Cisco Meraki ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Cisco Meraki ログを Google Security Operations に取り込む方法について説明します。
パーサーは、Cisco Meraki syslog と JSON 形式のログからフィールドを抽出します。grok や JSON 解析を使用してログ メッセージを処理し、これらの値を統合データモデル(UDM)にマッピングします。また、イベントのソースとタイプのデフォルトのメタデータ値も設定します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します
- Cisco Meraki ダッシュボードへの特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collector
サービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collector
サービスが [アクティブ(実行中)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'CISCO_MERAKI' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
udplog: UDP Syslog にはudplog、TCP Syslog にはtcplogを使用します。0.0.0.0: リッスンする IP アドレス(すべてのインターフェースでリッスンする場合は0.0.0.0)514: リッスンするポート番号(標準の syslog ポート)
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: 「顧客 ID を取得する」セクションの顧客 IDendpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
log_type: Chronicle に表示されるログタイプ(CISCO_MERAKI)
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押し、「services.msc」と入力して Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Cisco Meraki で Syslog 転送を構成する
https://dashboard.meraki.comで Cisco Meraki ダッシュボードにログインします。- ネットワーク プルダウンからターゲットの [ネットワーク] を選択します。
- [ネットワーク全体] > [全般] に移動します。
- [レポート] セクションに移動します。
- [Syslog servers] を見つけて、[Add a syslog server] をクリックします。
- 次の構成の詳細を指定します。
- サーバー IP: Bindplane エージェント ホストの IP アドレスを入力します。
- ポート: 「
514」と入力します。 - ロール: 転送するログタイプを選択します。
- フロー: ネットワーク フローデータ
- URL: URL アクセスログ
- セキュリティ イベント: IDS/IPS アラート
- アプライアンスのイベントログ: MX アプライアンスのイベント
- Air Marshal イベント: ワイヤレス脅威検出
- IDS アラート: 侵入検知システムのアラート
- [保存] をクリックします。
- Bindplane エージェントのログを確認して、syslog メッセージが送信されていることを確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| アクション | security_result.action | 値は大文字に変換されます。値が「deny」の場合、「BLOCK」に置き換えられます。sc_action に「allow」が含まれている場合、値は「ALLOW」に置き換えられます。それ以外の場合、判定に「block」が含まれていると、値は「BLOCK」に置き換えられます。それ以外の場合、認証が「成功」の場合は「ALLOW」に設定され、「失敗」の場合は「BLOCK」に設定されます。それ以外の場合、パターンが「1 all」、「deny all」、「Group Policy Deny」のいずれかの場合、「BLOCK」に設定されます。パターンが「allow all」、「Group Policy Allow」、「0 all」の場合、値は「ALLOW」に設定されます。それ以外の場合は、「UNKNOWN_ACTION」に設定されます。判定に「block」が含まれている場合、「BLOCK」に設定されます。 |
| adId | principal.user.user_display_name | JSON ログの adId フィールドから直接マッピングされます。 |
| エージェント | network.http.user_agent | アポストロフィは削除されます。エージェント フィールドから直接マッピングされます。parseduseragent フィルタを使用して network.http.parsed_user_agent にも変換されます。 |
| 手当 | network.session_id | aid フィールドから直接マッピングされます。 |
| appProtocol | network.application_protocol | 大文字に変換されます。appProtocol フィールドから直接マッピングされます。 |
| attr | additional.fields | キー「attr」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| authorization | security_result.action_details | JSON ログの authorization フィールドから直接マッピングされます。 |
| 帯域 | additional.fields | キー「band」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| bssids.bssid | principal.mac | 小文字に変換されている。principal.mac 配列に統合されます。 |
| bssids.detectedBy.device | intermediary.asset.asset_id | 「Device id: 」の形式で表示されます。 |
| bssids.detectedBy.rssi | intermediary.asset.product_object_id | 文字列に変換されました。 |
| チャネル | about.resource.attribute.labels | キー「Channel」で about.resource.attribute.labels 配列に Key-Value ペアとして追加されます。 |
| clientDescription | additional.fields | キー「clientDescription」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| clientId | additional.fields | キー「clientId」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| clientIp | principal.ip、principal.asset.ip | clientIp フィールドから直接マッピングされます。 |
| clientMac | principal.mac | 小文字に変換されている。JSON ログの clientMac フィールドから直接マッピングされます。 |
| client_ip | principal.ip、principal.asset.ip | client_ip フィールドから直接マッピングされます。 |
| client_mac | principal.mac | 小文字に変換されている。client_mac フィールドから直接マッピングされます。 |
| コード | additional.fields | キー「code」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| collection_time | metadata.event_timestamp | seconds フィールドと nanos フィールドが組み合わされてタイムスタンプが作成されます。 |
| 条件 | security_result.about.resource.attribute.labels | 改行、改行コード、タブはスペースに置き換えられ、特定の値が置き換えられます。変更された値は、キー「条件」で Key-Value ペアとして security_result.about.resource.attribute.labels 配列に追加されます。 |
| 意思決定 | security_result.action | 値が「blocked」の場合、「BLOCK」に設定されます。 |
| 降順 | metadata.description | desc フィールドから直接マッピングされます。 |
| 説明 | security_result.description | JSON ログの description フィールドから直接マッピングされます。 |
| DestAddress | target.ip、target.asset.ip | DestAddress フィールドから直接マッピングされます。 |
| DestPort | target.port | 整数に変換されます。DestPort フィールドから直接マッピングされます。 |
| deviceIp | target.ip | deviceIp フィールドから直接マッピングされます。 |
| deviceMac | target.mac | 小文字に変換されている。deviceMac フィールドから直接マッピングされます。 |
| deviceName | target.hostname、target.asset.hostname | JSON ログの deviceName フィールドから直接マッピングされます。 |
| deviceSerial | target.asset.hardware.serial_number | JSON ログの deviceSerial フィールドから直接マッピングされます。 |
| 方向 | network.direction | 特殊文字は削除され、値は network.direction にマッピングされます。 |
| DisabledPrivilegeList | target.user.attribute | 改行、改行コード、タブが置き換えられ、変更された値が JSON として解析され、target.user.attribute オブジェクトに統合されます。 |
| dport | target.port | 整数に変換されます。dport フィールドから直接マッピングされます。 |
| dst | target.ip、target.asset.ip | dst フィールドから直接マッピングされます。 |
| dstIp | target.ip、target.asset.ip | dstIp フィールドから直接マッピングされます。 |
| dstPort | target.port | 整数に変換されます。dstPort フィールドから直接マッピングされます。 |
| dvc | intermediary.hostname | dvc フィールドから直接マッピングされます。 |
| EnabledPrivilegeList | target.user.attribute | 改行、改行コード、タブが置き換えられ、変更された値が JSON として解析され、target.user.attribute オブジェクトに統合されます。 |
| eventData.aid | principal.asset_id | 「ASSET_ID:」という形式で指定します。 |
| eventData.client_ip | principal.ip、principal.asset.ip | JSON ログの eventData.client_ip フィールドから直接マッピングされます。 |
| eventData.client_mac | principal.mac | 小文字に変換されている。JSON ログの eventData.client_mac フィールドから直接マッピングされます。 |
| eventData.group | principal.group.group_display_name | JSON ログの eventData.group フィールドから直接マッピングされます。 |
| eventData.identity | principal.hostname | JSON ログの eventData.identity フィールドから直接マッピングされます。 |
| eventData.ip | principal.ip、principal.asset.ip | JSON ログの eventData.ip フィールドから直接マッピングされます。 |
| EventID | metadata.product_event_type、security_result.rule_name | 文字列に変換されました。metadata.product_event_type にマッピングされます。また、「EventID: 」形式の security_result.rule_name の作成にも使用されます。event_type と sec_action の決定に使用されます。 |
| eventSummary | security_result.summary、metadata.description | eventSummary フィールドから直接マッピングされます。一部のイベントの security_result.description でも使用されます。 |
| eventType | metadata.product_event_type | eventType フィールドから直接マッピングされます。適用する解析ロジックを決定するために使用されます。 |
| filename | principal.process.file.full_path | filename フィールドから直接マッピングされます。 |
| FilterId | target.resource.product_object_id | EventID 5447 の FilterId フィールドから直接マッピングされます。 |
| FilterName | target.resource.name | EventID 5447 の FilterName フィールドから直接マッピングされます。 |
| FilterRTID | security_result.detection_fields | キー「FilterRTID」で security_result.detection_fields 配列に Key-Value ペアとして追加されます。 |
| firstSeen | security_result.detection_fields | 文字列に変換されました。キー「firstSeen」で security_result.detection_fields 配列に Key-Value ペアとして追加されます。 |
| gatewayDeviceMac | target.mac | 小文字に変換されている。target.mac 配列に統合されます。 |
| グループ | additional.fields | キー「group」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| GroupMembership | target.user | 改行、改行コード、タブ、特殊文字は削除されます。変更された値は JSON として解析され、target.user オブジェクトに統合されます。 |
| ホスト名 | principal.hostname、principal.asset.hostname | Hostname フィールドから直接マッピングされます。 |
| ID | target.user.userid | ID フィールドから直接マッピングされます。 |
| instigator | additional.fields | キー「instigator」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| int_ip | intermediary.ip | int_ip フィールドから直接マッピングされます。 |
| ip_msg | principal.resource.attribute.labels | キー「IPs」で principal.resource.attribute.labels 配列に Key-Value ペアとして追加されます。 |
| is_8021x | additional.fields | キー「is_8021x」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| KeyName | target.resource.name | KeyName フィールドから直接マッピングされます。 |
| KeyFilePath | target.file.full_path | KeyFilePath フィールドから直接マッピングされます。 |
| lastSeen | security_result.detection_fields | 文字列に変換されました。キー「lastSeen」で security_result.detection_fields 配列に Key-Value ペアとして追加されます。 |
| last_known_client_ip | principal.ip、principal.asset.ip | last_known_client_ip フィールドから直接マッピングされます。 |
| LayerName | security_result.detection_fields | キー「Layer Name」で security_result.detection_fields 配列に Key-Value ペアとして追加されます。 |
| LayerRTID | security_result.detection_fields | キー「LayerRTID」で security_result.detection_fields 配列に Key-Value ペアとして追加されます。 |
| localIp | principal.ip、principal.asset.ip | localIp フィールドから直接マッピングされます。 |
| ログイン | principal.user.email_addresses | メールアドレス形式と一致する場合は、JSON ログのログイン フィールドから直接マッピングされます。 |
| LogonGuid | additional.fields | キー「LogonGuid」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| LogonType | extensions.auth.mechanism | 値に基づいて特定の認証メカニズムにマッピングされます。PreAuthType が存在する場合、LogonType がオーバーライドされます。値は次のようにマッピングされます。2 -> USERNAME_PASSWORD、3 -> NETWORK、4 -> BATCH、5 -> SERVICE、7 -> UNLOCK、8 -> NETWORK_CLEAR_TEXT、9 -> NEW_CREDENTIALS、10 -> REMOTE_INTERACTIVE、11 -> CACHED_INTERACTIVE、12 -> CACHED_REMOTE_INTERACTIVE、13 -> CACHED_UNLOCK、その他 -> MECHANISM_UNSPECIFIED。 |
| mac | principal.mac | 小文字に変換されている。principal.mac 配列に統合されます。 |
| MandatoryLabel | additional.fields | キー「MandatoryLabel」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| メッセージ | security_result.description、security_result.summary | AccessReason が存在する場合、Message は security_result.summary にマッピングされ、AccessReason は security_result.description にマッピングされます。それ以外の場合、Message は security_result.description にマッピングされます。 |
| method | network.http.method | メソッド フィールドから直接マッピングされます。 |
| msg | security_result.description | msg フィールドから直接マッピングされます。 |
| name | principal.user.user_display_name | JSON ログの name フィールドから直接マッピングされます。 |
| natsrcIp | principal.nat_ip | natsrcIp フィールドから直接マッピングされます。 |
| natsrcport | principal.nat_port | 整数に変換されます。natsrcport フィールドから直接マッピングされます。 |
| network_id | additional.fields | キー「Network ID」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| NewProcessId | target.process.pid | NewProcessId フィールドから直接マッピングされます。 |
| NewProcessName | target.process.file.full_path | NewProcessName フィールドから直接マッピングされます。 |
| NewSd | target.resource.attribute.labels | キー「New Security Descriptor」で target.resource.attribute.labels 配列に Key-Value ペアとして追加されます。 |
| occurredAt | metadata.event_timestamp | ISO8601 形式を使用してタイムスタンプとして解析されます。 |
| ObjectName | target.file.full_path、target.registry.registry_key、target.process.file.full_path、additional.fields | EventID が 4663 で、ObjectType が「Process」の場合、target.process.file.full_path にマッピングされます。ObjectType が「Key」の場合、target.registry.registry_key にマッピングされます。それ以外の場合は、target.file.full_path にマッピングされます。他のイベントの場合、キー「ObjectName」で Key-Value ペアとして additional.fields 配列に追加されます。 |
| ObjectType | additional.fields | キー「ObjectType」で additional.fields 配列に Key-Value ペアとして追加されます。event_type の特定に使用されます。 |
| OldSd | target.resource.attribute.labels | キー「Original Security Descriptor」で target.resource.attribute.labels 配列に Key-Value ペアとして追加されます。 |
| organizationId | principal.resource.id | JSON ログの organizationId フィールドから直接マッピングされます。 |
| ParentProcessName | target.process.parent_process.file.full_path | ParentProcessName フィールドから直接マッピングされます。 |
| パターン | security_result.description | security_result.description に直接マッピングされます。security_result.action の決定に使用されます。 |
| peer_ident | target.user.userid | peer_ident フィールドから直接マッピングされます。 |
| PreAuthType | extensions.auth.mechanism | 認証メカニズムが存在する場合に、そのメカニズムを特定するために使用されます。LogonType をオーバーライドします。 |
| principalIp | principal.ip、principal.asset.ip | principalIp フィールドから直接マッピングされます。 |
| principalMac | principal.mac | 小文字に変換されている。principal.mac 配列に統合されます。 |
| principalPort | principal.port | 整数に変換されます。principalPort フィールドから直接マッピングされます。 |
| prin_ip2 | principal.ip、principal.asset.ip | prin_ip2 フィールドから直接マッピングされます。 |
| prin_url | principal.url | prin_url フィールドから直接マッピングされます。 |
| priority | security_result.priority | 値に基づいて優先度レベルにマッピングされます。1 -> HIGH_PRIORITY、2 -> MEDIUM_PRIORITY、3 -> LOW_PRIORITY、その他 -> UNKNOWN_PRIORITY。 |
| ProcessID | principal.process.pid | 文字列に変換されました。ProcessID フィールドから直接マッピングされます。 |
| ProcessName | principal.process.file.full_path, target.process.file.full_path | EventID が 4689 の場合、target.process.file.full_path にマッピングされます。それ以外の場合は、principal.process.file.full_path にマッピングされます。 |
| prod_log_id | metadata.product_log_id | prod_log_id フィールドから直接マッピングされます。 |
| プロトコル | network.ip_protocol | 大文字に変換されます。数値の場合は、対応する IP プロトコル名に変換されます。「ICMP6」の場合は、「ICMP」に置き換えられます。プロトコル フィールドから直接マッピングされます。 |
| ProviderGuid | metadata.product_deployment_id | ProviderGuid フィールドから直接マッピングされます。 |
| クエリ | network.dns.questions.name | クエリ フィールドから直接マッピングされます。 |
| query_type | network.dns.questions.type | question.type に名前が変更され、network.dns.questions 配列に統合されます。DHCP クエリタイプに基づいて数値にマッピングされます。 |
| radio | additional.fields | キー「radio」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| reason | additional.fields | キー「reason」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| rec_bytes | network.received_bytes | 符号なし整数に変換されます。rec_bytes フィールドから直接マッピングされます。 |
| RecordNumber | metadata.product_log_id | 文字列に変換されました。RecordNumber フィールドから直接マッピングされます。 |
| RelativeTargetName | target.process.file.full_path | RelativeTargetName フィールドから直接マッピングされます。 |
| response_ip | principal.ip、principal.asset.ip | response_ip フィールドから直接マッピングされます。 |
| rssi | intermediary.asset.product_object_id | rssi フィールドから直接マッピングされます。 |
| sc_action | security_result.action_details | sc_action フィールドから直接マッピングされます。 |
| sec_action | security_result.action | security_result.action 配列に統合されます。 |
| server_ip | client_ip | client_ip フィールドに直接マッピングされます。 |
| 重大度 | security_result.severity | 値に基づいて重大度レベルにマッピングされます。「Info」-> INFORMATIONAL、「Error」-> ERROR、「Warning」-> MEDIUM、その他 -> UNKNOWN_SEVERITY。 |
| sha256 | target.file.sha256 | sha256 フィールドから直接マッピングされます。 |
| signature | additional.fields | キー「signature」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| SourceAddress | principal.ip、principal.asset.ip | SourceAddress フィールドから直接マッピングされます。 |
| SourceHandleId | src.resource.id | SourceHandleId フィールドから直接マッピングされます。 |
| SourceModuleName | observer.labels | キー「SourceModuleName」で observer.labels 配列に Key-Value ペアとして追加されます。 |
| SourceModuleType | observer.application | SourceModuleType フィールドから直接マッピングされます。 |
| SourcePort | principal.port | 整数に変換されます。SourcePort フィールドから直接マッピングされます。 |
| SourceProcessId | src.process.pid | SourceProcessId フィールドから直接マッピングされます。 |
| source_client_ip | client_ip | client_ip フィールドに直接マッピングされます。 |
| スポーツ | principal.port | 整数に変換されます。スポーツ フィールドから直接マッピングされます。 |
| src | principal.ip、principal.asset.ip | src フィールドから直接マッピングされます。 |
| ssid | network.session_id | JSON ログの ssid フィールドから直接マッピングされます。 |
| ssidName | additional.fields | キー「ssidName」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| state | additional.fields | キー「state」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| ステータス | additional.fields | キー「Status」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| status_code | network.http.response_code | 整数に変換されます。status_code フィールドから直接マッピングされます。 |
| SubjectDomainName | principal.administrative_domain | SubjectDomainName フィールドから直接マッピングされます。 |
| SubjectLogonId | principal.resource.attribute.labels | キー「SubjectLogonId」で principal.resource.attribute.labels 配列に Key-Value ペアとして追加されます。 |
| SubjectUserName | principal.user.userid | SubjectUserName フィールドから直接マッピングされます。 |
| SubjectUserSid | principal.user.windows_sid | SubjectUserSid フィールドから直接マッピングされます。 |
| targetHost | target.hostname、target.asset.hostname | 可能な場合は IP アドレスに変換されます。それ以外の場合は、解析してホスト名を抽出し、target.hostname と target.asset.hostname にマッピングされます。 |
| TargetHandleId | target.resource.id | TargetHandleId フィールドから直接マッピングされます。 |
| TargetLogonId | principal.resource.attribute.labels | キー「TargetLogonId」で principal.resource.attribute.labels 配列に Key-Value ペアとして追加されます(SubjectLogonId と異なる場合)。 |
| TargetProcessId | target.process.pid | TargetProcessId フィールドから直接マッピングされます。 |
| TargetUserName | target.user.userid | TargetUserName フィールドから直接マッピングされます。 |
| TargetUserSid | target.user.windows_sid | TargetUserSid フィールドから直接マッピングされます。 |
| タスク | additional.fields | 文字列に変換されました。キー「Task」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| timestamp | metadata.event_timestamp | 秒フィールドは、タイムスタンプの作成に使用されます。 |
| ts | metadata.event_timestamp | ts が空の場合、tsDate、tsTime、tsTZ を組み合わせて作成されます。「」が含まれている場合は、解析して整数値を抽出します。その後、さまざまな形式を使用してタイムスタンプとして解析されます。 |
| type | security_result.summary、metadata.product_event_type | JSON ログの type フィールドから直接マッピングされます。場合によっては、eventSummary や metadata.product_event_type としても使用されます。 |
| URL | target.url、principal.url | url フィールドから直接マッピングされます。 |
| url1 | target.url | url1 フィールドから直接マッピングされます。 |
| ユーザー | target.user.group_identifiers | target.user.group_identifiers 配列に統合されます。 |
| user_id | target.user.userid | user_id フィールドから直接マッピングされます。 |
| UserID | principal.user.windows_sid | UserID フィールドから直接マッピングされます。 |
| ユーザー名 | principal.user.userid | UserName フィールドから直接マッピングされます。 |
| user_agent | network.http.user_agent | user_agent フィールドから直接マッピングされます。 |
| userId | target.user.userid | userId フィールドから直接マッピングされます。 |
| vap | additional.fields | キー「vap」で additional.fields 配列に Key-Value ペアとして追加されます。 |
| VirtualAccount | security_result.about.labels | キー「VirtualAccount」で security_result.about.labels 配列に Key-Value ペアとして追加されます。 |
| wiredLastSeen | security_result.detection_fields | 文字列に変換されました。キー「wiredLastSeen」で security_result.detection_fields 配列に Key-Value ペアとして追加されます。 |
| wiredMacs | intermediary.mac | 小文字に変換されている。intermediary.mac 配列に統合されます。 |
| WorkstationName | principal.hostname、principal.asset.hostname | WorkstationName フィールドから直接マッピングされます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。