收集 Cisco Meraki 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Cisco Meraki 記錄擷取至 Google Security Operations。

剖析器會從 Cisco Meraki 系統記錄和 JSON 格式記錄中擷取欄位。這項功能會使用 grok 和/或 JSON 剖析來處理記錄訊息，然後將這些值對應至統合式資料模型 (UDM)。此外，也會為事件來源和類型設定預設中繼資料值。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Cisco Meraki 資訊主頁的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令來驗證安裝：
```
sc query observiq-otel-collector
```

服務應顯示為「RUNNING」(執行中)。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。

執行下列指令來驗證安裝：

sudo systemctl status observiq-otel-collector

服務應顯示為啟用 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'CISCO_MERAKI'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

設定參數

替換下列預留位置：
- 接收器設定：
  - udplog：使用 udplog 進行 UDP 系統記錄，或使用 tcplog 進行 TCP 系統記錄
  - 0.0.0.0：要接聽的 IP 位址 (0.0.0.0 可接聽所有介面)
  - 514：要接聽的通訊埠號碼 (標準系統記錄通訊埠)
- 匯出工具設定：
  - creds_file_path：擷取驗證檔案的完整路徑：
    - Linux：/etc/bindplane-agent/ingestion-auth.json
    - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID：從「取得客戶 ID」一節取得的客戶 ID
  - endpoint：區域端點網址：
    - 美國：malachiteingestion-pa.googleapis.com
    - 歐洲：europe-malachiteingestion-pa.googleapis.com
    - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
    - 如需完整清單，請參閱「區域端點」
  - log_type：記錄類型，與 Chronicle 中顯示的完全相同 (CISCO_MERAKI)

儲存設定檔

編輯完成後，請儲存檔案：
- Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
- Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

sudo systemctl restart observiq-otel-collector

確認服務正在執行：

  sudo systemctl status observiq-otel-collector

檢查記錄中是否有錯誤：

  sudo journalctl -u observiq-otel-collector -f

如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列任一做法：
- 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服務控制台：
  1. 按下 Win+R 鍵，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。
  4. 確認服務正在執行：
```
sc query observiq-otel-collector
```
  5. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

在 Cisco Meraki 上設定 Syslog 轉送功能

前往 https://dashboard.meraki.com 登入 Cisco Meraki 資訊主頁。
從網路下拉式選單中選取目標「聯播網」。
依序前往「全網路」>「一般」。
前往「報表」部分。
找到「Syslog servers」(系統記錄伺服器)，然後按一下「Add a syslog server」(新增系統記錄伺服器)。
請提供下列設定詳細資料：
- 伺服器 IP：輸入 Bindplane 代理程式主機的 IP 位址。
- 「Port」(通訊埠)：輸入 514。
- 角色：選取要轉送的記錄類型：
  - 流程：網路流程資料
  - 網址：網址存取記錄
  - 安全性事件：IDS/IPS 警示
  - 設備事件記錄：MX 設備事件
  - Air Marshal 事件：無線威脅偵測
  - IDS 警示：入侵偵測系統警示
按一下 [儲存]。
檢查 Bindplane 代理程式記錄，確認系統記錄訊息是否已傳送。

UDM 對應表

記錄欄位	UDM 對應	邏輯
動作	security_result.action	值會轉換為大寫。如果值為「deny」，則會替換為「BLOCK」。如果 sc_action 包含「allow」，系統會將值替換為「ALLOW」。否則，如果決策包含「block」，則值會替換為「BLOCK」。否則，如果授權為「成功」，則設為「ALLOW」；如果為「失敗」，則設為「BLOCK」。否則，如果模式為「1 all」、「deny all」或「Group Policy Deny」，則會設為「BLOCK」。如果模式為「允許所有項目」、「群組政策允許」或「0 all」，則會設為「允許」。否則會設為「UNKNOWN_ACTION」。如果決策包含「封鎖」，則會設為「BLOCK」。
adId	principal.user.user_display_name	直接從 JSON 記錄中的 adId 欄位對應。
代理程式	network.http.user_agent	移除所有格符號。直接從代理程式欄位對應。也使用 parseduseragent 篩選器轉換為 network.http.parsed_user_agent。
援助	network.session_id	直接從 aid 欄位對應。
appProtocol	network.application_protocol	轉換為大寫。直接從 appProtocol 欄位對應。
attr	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「attr」鍵。
授權	security_result.action_details	直接從 JSON 記錄中的授權欄位對應。
錶帶	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「band」做為鍵。
bssids.bssid	principal.mac	轉換為小寫。已合併至 principal.mac 陣列。
bssids.detectedBy.device	intermediary.asset.asset_id	格式為「裝置 ID：」。
bssids.detectedBy.rssi	intermediary.asset.product_object_id	轉換為字串。
管道	about.resource.attribute.labels	以鍵/值組合的形式新增至 about.resource.attribute.labels 陣列，並使用「Channel」做為鍵。
clientDescription	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「clientDescription」做為鍵。
clientId	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「clientId」做為鍵。
clientIp	principal.ip、principal.asset.ip	直接從 clientIp 欄位對應。
clientMac	principal.mac	轉換為小寫。直接從 JSON 記錄中的 clientMac 欄位對應。
client_ip	principal.ip、principal.asset.ip	直接從 client_ip 欄位對應。
client_mac	principal.mac	轉換為小寫。直接從 client_mac 欄位對應。
程式碼	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「code」鍵。
collection_time	metadata.event_timestamp	系統會合併 seconds 和 nanos 欄位，建立時間戳記。
條件	security_result.about.resource.attribute.labels	回車、換行和 Tab 鍵會替換為空格，特定值則會替換。修改後的值會以鍵/值組合的形式，新增至 security_result.about.resource.attribute.labels 陣列，並以「Conditions」做為鍵。
決定	security_result.action	如果值為「blocked」，則會設為「BLOCK」。
遞減	metadata.description	直接從 desc 欄位對應。
說明	security_result.description	直接從 JSON 記錄中的說明欄位對應。
DestAddress	target.ip、target.asset.ip	直接從 DestAddress 欄位對應。
DestPort	target.port	轉換為整數。直接從 DestPort 欄位對應。
deviceIp	target.ip	直接從 deviceIp 欄位對應。
deviceMac	target.mac	轉換為小寫。直接從裝置的 Mac 欄位對應。
deviceName	target.hostname、target.asset.hostname	直接從 JSON 記錄中的 deviceName 欄位對應。
deviceSerial	target.asset.hardware.serial_number	直接從 JSON 記錄中的 deviceSerial 欄位對應。
方向	network.direction	系統會移除特殊字元，並將值對應至 network.direction。
DisabledPrivilegeList	target.user.attribute	系統會取代歸位元、換行符和定位點，並將修改後的值剖析為 JSON，然後合併至 target.user.attribute 物件。
dport	target.port	轉換為整數。直接從 dport 欄位對應。
dst	target.ip、target.asset.ip	直接從 dst 欄位對應。
dstIp	target.ip、target.asset.ip	直接從 dstIp 欄位對應。
dstPort	target.port	轉換為整數。直接從 dstPort 欄位對應。
dvc	intermediary.hostname	直接從 dvc 欄位對應。
EnabledPrivilegeList	target.user.attribute	系統會取代歸位元、換行符和定位點，並將修改後的值剖析為 JSON，然後合併至 target.user.attribute 物件。
eventData.aid	principal.asset_id	格式為「ASSET_ID:」。
eventData.client_ip	principal.ip、principal.asset.ip	直接從 JSON 記錄中的 eventData.client_ip 欄位對應。
eventData.client_mac	principal.mac	轉換為小寫。直接從 JSON 記錄中的 eventData.client_mac 欄位對應。
eventData.group	principal.group.group_display_name	直接從 JSON 記錄中的 eventData.group 欄位對應。
eventData.identity	principal.hostname	直接從 JSON 記錄中的 eventData.identity 欄位對應。
eventData.ip	principal.ip、principal.asset.ip	直接從 JSON 記錄中的 eventData.ip 欄位對應。
EventID	metadata.product_event_type、security_result.rule_name	轉換為字串。對應至 metadata.product_event_type。也用於以「EventID: 」格式建立 security_result.rule_name。用於判斷 event_type 和 sec_action。
eventSummary	security_result.summary、metadata.description	直接從 eventSummary 欄位對應。也用於部分事件的 security_result.description。
eventType	metadata.product_event_type	直接從 eventType 欄位對應。用來判斷要套用哪種剖析邏輯。
filename	principal.process.file.full_path	直接從檔案名稱欄位對應。
FilterId	target.resource.product_object_id	直接從 EventID 5447 的 FilterId 欄位對應。
FilterName	target.resource.name	直接從 EventID 5447 的 FilterName 欄位對應。
FilterRTID	security_result.detection_fields	以鍵/值組合的形式新增至 security_result.detection_fields 陣列，並以「FilterRTID」做為鍵。
firstSeen	security_result.detection_fields	轉換為字串。以鍵/值組合的形式新增至 security_result.detection_fields 陣列，鍵為「firstSeen」。
gatewayDeviceMac	target.mac	轉換為小寫。已併入 target.mac 陣列。
群組	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「group」鍵。
GroupMembership	target.user	移除回車、換行、Tab 鍵和特殊字元。修改後的值會剖析為 JSON，並合併至 target.user 物件。
主機名稱	principal.hostname、principal.asset.hostname	直接從「主機名稱」欄位對應。
identity	target.user.userid	直接從身分識別欄位對應。
煽動者	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，鍵為「instigator」。
int_ip	intermediary.ip	直接從 int_ip 欄位對應。
ip_msg	principal.resource.attribute.labels	以鍵/值組合的形式新增至 principal.resource.attribute.labels 陣列，並使用「IPs」做為鍵。
is_8021x	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，鍵為「is_8021x」。
KeyName	target.resource.name	直接從 KeyName 欄位對應。
KeyFilePath	target.file.full_path	直接從 KeyFilePath 欄位對應。
lastSeen	security_result.detection_fields	轉換為字串。以鍵/值組合的形式新增至 security_result.detection_fields 陣列，鍵為「lastSeen」。
last_known_client_ip	principal.ip、principal.asset.ip	直接從 last_known_client_ip 欄位對應。
LayerName	security_result.detection_fields	以鍵/值組合的形式新增至 security_result.detection_fields 陣列，並以「層名稱」做為鍵。
LayerRTID	security_result.detection_fields	以鍵/值組合的形式新增至 security_result.detection_fields 陣列，並使用「LayerRTID」做為鍵。
localIp	principal.ip、principal.asset.ip	直接從 localIp 欄位對應。
login	principal.user.email_addresses	如果符合電子郵件地址格式，則直接從 JSON 記錄中的登入欄位對應。
LogonGuid	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「LogonGuid」鍵。
LogonType	extensions.auth.mechanism	根據其值對應至特定驗證機制。如果 PreAuthType 存在，則會覆寫 LogonType。值對應方式如下：2 -> USERNAME_PASSWORD、3 -> NETWORK、4 -> BATCH、5 -> SERVICE、7 -> UNLOCK、8 -> NETWORK_CLEAR_TEXT、9 -> NEW_CREDENTIALS、10 -> REMOTE_INTERACTIVE、11 -> CACHED_INTERACTIVE、12 -> CACHED_REMOTE_INTERACTIVE、13 -> CACHED_UNLOCK，其他 -> MECHANISM_UNSPECIFIED。
mac	principal.mac	轉換為小寫。已合併至 principal.mac 陣列。
MandatoryLabel	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「MandatoryLabel」鍵。
訊息	security_result.description、security_result.summary	如果存在 AccessReason，Message 會對應至 security_result.summary，而 AccessReason 會對應至 security_result.description。否則，Message 會對應至 security_result.description。
方法	network.http.method	直接從方法欄位對應。
msg	security_result.description	直接從 msg 欄位對應。
名稱	principal.user.user_display_name	直接從 JSON 記錄中的名稱欄位對應。
natsrcIp	principal.nat_ip	直接從 natsrcIp 欄位對應。
natsrcport	principal.nat_port	轉換為整數。直接從 natsrcport 欄位對應。
network_id	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「Network ID」做為鍵。
NewProcessId	target.process.pid	直接從 NewProcessId 欄位對應。
NewProcessName	target.process.file.full_path	直接從 NewProcessName 欄位對應。
NewSd	target.resource.attribute.labels	以鍵/值組的形式新增至 target.resource.attribute.labels 陣列，並使用「New Security Descriptor」鍵。
occurredAt	metadata.event_timestamp	以 ISO8601 格式剖析為時間戳記。
ObjectName	target.file.full_path、target.registry.registry_key、target.process.file.full_path、additional.fields	如果 EventID 為 4663，且 ObjectType 為「Process」，則會對應至 target.process.file.full_path。如果 ObjectType 為「Key」，則會對應至 target.registry.registry_key。否則會對應至 target.file.full_path。如果是其他事件，則會以鍵/值組合的形式，新增至 additional.fields 陣列，並以「ObjectName」做為鍵。
ObjectType	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「ObjectType」鍵。用於判斷 event_type。
OldSd	target.resource.attribute.labels	以鍵/值組合的形式新增至 target.resource.attribute.labels 陣列，並使用「Original Security Descriptor」做為鍵。
organizationId	principal.resource.id	直接從 JSON 記錄中的 organizationId 欄位對應。
ParentProcessName	target.process.parent_process.file.full_path	直接從 ParentProcessName 欄位對應。
pattern	security_result.description	直接對應至 security_result.description。用於判斷 security_result.action。
peer_ident	target.user.userid	直接從 peer_ident 欄位對應。
PreAuthType	extensions.auth.mechanism	用於判斷驗證機制 (如有)。覆寫 LogonType。
principalIp	principal.ip、principal.asset.ip	直接從 principalIp 欄位對應。
principalMac	principal.mac	轉換為小寫。已合併至 principal.mac 陣列。
principalPort	principal.port	轉換為整數。直接從 principalPort 欄位對應。
prin_ip2	principal.ip、principal.asset.ip	直接從 prin_ip2 欄位對應。
prin_url	principal.url	直接從 prin_url 欄位對應。
優先順序	security_result.priority	根據值對應至優先順序等級：1 -> HIGH_PRIORITY、2 -> MEDIUM_PRIORITY、3 -> LOW_PRIORITY，其他 -> UNKNOWN_PRIORITY。
ProcessID	principal.process.pid	轉換為字串。直接從 ProcessID 欄位對應。
ProcessName	principal.process.file.full_path、target.process.file.full_path	如果 EventID 為 4689，則會對應至 target.process.file.full_path。否則會對應至 principal.process.file.full_path。
prod_log_id	metadata.product_log_id	直接從 prod_log_id 欄位對應。
通訊協定	network.ip_protocol	轉換為大寫。如果是數字，系統會轉換為對應的 IP 通訊協定名稱。如果為「ICMP6」，則會替換為「ICMP」。直接從通訊協定欄位對應。
ProviderGuid	metadata.product_deployment_id	直接從 ProviderGuid 欄位對應。
查詢	network.dns.questions.name	直接從查詢欄位對應。
query_type	network.dns.questions.type	已重新命名為 question.type，並合併至 network.dns.questions 陣列。根據 DHCP 查詢類型對應至數值。
收音機	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「radio」鍵。
原因	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，鍵為「reason」。
rec_bytes	network.received_bytes	轉換為無正負號整數。直接從 rec_bytes 欄位對應。
RecordNumber	metadata.product_log_id	轉換為字串。直接從 RecordNumber 欄位對應。
RelativeTargetName	target.process.file.full_path	直接從 RelativeTargetName 欄位對應。
response_ip	principal.ip、principal.asset.ip	直接從 response_ip 欄位對應。
rssi	intermediary.asset.product_object_id	直接從 rssi 欄位對應。
sc_action	security_result.action_details	直接從 sc_action 欄位對應。
sec_action	security_result.action	合併至 security_result.action 陣列。
server_ip	client_ip	直接對應至 client_ip 欄位。
嚴重性	security_result.severity	根據值對應至嚴重性等級：「Info」-> INFORMATIONAL、「Error」-> ERROR、「Warning」-> MEDIUM，其他 -> UNKNOWN_SEVERITY。
sha256	target.file.sha256	直接從 sha256 欄位對應。
簽名	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「signature」鍵。
SourceAddress	principal.ip、principal.asset.ip	直接從 SourceAddress 欄位對應。
SourceHandleId	src.resource.id	直接從 SourceHandleId 欄位對應。
SourceModuleName	observer.labels	以鍵/值組合的形式新增至觀察工具的 labels 陣列，並使用「SourceModuleName」做為鍵。
SourceModuleType	observer.application	直接從 SourceModuleType 欄位對應。
SourcePort	principal.port	轉換為整數。直接從 SourcePort 欄位對應。
SourceProcessId	src.process.pid	直接從 SourceProcessId 欄位對應。
source_client_ip	client_ip	直接對應至 client_ip 欄位。
運動	principal.port	轉換為整數。直接對應運動場地。
src	principal.ip、principal.asset.ip	直接從 src 欄位對應。
ssid	network.session_id	直接從 JSON 記錄中的 ssid 欄位對應。
ssidName	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「ssidName」鍵。
state	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「state」鍵。
狀態	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「Status」鍵。
status_code	network.http.response_code	轉換為整數。直接從 status_code 欄位對應。
SubjectDomainName	principal.administrative_domain	直接從 SubjectDomainName 欄位對應。
SubjectLogonId	principal.resource.attribute.labels	以鍵/值組合的形式新增至 principal.resource.attribute.labels 陣列，並使用「SubjectLogonId」鍵。
SubjectUserName	principal.user.userid	直接從 SubjectUserName 欄位對應。
SubjectUserSid	principal.user.windows_sid	直接從 SubjectUserSid 欄位對應。
targetHost	target.hostname、target.asset.hostname	盡可能轉換為 IP 位址。否則會進行剖析，以擷取主機名稱，並對應至 target.hostname 和 target.asset.hostname。
TargetHandleId	target.resource.id	直接從 TargetHandleId 欄位對應。
TargetLogonId	principal.resource.attribute.labels	如果與 SubjectLogonId 不同，則會以鍵/值組合的形式新增至 principal.resource.attribute.labels 陣列，並使用「TargetLogonId」鍵。
TargetProcessId	target.process.pid	直接從 TargetProcessId 欄位對應。
TargetUserName	target.user.userid	直接從 TargetUserName 欄位對應。
TargetUserSid	target.user.windows_sid	直接從 TargetUserSid 欄位對應。
工作	additional.fields	轉換為字串。以鍵/值組合的形式新增至 additional.fields 陣列，並使用「Task」做為鍵。
時間戳記	metadata.event_timestamp	系統會使用秒數欄位建立時間戳記。
ts	metadata.event_timestamp	如果 ts 為空，系統會結合 tsDate、tsTime 和 tsTZ 建立 ts。如果包含「""」，系統會剖析並擷取整數值。然後，系統會使用各種格式將其剖析為時間戳記。
類型	security_result.summary、metadata.product_event_type	直接從 JSON 記錄中的型別欄位對應。在某些情況下，也會用做 eventSummary 和 metadata.product_event_type。
網址	target.url、principal.url	直接從網址欄位對應。
url1	target.url	直接從 url1 欄位對應。
使用者	target.user.group_identifiers	已併入 target.user.group_identifiers 陣列。
user_id	target.user.userid	直接從 user_id 欄位對應。
UserID	principal.user.windows_sid	直接從 UserID 欄位對應。
使用者名稱	principal.user.userid	直接從 UserName 欄位對應。
user_agent	network.http.user_agent	直接從 user_agent 欄位對應。
userId	target.user.userid	直接從 userId 欄位對應。
vap	additional.fields	以鍵/值組合的形式新增至 additional.fields 陣列，並使用「vap」鍵。
VirtualAccount	security_result.about.labels	以鍵/值組合的形式新增至 security_result.about.labels 陣列，並使用「VirtualAccount」鍵。
wiredLastSeen	security_result.detection_fields	轉換為字串。以鍵/值組合的形式新增至 security_result.detection_fields 陣列，並使用「wiredLastSeen」鍵。
wiredMacs	intermediary.mac	轉換為小寫。已合併至 intermediary.mac 陣列。
WorkstationName	principal.hostname、principal.asset.hostname	直接從 WorkstationName 欄位對應。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。