Mengumpulkan log Cisco Meraki

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Cisco Meraki ke Google Security Operations menggunakan Bindplane.

Parser mengekstrak kolom dari log yang diformat JSON dan syslog Cisco Meraki. Proses ini menggunakan grok dan/atau parsing JSON untuk memproses pesan log, lalu memetakan nilai ini ke Model Data Terpadu (UDM). Layanan ini juga menetapkan nilai metadata default untuk sumber dan jenis peristiwa.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke Dasbor Cisco Meraki

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Tunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
```
sc query observiq-otel-collector
```

Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Tunggu hingga penginstalan selesai.

Verifikasi penginstalan dengan menjalankan:

sudo systemctl status observiq-otel-collector

Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

Ganti seluruh konten config.yaml dengan konfigurasi berikut:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'CISCO_MERAKI'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Parameter konfigurasi

Ganti placeholder berikut:
- Konfigurasi penerima:
  - udplog: Gunakan udplog untuk syslog UDP atau tcplog untuk syslog TCP
  - 0.0.0.0: Alamat IP yang akan didengarkan (0.0.0.0 untuk mendengarkan semua antarmuka)
  - 514: Nomor port yang akan diproses (port syslog standar)
- Konfigurasi eksportir:
  - creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID: ID Pelanggan dari bagian Dapatkan ID pelanggan
  - endpoint: URL endpoint regional:
    - Amerika Serikat: malachiteingestion-pa.googleapis.com
    - Eropa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
  - log_type: Jenis log persis seperti yang muncul di Chronicle (CISCO_MERAKI)

Simpan file konfigurasi

Setelah mengedit, simpan file:
- Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
- Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

sudo systemctl restart observiq-otel-collector

Pastikan layanan sedang berjalan:

  sudo systemctl status observiq-otel-collector

Periksa log untuk mengetahui error:

  sudo journalctl -u observiq-otel-collector -f

Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
- Command Prompt atau PowerShell sebagai administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Konsol layanan:
  1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
  2. Temukan observIQ OpenTelemetry Collector.
  3. Klik kanan, lalu pilih Mulai Ulang.
  4. Pastikan layanan sedang berjalan:
```
sc query observiq-otel-collector
```
  5. Periksa log untuk mengetahui error:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Mengonfigurasi penerusan Syslog di Cisco Meraki

Login ke Cisco Meraki Dashboard di https://dashboard.meraki.com.
Pilih Jaringan target dari dropdown jaringan.
Buka Di seluruh jaringan > Umum.
Buka bagian Pelaporan.
Cari Server syslog, lalu klik Tambahkan server syslog.
Berikan detail konfigurasi berikut:
- IP Server: Masukkan alamat IP host agen Bindplane.
- Port: Masukkan 514.
- Peran: Pilih jenis log yang akan diteruskan:
  - Aliran: Data aliran jaringan
  - URL: Log akses URL
  - Peristiwa keamanan: Pemberitahuan IDS/IPS
  - Log peristiwa perangkat: Peristiwa perangkat MX
  - Peristiwa Air Marshal: Deteksi ancaman nirkabel
  - Peringatan IDS: Peringatan sistem deteksi penyusupan
Klik Simpan.
Pastikan pesan syslog dikirim dengan memeriksa log agen Bindplane.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
tindakan	security_result.action	Nilai dikonversi menjadi huruf besar. Jika nilainya adalah "deny", nilai tersebut akan diganti dengan "BLOCK". Jika sc_action berisi "allow", nilai akan diganti dengan "ALLOW". Jika tidak, jika keputusan berisi "block", nilai akan diganti dengan "BLOCK". Jika tidak, jika otorisasi "berhasil", setel ke "IZINKAN", dan jika "gagal", setel ke "BLOKIR". Jika tidak, jika pola adalah "1 all", "deny all", atau "Group Policy Deny", setel ke "BLOCK". Jika pola adalah "izinkan semua", "Izinkan Kebijakan Grup", atau "0 semua", setel ke "IZINKAN". Jika tidak, nilai ini ditetapkan ke "UNKNOWN_ACTION". Jika keputusan berisi "block", setel ke "BLOCK".
adId	principal.user.user_display_name	Dipetakan langsung dari kolom adId dalam log JSON.
agen	network.http.user_agent	Tanda petik dihapus. Dipetakan langsung dari kolom agen. Juga dikonversi ke network.http.parsed_user_agent menggunakan filter parseduseragent.
bantuan	network.session_id	Dipetakan langsung dari kolom aid.
appProtocol	network.application_protocol	Dikonversi menjadi huruf besar. Dipetakan langsung dari kolom appProtocol.
attr	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "attr".
otorisasi	security_result.action_details	Dipetakan langsung dari kolom otorisasi dalam log JSON.
tali smartwatch	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "band".
bssids.bssid	principal.mac	Dikonversi menjadi huruf kecil. Digabungkan ke array principal.mac.
bssids.detectedBy.device	intermediary.asset.asset_id	Diformat sebagai "ID perangkat: ".
bssids.detectedBy.rssi	intermediary.asset.product_object_id	Dikonversi menjadi string.
Saluran	about.resource.attribute.labels	Ditambahkan sebagai pasangan nilai kunci ke array about.resource.attribute.labels dengan kunci "Channel".
clientDescription	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "clientDescription".
clientId	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "clientId".
clientIp	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom clientIp.
clientMac	principal.mac	Dikonversi menjadi huruf kecil. Dipetakan langsung dari kolom clientMac dalam log JSON.
client_ip	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom client_ip.
client_mac	principal.mac	Dikonversi menjadi huruf kecil. Dipetakan langsung dari kolom client_mac.
kode	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "code".
collection_time	metadata.event_timestamp	Kolom detik dan nanos digabungkan untuk membuat stempel waktu.
Kondisi	security_result.about.resource.attribute.labels	Carriage return, baris baru, dan tab diganti dengan spasi dan nilai tertentu diganti. Nilai yang diubah ditambahkan sebagai pasangan nilai kunci ke array security_result.about.resource.attribute.labels dengan kunci "Conditions".
keputusan	security_result.action	Jika nilainya "blocked", maka akan ditetapkan ke "BLOCK".
menurun	metadata.description	Dipetakan langsung dari kolom desc.
deskripsi	security_result.description	Dipetakan langsung dari kolom deskripsi dalam log JSON.
DestAddress	target.ip, target.asset.ip	Dipetakan langsung dari kolom DestAddress.
DestPort	target.port	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom DestPort.
deviceIp	target.ip	Dipetakan langsung dari kolom deviceIp.
deviceMac	target.mac	Dikonversi menjadi huruf kecil. Dipetakan langsung dari kolom deviceMac.
deviceName	target.hostname, target.asset.hostname	Dipetakan langsung dari kolom deviceName dalam log JSON.
deviceSerial	target.asset.hardware.serial_number	Dipetakan langsung dari kolom deviceSerial dalam log JSON.
Arah	network.direction	Karakter khusus dihapus, dan nilai dipetakan ke network.direction.
DisabledPrivilegeList	target.user.attribute	Carriage return, baris baru, dan tab diganti, dan nilai yang diubah diurai sebagai JSON dan digabungkan ke dalam objek target.user.attribute.
dport	target.port	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom dport.
dst	target.ip, target.asset.ip	Dipetakan langsung dari kolom dst.
dstIp	target.ip, target.asset.ip	Dipetakan langsung dari kolom dstIp.
dstPort	target.port	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom dstPort.
dvc	intermediary.hostname	Dipetakan langsung dari kolom dvc.
EnabledPrivilegeList	target.user.attribute	Carriage return, baris baru, dan tab diganti, dan nilai yang diubah diurai sebagai JSON dan digabungkan ke dalam objek target.user.attribute.
eventData.aid	principal.asset_id	Diformat sebagai "ASSET_ID:".
eventData.client_ip	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom eventData.client_ip di log JSON.
eventData.client_mac	principal.mac	Dikonversi menjadi huruf kecil. Dipetakan langsung dari kolom eventData.client_mac dalam log JSON.
eventData.group	principal.group.group_display_name	Dipetakan langsung dari kolom eventData.group dalam log JSON.
eventData.identity	principal.hostname	Dipetakan langsung dari kolom eventData.identity di log JSON.
eventData.ip	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom eventData.ip di log JSON.
EventID	metadata.product_event_type, security_result.rule_name	Dikonversi menjadi string. Dipetakan ke metadata.product_event_type. Juga digunakan untuk membuat security_result.rule_name dalam format "EventID: ". Digunakan untuk menentukan event_type dan sec_action.
eventSummary	security_result.summary, metadata.description	Dipetakan langsung dari kolom eventSummary. Juga digunakan di security_result.description untuk beberapa peristiwa.
eventType	metadata.product_event_type	Dipetakan langsung dari kolom eventType. Digunakan untuk menentukan logika parsing yang akan diterapkan.
filename	principal.process.file.full_path	Dipetakan langsung dari kolom nama file.
FilterId	target.resource.product_object_id	Dipetakan langsung dari kolom FilterId untuk EventID 5447.
FilterName	target.resource.name	Dipetakan langsung dari kolom FilterName untuk EventID 5447.
FilterRTID	security_result.detection_fields	Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields dengan kunci "FilterRTID".
firstSeen	security_result.detection_fields	Dikonversi menjadi string. Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields dengan kunci "firstSeen".
gatewayDeviceMac	target.mac	Dikonversi menjadi huruf kecil. Digabungkan ke array target.mac.
grup	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "group".
GroupMembership	target.user	Enter, baris baru, tab, dan karakter khusus dihapus. Nilai yang diubah diuraikan sebagai JSON dan digabungkan ke dalam objek target.user.
Hostname	principal.hostname, principal.asset.hostname	Dipetakan langsung dari kolom Nama host.
identitas	target.user.userid	Dipetakan langsung dari kolom identitas.
provokator	additional.fields	Ditambahkan sebagai key-value pair ke array additional.fields dengan kunci "instigator".
int_ip	intermediary.ip	Dipetakan langsung dari kolom int_ip.
ip_msg	principal.resource.attribute.labels	Ditambahkan sebagai key-value pair ke array principal.resource.attribute.labels dengan kunci "IPs".
is_8021x	additional.fields	Ditambahkan sebagai key-value pair ke array additional.fields dengan kunci "is_8021x".
KeyName	target.resource.name	Dipetakan langsung dari kolom KeyName.
KeyFilePath	target.file.full_path	Dipetakan langsung dari kolom KeyFilePath.
lastSeen	security_result.detection_fields	Dikonversi menjadi string. Ditambahkan sebagai key-value pair ke array security_result.detection_fields dengan kunci "lastSeen".
last_known_client_ip	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom last_known_client_ip.
LayerName	security_result.detection_fields	Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields dengan kunci "Layer Name".
LayerRTID	security_result.detection_fields	Ditambahkan sebagai key-value pair ke array security_result.detection_fields dengan kunci "LayerRTID".
localIp	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom localIp.
login	principal.user.email_addresses	Dipetakan langsung dari kolom login di log JSON jika cocok dengan format alamat email.
LogonGuid	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "LogonGuid".
LogonType	extensions.auth.mechanism	Dipetakan ke mekanisme autentikasi tertentu berdasarkan nilainya. Jika PreAuthType ada, PreAuthType akan menggantikan LogonType. Nilai dipetakan sebagai berikut: 2 -> USERNAME_PASSWORD, 3 -> NETWORK, 4 -> BATCH, 5 -> SERVICE, 7 -> UNLOCK, 8 -> NETWORK_CLEAR_TEXT, 9 -> NEW_CREDENTIALS, 10 -> REMOTE_INTERACTIVE, 11 -> CACHED_INTERACTIVE, 12 -> CACHED_REMOTE_INTERACTIVE, 13 -> CACHED_UNLOCK, other -> MECHANISM_UNSPECIFIED.
mac	principal.mac	Dikonversi menjadi huruf kecil. Digabungkan ke array principal.mac.
MandatoryLabel	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "MandatoryLabel".
Pesan	security_result.description, security_result.summary	Jika AccessReason ada, Message dipetakan ke security_result.summary dan AccessReason dipetakan ke security_result.description. Jika tidak, Message dipetakan ke security_result.description.
metode	network.http.method	Dipetakan langsung dari kolom metode.
msg	security_result.description	Dipetakan langsung dari kolom msg.
nama	principal.user.user_display_name	Dipetakan langsung dari kolom nama dalam log JSON.
natsrcIp	principal.nat_ip	Dipetakan langsung dari kolom natsrcIp.
natsrcport	principal.nat_port	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom natsrcport.
network_id	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "Network ID".
NewProcessId	target.process.pid	Dipetakan langsung dari kolom NewProcessId.
NewProcessName	target.process.file.full_path	Dipetakan langsung dari kolom NewProcessName.
NewSd	target.resource.attribute.labels	Ditambahkan sebagai pasangan nilai kunci ke array target.resource.attribute.labels dengan kunci "New Security Descriptor".
occurredAt	metadata.event_timestamp	Diuraikan sebagai stempel waktu menggunakan format ISO8601.
ObjectName	target.file.full_path, target.registry.registry_key, target.process.file.full_path, additional.fields	Jika EventID adalah 4663 dan ObjectType adalah "Process", maka akan dipetakan ke target.process.file.full_path. Jika ObjectType adalah "Key", maka dipetakan ke target.registry.registry_key. Jika tidak, kolom ini dipetakan ke target.file.full_path. Untuk peristiwa lain, peristiwa ini ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "ObjectName".
ObjectType	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "ObjectType". Digunakan untuk menentukan event_type.
OldSd	target.resource.attribute.labels	Ditambahkan sebagai key-value pair ke array target.resource.attribute.labels dengan kunci "Original Security Descriptor".
organizationId	principal.resource.id	Dipetakan langsung dari kolom organizationId dalam log JSON.
ParentProcessName	target.process.parent_process.file.full_path	Dipetakan langsung dari kolom ParentProcessName.
pattern	security_result.description	Dipetakan langsung ke security_result.description. Digunakan untuk menentukan security_result.action.
peer_ident	target.user.userid	Dipetakan langsung dari kolom peer_ident.
PreAuthType	extensions.auth.mechanism	Digunakan untuk menentukan mekanisme autentikasi jika ada. Menggantikan LogonType.
principalIp	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom principalIp.
principalMac	principal.mac	Dikonversi menjadi huruf kecil. Digabungkan ke array principal.mac.
principalPort	principal.port	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom principalPort.
prin_ip2	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom prin_ip2.
prin_url	principal.url	Dipetakan langsung dari kolom prin_url.
priority	security_result.priority	Dipetakan ke tingkat prioritas berdasarkan nilainya: 1 -> HIGH_PRIORITY, 2 -> MEDIUM_PRIORITY, 3 -> LOW_PRIORITY, lainnya -> UNKNOWN_PRIORITY.
ProcessID	principal.process.pid	Dikonversi menjadi string. Dipetakan langsung dari kolom ProcessID.
ProcessName	principal.process.file.full_path, target.process.file.full_path	Jika EventID adalah 4689, maka dipetakan ke target.process.file.full_path. Jika tidak, kolom ini dipetakan ke principal.process.file.full_path.
prod_log_id	metadata.product_log_id	Dipetakan langsung dari kolom prod_log_id.
protokol	network.ip_protocol	Dikonversi menjadi huruf besar. Jika berupa angka, angka tersebut akan dikonversi menjadi nama protokol IP yang sesuai. Jika "ICMP6", diganti dengan "ICMP". Dipetakan langsung dari kolom protokol.
ProviderGuid	metadata.product_deployment_id	Dipetakan langsung dari kolom ProviderGuid.
query	network.dns.questions.name	Dipetakan langsung dari kolom kueri.
query_type	network.dns.questions.type	Diganti namanya menjadi question.type dan digabungkan ke dalam array network.dns.questions. Dipetakan ke nilai numerik berdasarkan jenis kueri DHCP.
radio	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "radio".
alasan	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "reason".
rec_bytes	network.received_bytes	Dikonversi menjadi bilangan bulat yang tidak bertanda tangan. Dipetakan langsung dari kolom rec_bytes.
RecordNumber	metadata.product_log_id	Dikonversi menjadi string. Dipetakan langsung dari kolom RecordNumber.
RelativeTargetName	target.process.file.full_path	Dipetakan langsung dari kolom RelativeTargetName.
response_ip	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom response_ip.
rssi	intermediary.asset.product_object_id	Dipetakan langsung dari kolom rssi.
sc_action	security_result.action_details	Dipetakan langsung dari kolom sc_action.
sec_action	security_result.action	Digabungkan ke dalam array security_result.action.
server_ip	client_ip	Dipetakan langsung ke kolom client_ip.
Keparahan	security_result.severity	Dipetakan ke tingkat keparahan berdasarkan nilainya: "Info" -> INFORMASI, "Error" -> ERROR, "Peringatan" -> SEDANG, lainnya -> UNKNOWN_SEVERITY.
sha256	target.file.sha256	Dipetakan langsung dari kolom sha256.
tanda tangan	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "signature".
SourceAddress	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom SourceAddress.
SourceHandleId	src.resource.id	Dipetakan langsung dari kolom SourceHandleId.
SourceModuleName	observer.labels	Ditambahkan sebagai key-value pair ke array observer.labels dengan kunci "SourceModuleName".
SourceModuleType	observer.application	Dipetakan langsung dari kolom SourceModuleType.
SourcePort	principal.port	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom SourcePort.
SourceProcessId	src.process.pid	Dipetakan langsung dari kolom SourceProcessId.
source_client_ip	client_ip	Dipetakan langsung ke kolom client_ip.
olahraga	principal.port	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom olahraga.
src	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom src.
ssid	network.session_id	Dipetakan langsung dari kolom ssid dalam log JSON.
ssidName	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "ssidName".
state	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "state".
Status	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "Status".
status_code	network.http.response_code	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom status_code.
SubjectDomainName	principal.administrative_domain	Dipetakan langsung dari kolom SubjectDomainName.
SubjectLogonId	principal.resource.attribute.labels	Ditambahkan sebagai pasangan nilai kunci ke array principal.resource.attribute.labels dengan kunci "SubjectLogonId".
SubjectUserName	principal.user.userid	Dipetakan langsung dari kolom SubjectUserName.
SubjectUserSid	principal.user.windows_sid	Dipetakan langsung dari kolom SubjectUserSid.
targetHost	target.hostname, target.asset.hostname	Dikonversi menjadi alamat IP jika memungkinkan. Jika tidak, diuraikan untuk mengekstrak nama host dan dipetakan ke target.hostname dan target.asset.hostname.
TargetHandleId	target.resource.id	Dipetakan langsung dari kolom TargetHandleId.
TargetLogonId	principal.resource.attribute.labels	Ditambahkan sebagai pasangan nilai kunci ke array principal.resource.attribute.labels dengan kunci "TargetLogonId" jika berbeda dari SubjectLogonId.
TargetProcessId	target.process.pid	Dipetakan langsung dari kolom TargetProcessId.
TargetUserName	target.user.userid	Dipetakan langsung dari kolom TargetUserName.
TargetUserSid	target.user.windows_sid	Dipetakan langsung dari kolom TargetUserSid.
Tugas	additional.fields	Dikonversi menjadi string. Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "Task".
timestamp	metadata.event_timestamp	Kolom detik digunakan untuk membuat stempel waktu.
ts	metadata.event_timestamp	Jika ts kosong, ts dibuat dengan menggabungkan tsDate, tsTime, dan tsTZ. Jika berisi "", string tersebut akan diuraikan untuk mengekstrak nilai bilangan bulat. Kemudian, data diuraikan sebagai stempel waktu menggunakan berbagai format.
jenis	security_result.summary, metadata.product_event_type	Dipetakan langsung dari kolom jenis dalam log JSON. Juga digunakan sebagai eventSummary dan metadata.product_event_type dalam beberapa kasus.
url	target.url, principal.url	Dipetakan langsung dari kolom URL.
url1	target.url	Dipetakan langsung dari kolom url1.
pengguna	target.user.group_identifiers	Digabungkan ke dalam array target.user.group_identifiers.
user_id	target.user.userid	Dipetakan langsung dari kolom user_id.
UserID	principal.user.windows_sid	Dipetakan langsung dari kolom UserID.
NamaPengguna	principal.user.userid	Dipetakan langsung dari kolom UserName.
user_agent	network.http.user_agent	Dipetakan langsung dari kolom user_agent.
userId	target.user.userid	Dipetakan langsung dari kolom userId.
vap	additional.fields	Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "vap".
VirtualAccount	security_result.about.labels	Ditambahkan sebagai pasangan nilai kunci ke array security_result.about.labels dengan kunci "VirtualAccount".
wiredLastSeen	security_result.detection_fields	Dikonversi menjadi string. Ditambahkan sebagai key-value pair ke array security_result.detection_fields dengan kunci "wiredLastSeen".
wiredMacs	intermediary.mac	Dikonversi menjadi huruf kecil. Digabungkan ke array intermediary.mac.
WorkstationName	principal.hostname, principal.asset.hostname	Dipetakan langsung dari kolom WorkstationName.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.