Raccogli i log di Cisco Meraki

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Cisco Meraki in Google Security Operations utilizzando Bindplane.

Il parser estrae i campi dai log formattati in JSON e syslog di Cisco Meraki. Utilizza l'analisi grok e/o JSON per elaborare il messaggio di log e poi mappa questi valori al modello di dati unificato (UDM). Imposta anche i valori predefiniti dei metadati per l'origine e il tipo di evento.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato alla dashboard di Cisco Meraki

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo il comando:
```
sc query observiq-otel-collector
```

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.

Verifica l'installazione eseguendo il comando:

sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'CISCO_MERAKI'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Parametri di configurazione

Sostituisci i seguenti segnaposto:
- Configurazione del ricevitore:
  - udplog: utilizza udplog per syslog UDP o tcplog per syslog TCP
  - 0.0.0.0: indirizzo IP su cui ascoltare (0.0.0.0 per ascoltare su tutte le interfacce)
  - 514: Numero di porta su cui ascoltare (porta syslog standard)
- Configurazione dell'esportatore:
  - creds_file_path: percorso completo del file di autenticazione importazione:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID: l'ID cliente della sezione Recupera ID cliente
  - endpoint: URL endpoint regionale:
    - Stati Uniti: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Per l'elenco completo, vedi Endpoint regionali.
  - log_type: Tipo di log esattamente come appare in Chronicle (CISCO_MERAKI)

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:

sudo systemctl restart observiq-otel-collector

Verifica che il servizio sia in esecuzione:

  sudo systemctl status observiq-otel-collector

Controlla i log per individuare eventuali errori:

  sudo journalctl -u observiq-otel-collector -f

Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console dei servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare l'inoltro Syslog su Cisco Meraki

Accedi alla dashboard di Cisco Meraki all'indirizzo https://dashboard.meraki.com.
Seleziona la rete di destinazione dal menu a discesa delle reti.
Vai a A livello di rete > Generale.
Vai alla sezione Reporting.
Individua Server Syslog e fai clic su Aggiungi un server Syslog.
Fornisci i seguenti dettagli di configurazione:
- IP server: inserisci l'indirizzo IP dell'host dell'agente Bindplane.
- Porta: inserisci 514.
- Ruoli: seleziona i tipi di log da inoltrare:
  - Flussi: dati sul flusso di rete
  - URL: log di accesso agli URL
  - Eventi di sicurezza: avvisi IDS/IPS
  - Log eventi dell'appliance: eventi dell'appliance MX
  - Eventi Air Marshal: rilevamento delle minacce wireless
  - Avvisi IDS: avvisi del sistema di rilevamento delle intrusioni
Fai clic su Salva.
Verifica che i messaggi syslog vengano inviati controllando i log dell'agente Bindplane.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
azione	security_result.action	Il valore viene convertito in maiuscolo. Se il valore è "deny", viene sostituito con "BLOCK". Se sc_action contiene "allow", il valore viene sostituito con "ALLOW". Altrimenti, se la decisione contiene "block", il valore viene sostituito con "BLOCK". In caso contrario, se l'autorizzazione è "success", è impostata su "ALLOW", mentre se è "failure", è impostata su "BLOCK". In caso contrario, se il pattern è "1 all", "deny all" o "Group Policy Deny", viene impostato su "BLOCK". Se il pattern è "consenti tutto", "Consenti criteri di gruppo" o "0 tutto", è impostato su "CONSENTI". In caso contrario, è impostato su "UNKNOWN_ACTION". Se la decisione contiene "block", è impostata su "BLOCK".
adId	principal.user.user_display_name	Mappato direttamente dal campo adId nei log JSON.
agente	network.http.user_agent	Gli apostrofi vengono rimossi. Mappato direttamente dal campo Agente. Inoltre, è stato convertito in network.http.parsed_user_agent utilizzando il filtro parseduseragent.
soccorso	network.session_id	Mappato direttamente dal campo Aiuto.
appProtocol	network.application_protocol	Convertito in maiuscolo. Mappato direttamente dal campo appProtocol.
attr	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "attr".
autorizzazione	security_result.action_details	Mappato direttamente dal campo di autorizzazione nei log JSON.
band	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "band".
bssids.bssid	principal.mac	Vengono convertiti in lettere minuscole. Unito all'array principal.mac.
bssids.detectedBy.device	intermediary.asset.asset_id	Formattato come "ID dispositivo: ".
bssids.detectedBy.rssi	intermediary.asset.product_object_id	Convertito in una stringa.
Canale	about.resource.attribute.labels	Aggiunta come coppia chiave-valore all'array about.resource.attribute.labels con la chiave "Channel".
clientDescription	additional.fields	Aggiunta come coppia chiave-valore all'array additional.fields con la chiave "clientDescription".
clientId	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "clientId".
clientIp	principal.ip, principal.asset.ip	Mappato direttamente dal campo clientIp.
clientMac	principal.mac	Vengono convertiti in lettere minuscole. Mappato direttamente dal campo clientMac nei log JSON.
client_ip	principal.ip, principal.asset.ip	Mappato direttamente dal campo client_ip.
client_mac	principal.mac	Vengono convertiti in lettere minuscole. Mappato direttamente dal campo client_mac.
codice	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "code".
collection_time	metadata.event_timestamp	I campi secondi e nanosecondi vengono combinati per creare un timestamp.
Condizioni	security_result.about.resource.attribute.labels	I ritorni a capo, i nuovi paragrafi e le tabulazioni vengono sostituiti con spazi e valori specifici. Il valore modificato viene aggiunto come coppia chiave-valore all'array security_result.about.resource.attribute.labels con la chiave "Conditions".
decisione	security_result.action	Se il valore è "blocked", viene impostato su "BLOCK".
decr	metadata.description	Mappato direttamente dal campo desc.
descrizione	security_result.description	Mappato direttamente dal campo di descrizione nei log JSON.
DestAddress	target.ip, target.asset.ip	Mappato direttamente dal campo DestAddress.
DestPort	target.port	Convertito in un numero intero. Mappato direttamente dal campo DestPort.
deviceIp	target.ip	Mappato direttamente dal campo deviceIp.
deviceMac	target.mac	Vengono convertiti in lettere minuscole. Mappato direttamente dal campo deviceMac.
deviceName	target.hostname, target.asset.hostname	Mappato direttamente dal campo deviceName nei log JSON.
deviceSerial	target.asset.hardware.serial_number	Mappato direttamente dal campo deviceSerial nei log JSON.
Direzione	network.direction	I caratteri speciali vengono rimossi e il valore viene mappato a network.direction.
DisabledPrivilegeList	target.user.attribute	I ritorni a capo, i caratteri di nuova riga e le tabulazioni vengono sostituiti e il valore modificato viene analizzato come JSON e unito all'oggetto target.user.attribute.
dport	target.port	Convertito in un numero intero. Mappato direttamente dal campo dport.
dst	target.ip, target.asset.ip	Mappato direttamente dal campo dst.
dstIp	target.ip, target.asset.ip	Mappato direttamente dal campo dstIp.
dstPort	target.port	Convertito in un numero intero. Mappato direttamente dal campo dstPort.
dvc	intermediary.hostname	Mappato direttamente dal campo dvc.
EnabledPrivilegeList	target.user.attribute	I ritorni a capo, i caratteri di nuova riga e le tabulazioni vengono sostituiti e il valore modificato viene analizzato come JSON e unito all'oggetto target.user.attribute.
eventData.aid	principal.asset_id	Formattato come "ASSET_ID:".
eventData.client_ip	principal.ip, principal.asset.ip	Mappato direttamente dal campo eventData.client_ip nei log JSON.
eventData.client_mac	principal.mac	Vengono convertiti in lettere minuscole. Mappato direttamente dal campo eventData.client_mac nei log JSON.
eventData.group	principal.group.group_display_name	Mappato direttamente dal campo eventData.group nei log JSON.
eventData.identity	principal.hostname	Mappato direttamente dal campo eventData.identity nei log JSON.
eventData.ip	principal.ip, principal.asset.ip	Mappato direttamente dal campo eventData.ip nei log JSON.
EventID	metadata.product_event_type, security_result.rule_name	Convertito in una stringa. Mappato su metadata.product_event_type. Utilizzato anche per creare security_result.rule_name nel formato "EventID: ". Utilizzato per determinare event_type e sec_action.
eventSummary	security_result.summary, metadata.description	Mappato direttamente dal campo eventSummary. Utilizzato anche in security_result.description per alcuni eventi.
eventType	metadata.product_event_type	Mappato direttamente dal campo eventType. Utilizzato per determinare quale logica di analisi applicare.
filename	principal.process.file.full_path	Mappato direttamente dal campo del nome file.
FilterId	target.resource.product_object_id	Mappato direttamente dal campo FilterId per EventID 5447.
FilterName	target.resource.name	Mappato direttamente dal campo FilterName per EventID 5447.
FilterRTID	security_result.detection_fields	Aggiunto come coppia chiave-valore all'array security_result.detection_fields con la chiave "FilterRTID".
firstSeen	security_result.detection_fields	Convertito in una stringa. Aggiunto come coppia chiave-valore all'array security_result.detection_fields con la chiave "firstSeen".
gatewayDeviceMac	target.mac	Vengono convertiti in lettere minuscole. Unito all'array target.mac.
gruppo	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "group".
GroupMembership	target.user	I ritorni a capo, i nuovi righi, le tabulazioni e i caratteri speciali vengono rimossi. Il valore modificato viene analizzato come JSON e unito all'oggetto target.user.
Nome host	principal.hostname, principal.asset.hostname	Mappato direttamente dal campo Nome host.
identity	target.user.userid	Mappato direttamente dal campo dell'identità.
istigatore	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "instigator".
int_ip	intermediary.ip	Mappato direttamente dal campo int_ip.
ip_msg	principal.resource.attribute.labels	Aggiunto come coppia chiave-valore all'array principal.resource.attribute.labels con la chiave "IPs".
is_8021x	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "is_8021x".
KeyName	target.resource.name	Mappato direttamente dal campo KeyName.
KeyFilePath	target.file.full_path	Mappato direttamente dal campo KeyFilePath.
lastSeen	security_result.detection_fields	Convertito in una stringa. Aggiunto come coppia chiave-valore all'array security_result.detection_fields con la chiave "lastSeen".
last_known_client_ip	principal.ip, principal.asset.ip	Mappato direttamente dal campo last_known_client_ip.
LayerName	security_result.detection_fields	Aggiunto come coppia chiave-valore all'array security_result.detection_fields con la chiave "Layer Name".
LayerRTID	security_result.detection_fields	Aggiunto come coppia chiave-valore all'array security_result.detection_fields con la chiave "LayerRTID".
localIp	principal.ip, principal.asset.ip	Mappato direttamente dal campo localIp.
accedi	principal.user.email_addresses	Mappato direttamente dal campo di accesso nei log JSON se corrisponde a un formato di indirizzo email.
LogonGuid	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "LogonGuid".
LogonType	extensions.auth.mechanism	Mappato a un meccanismo di autenticazione specifico in base al suo valore. Se PreAuthType è presente, sostituisce LogonType. I valori sono mappati nel seguente modo: 2 -> USERNAME_PASSWORD, 3 -> NETWORK, 4 -> BATCH, 5 -> SERVICE, 7 -> UNLOCK, 8 -> NETWORK_CLEAR_TEXT, 9 -> NEW_CREDENTIALS, 10 -> REMOTE_INTERACTIVE, 11 -> CACHED_INTERACTIVE, 12 -> CACHED_REMOTE_INTERACTIVE, 13 -> CACHED_UNLOCK, other -> MECHANISM_UNSPECIFIED.
mac	principal.mac	Vengono convertiti in lettere minuscole. Unito all'array principal.mac.
MandatoryLabel	additional.fields	Aggiunta come coppia chiave-valore all'array additional.fields con la chiave "MandatoryLabel".
Messaggio	security_result.description, security_result.summary	Se è presente AccessReason, Message viene mappato a security_result.summary e AccessReason viene mappato a security_result.description. In caso contrario, Message viene mappato a security_result.description.
metodo	network.http.method	Mappato direttamente dal campo Metodo.
msg	security_result.description	Mappato direttamente dal campo msg.
nome	principal.user.user_display_name	Mappato direttamente dal campo del nome nei log JSON.
natsrcIp	principal.nat_ip	Mappato direttamente dal campo natsrcIp.
natsrcport	principal.nat_port	Convertito in un numero intero. Mappato direttamente dal campo natsrcport.
network_id	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "ID rete".
NewProcessId	target.process.pid	Mappato direttamente dal campo NewProcessId.
NewProcessName	target.process.file.full_path	Mappato direttamente dal campo NewProcessName.
NewSd	target.resource.attribute.labels	Aggiunto come coppia chiave-valore all'array target.resource.attribute.labels con la chiave "New Security Descriptor".
occurredAt	metadata.event_timestamp	Analizzato come timestamp utilizzando il formato ISO8601.
ObjectName	target.file.full_path, target.registry.registry_key, target.process.file.full_path, additional.fields	Se EventID è 4663 e ObjectType è "Process", viene mappato a target.process.file.full_path. Se ObjectType è "Key", viene mappato a target.registry.registry_key. In caso contrario, viene mappato a target.file.full_path. Per gli altri eventi, viene aggiunto come coppia chiave-valore all'array additional.fields con la chiave "ObjectName".
ObjectType	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "ObjectType". Utilizzato per determinare event_type.
OldSd	target.resource.attribute.labels	Aggiunto come coppia chiave-valore all'array target.resource.attribute.labels con la chiave "Original Security Descriptor".
organizationId	principal.resource.id	Mappato direttamente dal campo organizationId nei log JSON.
ParentProcessName	target.process.parent_process.file.full_path	Mappato direttamente dal campo ParentProcessName.
pattern	security_result.description	Mappato direttamente su security_result.description. Utilizzato per determinare security_result.action.
peer_ident	target.user.userid	Mappato direttamente dal campo peer_ident.
PreAuthType	extensions.auth.mechanism	Utilizzato per determinare il meccanismo di autenticazione, se presente. Esegue l'override di LogonType.
principalIp	principal.ip, principal.asset.ip	Mappato direttamente dal campo principalIp.
principalMac	principal.mac	Vengono convertiti in lettere minuscole. Unito all'array principal.mac.
principalPort	principal.port	Convertito in un numero intero. Mappato direttamente dal campo principalPort.
prin_ip2	principal.ip, principal.asset.ip	Mappato direttamente dal campo prin_ip2.
prin_url	principal.url	Mappato direttamente dal campo prin_url.
priorità	security_result.priority	Mappato a un livello di priorità in base al suo valore: 1 -> HIGH_PRIORITY, 2 -> MEDIUM_PRIORITY, 3 -> LOW_PRIORITY, altro -> UNKNOWN_PRIORITY.
ProcessID	principal.process.pid	Convertito in una stringa. Mappato direttamente dal campo ProcessID.
ProcessName	principal.process.file.full_path, target.process.file.full_path	Se EventID è 4689, viene mappato a target.process.file.full_path. In caso contrario, viene mappato a principal.process.file.full_path.
prod_log_id	metadata.product_log_id	Mappato direttamente dal campo prod_log_id.
protocollo	network.ip_protocol	Convertito in maiuscolo. Se è un numero, viene convertito nel nome del protocollo IP corrispondente. Se è "ICMP6", viene sostituito con "ICMP". Mappato direttamente dal campo Protocollo.
ProviderGuid	metadata.product_deployment_id	Mappato direttamente dal campo ProviderGuid.
query	network.dns.questions.name	Mappato direttamente dal campo della query.
query_type	network.dns.questions.type	Rinominato in question.type e unito all'array network.dns.questions. Mappato a un valore numerico in base al tipo di query DHCP.
radio	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "radio".
motivo	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "reason".
rec_bytes	network.received_bytes	Convertito in un numero intero senza segno. Mappato direttamente dal campo rec_bytes.
RecordNumber	metadata.product_log_id	Convertito in una stringa. Mappato direttamente dal campo RecordNumber.
RelativeTargetName	target.process.file.full_path	Mappato direttamente dal campo RelativeTargetName.
response_ip	principal.ip, principal.asset.ip	Mappato direttamente dal campo response_ip.
rssi	intermediary.asset.product_object_id	Mappato direttamente dal campo rssi.
sc_action	security_result.action_details	Mappato direttamente dal campo sc_action.
sec_action	security_result.action	Uniti all'array security_result.action.
server_ip	client_ip	Mappato direttamente al campo client_ip.
Gravità	security_result.severity	Mappato a un livello di gravità in base al suo valore: "Info" -> INFORMATIONAL, "Error" -> ERROR, "Warning" -> MEDIUM, altro -> UNKNOWN_SEVERITY.
sha256	target.file.sha256	Mappato direttamente dal campo sha256.
firma	additional.fields	Aggiunta come coppia chiave-valore all'array additional.fields con la chiave "signature".
SourceAddress	principal.ip, principal.asset.ip	Mappato direttamente dal campo SourceAddress.
SourceHandleId	src.resource.id	Mappato direttamente dal campo SourceHandleId.
SourceModuleName	observer.labels	Aggiunto come coppia chiave-valore all'array observer.labels con la chiave "SourceModuleName".
SourceModuleType	observer.application	Mappato direttamente dal campo SourceModuleType.
SourcePort	principal.port	Convertito in un numero intero. Mappato direttamente dal campo SourcePort.
SourceProcessId	src.process.pid	Mappato direttamente dal campo SourceProcessId.
source_client_ip	client_ip	Mappato direttamente al campo client_ip.
sport	principal.port	Convertito in un numero intero. Mappato direttamente dal campo sportivo.
src	principal.ip, principal.asset.ip	Mappato direttamente dal campo src.
ssid	network.session_id	Mappato direttamente dal campo ssid nei log JSON.
ssidName	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "ssidName".
state	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "state".
Stato	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "Status".
status_code	network.http.response_code	Convertito in un numero intero. Mappato direttamente dal campo status_code.
SubjectDomainName	principal.administrative_domain	Mappato direttamente dal campo SubjectDomainName.
SubjectLogonId	principal.resource.attribute.labels	Aggiunto come coppia chiave-valore all'array principal.resource.attribute.labels con la chiave "SubjectLogonId".
SubjectUserName	principal.user.userid	Mappato direttamente dal campo SubjectUserName.
SubjectUserSid	principal.user.windows_sid	Mappato direttamente dal campo SubjectUserSid.
targetHost	target.hostname, target.asset.hostname	Convertito in un indirizzo IP, se possibile. In caso contrario, viene analizzato per estrarre il nome host e mappato su target.hostname e target.asset.hostname.
TargetHandleId	target.resource.id	Mappato direttamente dal campo TargetHandleId.
TargetLogonId	principal.resource.attribute.labels	Aggiunto come coppia chiave-valore all'array principal.resource.attribute.labels con la chiave"TargetLogonId" se è diverso da SubjectLogonId.
TargetProcessId	target.process.pid	Mappato direttamente dal campo TargetProcessId.
TargetUserName	target.user.userid	Mappato direttamente dal campo TargetUserName.
TargetUserSid	target.user.windows_sid	Mappato direttamente dal campo TargetUserSid.
Attività	additional.fields	Convertito in una stringa. Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "Task".
timestamp	metadata.event_timestamp	Il campo dei secondi viene utilizzato per creare un timestamp.
ts	metadata.event_timestamp	Se ts è vuoto, viene creato combinando tsDate, tsTime e tsTZ. Se contiene "", viene analizzato per estrarre il valore intero. Viene poi analizzato come timestamp utilizzando vari formati.
tipo	security_result.summary, metadata.product_event_type	Mappato direttamente dal campo tipo nei log JSON. In alcuni casi viene utilizzato anche come eventSummary e metadata.product_event_type.
url	target.url, principal.url	Mappato direttamente dal campo URL.
url1	target.url	Mappato direttamente dal campo url1.
utente	target.user.group_identifiers	Unito all'array target.user.group_identifiers.
user_id	target.user.userid	Mappato direttamente dal campo user_id.
UserID	principal.user.windows_sid	Mappato direttamente dal campo UserID.
Nome utente	principal.user.userid	Mappato direttamente dal campo UserName.
user_agent	network.http.user_agent	Mappato direttamente dal campo user_agent.
userId	target.user.userid	Mappato direttamente dal campo userId.
vap	additional.fields	Aggiunto come coppia chiave-valore all'array additional.fields con la chiave "vap".
VirtualAccount	security_result.about.labels	Aggiunto come coppia chiave-valore all'array security_result.about.labels con la chiave "VirtualAccount".
wiredLastSeen	security_result.detection_fields	Convertito in una stringa. Aggiunto come coppia chiave-valore all'array security_result.detection_fields con la chiave "wiredLastSeen".
wiredMacs	intermediary.mac	Vengono convertiti in lettere minuscole. Unito all'array intermediary.mac.
WorkstationName	principal.hostname, principal.asset.hostname	Mappato direttamente dal campo WorkstationName.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.