« Proofpoint On Demand Qualys 漏洞管理、检测和响应 (VMDR) »
Elastic 文档 Elastic 集成

Pulse Connect Secure 集成

编辑

Pulse Connect Secure 集成

编辑

版本

2.4.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

社区

此集成适用于 Pulse Connect Secure

日志

编辑
示例

log 的示例事件如下所示

{
    "@timestamp": "2021-10-19T09:10:35.000+02:00",
    "agent": {
        "ephemeral_id": "59d9a27c-2780-41a3-b336-00bff722f3ec",
        "id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "client": {
        "address": "89.160.20.156",
        "as": {
            "number": 29518,
            "organization": {
                "name": "Bredband2 AB"
            }
        },
        "geo": {
            "city_name": "Linköping",
            "continent_name": "Europe",
            "country_iso_code": "SE",
            "country_name": "Sweden",
            "location": {
                "lat": 58.4167,
                "lon": 15.6167
            },
            "region_iso_code": "SE-E",
            "region_name": "Östergötland County"
        },
        "ip": "89.160.20.156"
    },
    "data_stream": {
        "dataset": "pulse_connect_secure.log",
        "namespace": "47711",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
        "snapshot": false,
        "version": "8.13.0"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "network"
        ],
        "created": "2021-10-19T09:10:35.000+02:00",
        "dataset": "pulse_connect_secure.log",
        "ingested": "2024-06-12T03:21:05Z",
        "kind": "event",
        "original": "Oct 19 09:10:35 pcs-node1 1 2021-10-19T09:10:35+02:00 10.5.2.3 PulseSecure: - - - 2021-10-19 09:10:35 - pcs-node1 - [89.160.20.156] user.name(REALM)[REALM_ROLES] - Agent login succeeded for user.name/REALM (session:sid74fa8e00ca601280318287f67dfaee7cc6da40db0be6ac75) from 89.160.20.156 with Pulse-Secure/9.1.13.11723 (Windows 10) Pulse/9.1.13.11723.",
        "outcome": "success",
        "timezone": "+02:00"
    },
    "host": {
        "hostname": "pcs-node1"
    },
    "input": {
        "type": "udp"
    },
    "log": {
        "source": {
            "address": "172.19.0.5:42415"
        }
    },
    "message": "Agent login succeeded for user.name/REALM (session:sid74fa8e00ca601280318287f67dfaee7cc6da40db0be6ac75) from 89.160.20.156 with Pulse-Secure/9.1.13.11723 (Windows 10) Pulse/9.1.13.11723.",
    "observer": {
        "ip": [
            "10.5.2.3"
        ],
        "name": "pcs-node1",
        "product": "Pulse Secure Connect",
        "type": "vpn",
        "vendor": "Pulse Secure"
    },
    "pulse_secure": {
        "realm": "REALM",
        "role": "REALM_ROLES",
        "session": {
            "id": "sid74fa8e00ca601280318287f67dfaee7cc6da40db0be6ac75"
        }
    },
    "source": {
        "address": "89.160.20.156",
        "as": {
            "number": 29518,
            "organization": {
                "name": "Bredband2 AB"
            }
        },
        "geo": {
            "city_name": "Linköping",
            "continent_name": "Europe",
            "country_iso_code": "SE",
            "country_name": "Sweden",
            "location": {
                "lat": 58.4167,
                "lon": 15.6167
            },
            "region_iso_code": "SE-E",
            "region_name": "Östergötland County"
        },
        "ip": "89.160.20.156"
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "pulse_connect_secure-log"
    ],
    "user": {
        "name": "user.name"
    },
    "user_agent": {
        "device": {
            "name": "Other"
        },
        "name": "Other",
        "original": "Pulse-Secure/9.1.13.11723 (Windows 10) Pulse/9.1.13.11723",
        "os": {
            "full": "Windows 10",
            "name": "Windows",
            "version": "10"
        }
    }
}
导出的字段
字段 描述 类型

@timestamp

事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。

日期

cloud.image.id

云实例的镜像 ID。

关键字

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

event.dataset

事件数据集

常量关键字

event.module

事件模块

常量关键字

host.containerized

主机是否为容器。

布尔值

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代号(如果有)。

关键字

input.type

输入类型

关键字

log.flags

日志文件的标志。

关键字

log.offset

日志偏移量

长整型

log.source.address

从中读取/发送日志事件的源地址。

关键字

pulse_secure.realm

测试

关键字

pulse_secure.role

测试

关键字

pulse_secure.session.id

测试

关键字

pulse_secure.session.id_short

关键字

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

2.4.0

增强 (查看拉取请求)
不要在主提取管道中删除 event.original

8.13.0 或更高版本

2.3.0

增强 (查看拉取请求)
将 "preserve_original_event" 标签添加到 event.kind 设置为 "pipeline_error" 的文档中。

8.13.0 或更高版本

2.2.1

Bug 修复 (查看拉取请求)
在引用提取管道中的变量时,使用三重大括号 Mustache 模板。

8.13.0 或更高版本

2.2.0

增强 (查看拉取请求)
允许域名分隔符包含额外的反斜杠字符。

8.13.0 或更高版本

2.1.0

增强 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板中多余的 ECS 字段。

8.13.0 或更高版本

2.0.1

Bug 修复 (查看拉取请求)
修复示例事件。

7.16.0 或更高版本
8.0.0 或更高版本

2.0.0

增强 (查看拉取请求)
使 event.categoryevent.type 字段符合 ECS 字段定义。

7.16.0 或更高版本
8.0.0 或更高版本

1.19.1

Bug 修复 (查看拉取请求)
修复提取管道警告

7.16.0 或更高版本
8.0.0 或更高版本

1.19.0

增强 (查看拉取请求)
将清单格式版本更新为 v3.0.3。

7.16.0 或更高版本
8.0.0 或更高版本

1.18.3

Bug 修复 (查看拉取请求)
修复重复的会话字段

7.16.0 或更高版本
8.0.0 或更高版本

1.18.2

增强 (查看拉取请求)
更改了所有者

7.16.0 或更高版本
8.0.0 或更高版本

1.18.1

Bug 修复 (查看拉取请求)
处理 vpn 日志中的会话令牌

7.16.0 或更高版本
8.0.0 或更高版本

1.18.0

增强 (查看拉取请求)
ECS 版本更新为 8.11.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.17.0

增强 (查看拉取请求)
改进 event.original 检查,以避免在设置时出现错误。

7.16.0 或更高版本
8.0.0 或更高版本

1.16.0

增强 (查看拉取请求)
设置 community 所有者类型。

7.16.0 或更高版本
8.0.0 或更高版本

1.15.0

增强 (查看拉取请求)
ECS 版本更新为 8.10.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.14.0

增强 (查看拉取请求)
程序包清单中的 format_version 从 2.11.0 更改为 3.0.0。从程序包清单中删除了点分隔的 YAML 键。向程序包清单添加了 owner.type: elastic

7.16.0 或更高版本
8.0.0 或更高版本

1.13.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便集成的仪表板和已保存的搜索标记为“安全解决方案”,并显示在安全解决方案 UI 中。

7.16.0 或更高版本
8.0.0 或更高版本

1.12.0

增强 (查看拉取请求)
将 package-spec 更新为 2.9.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.11.0

增强 (查看拉取请求)
将程序包更新到 ECS 8.9.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.10.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

7.16.0 或更高版本
8.0.0 或更高版本

1.9.0

增强 (查看拉取请求)
将程序包更新到 ECS 8.8.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.8.0

增强 (查看拉取请求)
允许用户定义的 TCP 选项。

7.16.0 或更高版本
8.0.0 或更高版本

1.7.0

增强 (查看拉取请求)
将程序包更新到 ECS 8.7.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.6.0

增强 (查看拉取请求)
处理 SAML 事件的用户域。

7.16.0 或更高版本
8.0.0 或更高版本

1.5.1

增强 (查看拉取请求)
添加了类别和/或子类别。

7.16.0 或更高版本
8.0.0 或更高版本

1.5.0

增强 (查看拉取请求)
将程序包更新到 ECS 8.6.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
udp_options 添加到 UDP 输入。

7.16.0 或更高版本
8.0.0 或更高版本

1.3.1

Bug 修复 (查看拉取请求)
删除重复字段。

7.16.0 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
将程序包更新到 ECS 8.5.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.2.2

增强 (查看拉取请求)
使用 ECS geo.location 定义。

7.16.0 或更高版本
8.0.0 或更高版本

1.2.1

Bug 修复 (查看拉取请求)
修复 grok 模式中的小问题

7.16.0 或更高版本
8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
将程序包更新到 ECS 8.4.0

7.16.0 或更高版本
8.0.0 或更高版本

1.1.0

增强 (查看拉取请求)
将程序包更新到 ECS 8.3.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.0.1

Bug 修复 (查看拉取请求)
添加 event.create 的映射

7.16.0 或更高版本
8.0.0 或更高版本

1.0.0

增强 (查看拉取请求)
使其 GA

7.16.0 或更高版本
8.0.0 或更高版本

0.3.0

增强 (查看拉取请求)
更新到 ECS 8.2

0.2.1

增强 (查看拉取请求)
添加多字段文档

0.2.0

增强 (查看拉取请求)
添加对解析 syslog 优先级值的支持

0.1.0

增强 (查看拉取请求)
更新至 ECS 8.0

0.0.2

缺陷修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

0.0.1

增强 (查看拉取请求)
初始版本

« Proofpoint On Demand Qualys 漏洞管理、检测和响应 (VMDR) »