dem IDM-Objekt zugeordnet. | |
| EventReceivedTime | Nicht dem IDM-Objekt zugeordnet. | |
| EventType | Nicht dem IDM-Objekt zugeordnet. | |
| EventTime | metadata.event_timestamp | Wird verwendet, um den Zeitstempel zu extrahieren, sofern vorhanden. |
| ExecutionProcessID | principal.process.pid | Direkt aus dem Feld ExecutionProcessID im Rohlog zugeordnet, sofern vorhanden und nicht leer oder 0. In einen String konvertiert. |
| ExecutionThreadID | security_result.detection_fields[2].value | Direkt aus dem Feld ExecutionThreadID im Rohlog zugeordnet, sofern vorhanden und nicht leer oder 0. In einen String konvertiert. |
| Datei | target.process.file.full_path | Direkt aus dem Feld File im Rohlog zugeordnet, sofern vorhanden. |
| Hostanwendung | Nicht dem IDM-Objekt zugeordnet. | |
| HostApplication | Nicht dem IDM-Objekt zugeordnet. | |
| Hostname | principal.hostname | Direkt aus dem Feld Hostname im Rohlog zugeordnet. |
| id | Nicht dem IDM-Objekt zugeordnet. | |
| Keywords | Nicht dem IDM-Objekt zugeordnet. | |
| log_type | metadata.log_type | Direkt aus dem Feld log_type im Rohlog zugeordnet. |
| Maschine | principal.asset.asset_id, principal.asset.platform_software.platform_version | Das Feld Machine wird geparst, um die Maschinen-ID und Plattforminformationen zu extrahieren. Der Maschinen-ID wird das Präfix Machine ID: vorangestellt. Die Plattform wird dem UDM-Enum anhand des Werts zugeordnet: – win wird WINDOWS zugeordnet.– mac wird MAC zugeordnet.– lin wird LINUX zugeordnet.– Andere Werte werden UNKNOWN_PLATFORM zugeordnet. |
| ManagementGroupName | additional.fields[0].value.string_value | Direkt aus dem Feld ManagementGroupName im Rohlog zugeordnet, sofern vorhanden. |
| Message.EventTime | metadata.event_timestamp | Wird verwendet, um den Zeitstempel zu extrahieren, sofern vorhanden. In einen String konvertiert. |
| Message.Message | security_result.description | Direkt aus dem Feld Message.Message im Rohlog zugeordnet, wenn EventID in [403, 4103, 4104] und message_message_not_found enthalten ist. Zeilenumbrüche und Tabulatoren werden durch Kommas ersetzt. |
| Nachricht | security_result.description | Direkt aus dem Feld Message im Rohlog zugeordnet, sofern vorhanden. |
| MessageNumber | Nicht dem IDM-Objekt zugeordnet. | |
| MessageSourceAddress | principal.ip | Direkt aus dem Feld MessageSourceAddress im Rohlog zugeordnet, sofern vorhanden. |
| MessageTotal | Nicht dem IDM-Objekt zugeordnet. | |
| MG | Nicht dem IDM-Objekt zugeordnet. | |
| Opcode | metadata.description | Direkt aus dem Feld Opcode im Rohlog zugeordnet. |
| OpcodeValue | Nicht dem IDM-Objekt zugeordnet. | |
| Ausgabe | security_result.detection_fields[0].value | Direkt aus dem Feld Output im Rohlog zugeordnet, sofern vorhanden. |
| powershell.Command Name | security_result.detection_fields[0].value | Wird direkt aus dem Feld powershell.Command Name zugeordnet, sofern vorhanden. |
| powershell.Command Type | security_result.detection_fields[1].value | Wird direkt aus dem Feld powershell.Command Type zugeordnet, sofern vorhanden. |
| powershell.Host Application | target.process.command_line | Direkt aus dem Feld powershell.Host Application im Rohlog zugeordnet, sofern vorhanden. |
| powershell.Host ID | target.asset.asset_id | Direkt aus dem Feld powershell.Host ID im Rohlog zugeordnet, sofern vorhanden. Dem Wert wird Host ID: vorangestellt. |
| powershell.Host Name | target.hostname | Direkt aus dem Feld powershell.Host Name im Rohlog zugeordnet, sofern vorhanden. |
| powershell.HostApplication | target.process.command_line | Direkt aus dem Feld powershell.HostApplication im Rohlog zugeordnet, sofern vorhanden. |
| powershell.HostId | target.asset.asset_id | Direkt aus dem Feld powershell.HostId im Rohlog zugeordnet, sofern vorhanden. Dem Wert wird Host ID: vorangestellt. |
| powershell.HostName | target.hostname | Direkt aus dem Feld powershell.HostName im Rohlog zugeordnet, sofern vorhanden. |
| powershell.Script Name | target.process.file.full_path | Direkt aus dem Feld powershell.Script Name im Rohlog zugeordnet, sofern vorhanden. |
| powershell.ScriptName | target.process.file.full_path | Direkt aus dem Feld powershell.ScriptName im Rohlog zugeordnet, sofern vorhanden. |
| powershell.Sequence Number | security_result.detection_fields[2].value | Direkt aus dem Feld powershell.Sequence Number im Rohlog zugeordnet, sofern vorhanden. |
| powershell.SequenceNumber | security_result.detection_fields[0].value | Direkt aus dem Feld powershell.SequenceNumber im Rohlog zugeordnet, sofern vorhanden. |
| powershell.UserId | principal.user.userid | Direkt aus dem Feld powershell.UserId im Rohlog zugeordnet, sofern vorhanden. |
| Prozess-ID | principal.process.pid | Direkt aus dem Feld Process ID im Rohlog zugeordnet, wenn ExecutionProcessID und ProcessID nicht vorhanden, leer oder 0 sind. In einen String konvertiert. |
| ProcessID | principal.process.pid | Direkt aus dem Feld ProcessID im Rohlog zugeordnet, wenn ExecutionProcessID nicht vorhanden, leer oder 0 ist. In einen String konvertiert. |
| ProviderGuid | metadata.product_deployment_id | Direkt aus dem Feld ProviderGuid im Rohlog zugeordnet. Die geschweiften Klammern werden entfernt. |
| PSEdition | Nicht dem IDM-Objekt zugeordnet. | |
| PSRemotingProtocolVersion | Nicht dem IDM-Objekt zugeordnet. | |
| PSVersion | Nicht dem IDM-Objekt zugeordnet. | |
| RecordNumber | metadata.product_log_id | Direkt aus dem Feld RecordNumber im Rohlog zugeordnet. In einen String konvertiert. |
| RenderedDescription | security_result.description | Direkt aus dem Feld RenderedDescription im Rohlog zugeordnet, sofern vorhanden. |
| RunAs-Nutzer | Nicht dem IDM-Objekt zugeordnet. | |
| ScriptBlockId | Nicht dem IDM-Objekt zugeordnet. | |
| ScriptBlockText | security_result.detection_fields[0].value | Direkt aus dem Feld ScriptBlockText im Rohlog zugeordnet, sofern vorhanden. |
| ScriptBlock-ID | Nicht dem IDM-Objekt zugeordnet. | |
| Schweregrad | security_result.severity, security_result.severity_details | Zugeordnet basierend auf dem Wert von Severity:– verbose oder info wird LOW zugeordnet.– warn oder err wird MEDIUM zugeordnet.– crit wird HIGH zugeordnet.Der Rohwert wird auch security_result.severity_details zugeordnet. |
| source.collector_id | Nicht dem IDM-Objekt zugeordnet. | |
| source.customer_id | Nicht dem IDM-Objekt zugeordnet. | |
| Quelle | additional.fields[1].value.string_value | Direkt aus dem Feld Source im Rohlog zugeordnet, sofern vorhanden. |
| SourceModuleName | principal.resource.name | Direkt aus dem Feld SourceModuleName im Rohlog zugeordnet. |
| SourceModuleType | principal.resource.resource_subtype | Direkt aus dem Feld SourceModuleType im Rohlog zugeordnet. |
| SourceName | metadata.product_name | Direkt aus dem Feld SourceName im Rohlog zugeordnet. |
| start_time.nanos | Nicht dem IDM-Objekt zugeordnet. | |
| start_time.seconds | Nicht dem IDM-Objekt zugeordnet. | |
| TenantId | additional.fields[2].value.string_value | Direkt aus dem Feld TenantId im Rohlog zugeordnet, sofern vorhanden. |
| ThreadID | Nicht dem IDM-Objekt zugeordnet. | |
| timestamp.nanos | Nicht dem IDM-Objekt zugeordnet. | |
| timestamp.seconds | Nicht dem IDM-Objekt zugeordnet. | |
| Typ | Nicht dem IDM-Objekt zugeordnet. | |
| UserID | principal.user.windows_sid | Direkt aus dem Feld UserID im Rohlog zugeordnet. |
| Nutzername | principal.user.userid | Direkt aus dem Feld Username im Rohlog zugeordnet, wenn AccountName nicht vorhanden ist. |
| metadata.vendor_name | Legen Sie Microsoft fest. |
|
| metadata.event_type | Wird auf PROCESS_LAUNCH gesetzt, wenn EventID gleich 4104 ist und _Path in Message vorhanden ist, wenn EventID gleich 4103 ist oder wenn EventID in [800, 600, 400] liegt und powershell.ScriptName und powershell.HostApplication vorhanden sind. Wird auf PROCESS_TERMINATION gesetzt, wenn EventID gleich 403 ist und _HostApplication in Message vorhanden ist oder wenn EventID gleich 403 ist und NewEngineState gleich Stopped ist. Wird auf STATUS_UPDATE gesetzt, wenn EventID gleich 4104 ist und _Path nicht in Message vorhanden ist, oder wenn EventID gleich 4103 und no_value ist, script_name leer ist, script_name_not_found und host_application_not_found alle „true“ sind, oder wenn EventID gleich 53504 ist, oder wenn EventID gleich 40962 ist, oder wenn EventID gleich 40961 ist, oder wenn EventID leer ist und MessageSourceAddress vorhanden ist. Wird auf USER_UNCATEGORIZED gesetzt, wenn EventID leer ist und Username vorhanden ist. Wird auf GENERIC_EVENT gesetzt, wenn EventID leer ist und MessageSourceAddress und Username nicht vorhanden sind. |
|
| metadata.product_name | Wird auf Powershell gesetzt, wenn SourceName nicht vorhanden ist. |
|
| security_result.action | Legen Sie ALLOW fest. |
|
| security_result.detection_fields[0].key | Legen Sie Activity ID fest. |
|
| security_result.detection_fields[1].key | Legen Sie Sequence Number fest. |
|
| security_result.detection_fields[2].key | Legen Sie ExecutionThreadID fest. |
|
| additional.fields[0].key | Legen Sie Management Group Name fest. |
|
| additional.fields[1].key | Legen Sie Source fest. |
|
| additional.fields[2].key | Legen Sie TenantId fest. |
|
| principal.asset.platform_software.platform | Wird auf WINDOWS gesetzt, wenn platform_software win enthält, auf MAC, wenn platform_software mac enthält, auf LINUX, wenn platform_software lin enthält, und auf UNKNOWN_PLATFORM, wenn keine der Bedingungen zutrifft. |
|
| target.process.file.full_path | Wird auf _Path gesetzt, wenn EventID gleich 4104 ist und _Path in Message vorhanden ist. Wird auf file_path gesetzt, wenn EventID gleich 4104 ist und file_path in Message vorhanden ist. Wird auf _HostApplication gesetzt, wenn EventID gleich 403 ist und _HostApplication in Message vorhanden ist. |
Änderungen
2025-01-29
Optimierung:
- Die Zuordnung für
ScriptBlockTextwurde vonsecurity_result.detection_fieldszutarget.process.command_linegeändert.
2025-01-28
Optimierung:
gsubwurde hinzugefügt, um das neue Format von JSON-Logs zu unterstützen.
2025-01-09
Optimierung:
Payloadwurdesecurity_result.detection_fieldszugeordnet.Script Namewurdetarget.file.full_pathzugeordnet.
2024-11-28
Optimierung:
- Unterstützung für neues Muster von SYSLOG-Logs hinzugefügt.
2024-08-20
Optimierung:
gsubwurde hinzugefügt, um zusätzliche Zeichen zum Parsen von JSON-Logs zu entfernen.
2024-08-14
Optimierung:
Versionwurdemetadata.product_versionzugeordnet.SystemTimewurdemetadata.event_timestampzugeordnet.channel,keywords,MessageNumber,MessageTotalundScriptBlockIdwurdensecurity_result.detection_fieldszugeordnet.Pathwurdetarget.process.file.full_pathzugeordnet.
2024-07-24
Optimierung:
- Unterstützung für ein neues Muster von JSON-Logs hinzugefügt.
2024-07-20
Optimierung:
HostApplicationwurdeprincipal.applicationzugeordnet.HostIdwurdeprincipal.resource.product_object_idzugeordnet.System.Computerwurdeprincipal.hostnameundprincipal.asset.hostnamezugeordnet.System.Versionwurdemetadata.product_versionzugeordnet.System.ProcessIDwurdeprincipal.process.pidzugeordnet.System.ProviderNamewurdeprincipal.resource.attribute.labelszugeordnet.HostVersion,RunspaceId,PipelineId,EngineVersion,DetailSequence,DetailTotal,SequenceNumberundScriptNamewurdenadditional.fieldszugeordnet.System.EventRecordID,System.Task,System.Keywords,System.OpcodeundSystem.ThreadIDwurdensecurity.detection_fieldszugeordnet.
2023-12-05
Optimierung:
- Es wurde eine Zuordnung für nicht geparste JSON-Logs hinzugefügt.
Computerwurdeprincipal.hostnamezugeordnet.EventLevelNamewurdesecurity_result.severityzugeordnet.ManagementGroupName,Source,TenantIdwurdenadditional_fieldszugeordnet.RenderedDescriptionwurdesecurity_result.descriptionzugeordnet.UserNamewurdeprincipal.user.useridzugeordnet.
2023-09-14
Optimierung:
- Es wurden Zuordnungen für nicht geparste JSON-Logs hinzugefügt.
- „winlog.activity_id“ wurde „security_result.detection_fields“ zugeordnet.
- „winlog.api“ wurde „additional.fields“ zugeordnet.
- Die Felder „winlog.channel“ und „winlog.process.thread.id“ wurden dem Feld „security_result.about.resource.attribute.labels“ zugeordnet.
- „winlog.computer_name“ wurde „principal.hostname“ zugeordnet.
- „winlog.event_id“ wurde „metadata.product_event_type“ und „security_result.rule_name“ zugeordnet.
- „winlog.opcode“ wurde „metadata.description“ zugeordnet.
- „winlog.process.pid“ wurde „principal.process.pid“ zugeordnet.
- „winlog.provider_guid“ wurde „metadata.product_deployment_id“ zugeordnet.
- „winlog.provider_name“ wurde „metadata.product_name“ zugeordnet.
- „winlog.record_id“ wurde „metadata.product_log_id“ zugeordnet.
- „winlog.user.domain“ wurde „principal.administrative_domain“ zugeordnet.
- „winlog.user.identifier“ wurde „principal.user.windows_sid“ zugeordnet.
- „winlog.user.name“ wurde „principal.user.userid“ zugeordnet.
2023-07-05
Optimierung:
- Für „EventID = 403“ wurde „metadata.event_type“ auf „STATUS_UPDATE“ festgelegt, wenn der Wert für „HostApplication“ nicht vorhanden ist.
- Der Wert für „target.file.full_path“ wurde aus dem Log mithilfe eines Grok-Musters extrahiert, wenn „Path“ leer ist.
- Die Funktion „gsub“ wurde hinzugefügt, um „@timestamp“ in „EventTime“ umzubenennen.
2022-11-09
Optimierung:
- Das Feld „ProviderGuid“ ist „metadata.product_deployment_id“ zugeordnet.
- Das Feld „ExecutionProcessID“ ist „principal.process.pid“ zugeordnet.
- Das Feld „ProcessID“ oder „Process ID“ wird „principal.process.pid“ zugeordnet.
- Das Feld „SourceModuleType“ wird „principal.resource.resource_subtype“ zugeordnet.
- Das Feld „SourceModuleName“ ist „principal.resource.name“ zugeordnet.
- Das Feld „Machine“ ist „principal.asset.asset_id“ zugeordnet.
- Das Feld „MessageSourceAddress“ ist „principal.ip“ zugeordnet.
- Das Feld „Datei“ ist „target.process.file.full_path“ zugeordnet.
- Das Feld „Host Application“ (Hostanwendung) oder „Command“ (Befehl) wird „target.process.command_line“ zugeordnet.
- Das Feld „Output“ ist „security_result.detection_fields“ zugeordnet.
- Das Feld „Nachricht“ ist „security_result.description“ zugeordnet.
- Das Feld „ActivityID“ ist „security_result.detection_fields“ zugeordnet.
- Folgende Zuordnung wurde hinzugefügt, wenn EventID „4103“ ist:
- Das Feld „Host ID“ oder „ContextInfo_Host ID“ ist „target.asset.asset_id“ zugeordnet.
- Das Feld „Hostname“ oder „ContextInfo_Hostname“ wird „target.hostname“ zugeordnet.
- Das Feld „ContextInfo_Script Name“ ist „target.process.file.full_path“ zugeordnet.
- Das Feld „ContextInfo_Host Application“ wird „target.process.command_line“ zugeordnet.
- Das Feld „ContextInfo_Command Name“ ist „security_result.detection_fields“ zugeordnet.
- Das Feld „ContextInfo_Command Type“ wird „security_result.detection_fields“ zugeordnet.
- Das Feld „ContextInfo_Sequence Number“ oder „Sequence Number“ wird „security_result.detection_fields“ zugeordnet.
- Folgendes Mapping wurde hinzugefügt, wenn EventID „800“, „600“ oder „400“ ist:
- Das Feld „UserId“ wird „principal.user.userid“ zugeordnet.
- Das Feld „HostApplication“ ist „target.process.command_line“ zugeordnet.
- Das Feld „HostId“ wird „target.asset.asset_id“ zugeordnet.
- Das Feld „HostName“ ist „target.hostname“ zugeordnet.
- Das Feld „ScriptName“ ist „target.process.file.full_path“ zugeordnet.
- Das Feld „SequenceNumber“ ist „security_result.detection_fields“ zugeordnet.
2022-10-13
Fehlerkorrektur:
- Fehlerprotokolle wurden durch die folgenden Änderungen geparst.
on_error-Prüfungen für Felder hinzugefügt, die beim Parsen ohne Werte fehlgeschlagen sind. Felder wie „opcode“ und „Host Application“- Die neue Quelle „ContextInfo“ wurde für die KV-Analyse hinzugefügt, wenn „Message“ nicht in den Logs vorhanden ist.
- Optimierung:
- „event_type“ wurde von
GENERIC_EVENTinSTATUS_UPDATEgeändert.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten