Cisco Meraki-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Cisco Meraki-Logs mit Bindplane in Google Security Operations aufnehmen.

Der Parser extrahiert Felder aus Syslog- und JSON-formatierten Logs von Cisco Meraki. Dabei wird die Logmeldung mit Grok- und/oder JSON-Parsing verarbeitet und die Werte werden dann dem Unified Data Model (UDM) zugeordnet. Außerdem werden Standardmetadatenwerte für die Ereignisquelle und den Ereignistyp festgelegt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder Linux-Host mit systemd
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf das Cisco Meraki-Dashboard

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'CISCO_MERAKI'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:
- Empfängerkonfiguration:
  - udplog: Verwenden Sie udplog für UDP-Syslog oder tcplog für TCP-Syslog.
  - 0.0.0.0: IP-Adresse, an der gelauscht werden soll (0.0.0.0, um an allen Schnittstellen zu lauschen)
  - 514: Portnummer, die überwacht werden soll (Standard-Syslog-Port)
- Exporter-Konfiguration:
  - creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID: Kunden-ID aus dem Abschnitt „Kunden-ID abrufen“
  - endpoint: Regionale Endpunkt-URL:
    - USA: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Eine vollständige Liste finden Sie unter Regionale Endpunkte.
  - log_type: Logtyp genau wie in Chronicle (CISCO_MERAKI)

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
- Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

sudo systemctl restart observiq-otel-collector

Prüfen Sie, ob der Dienst ausgeführt wird:

  sudo systemctl status observiq-otel-collector

Logs auf Fehler prüfen:

  sudo journalctl -u observiq-otel-collector -f

Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Services-Konsole:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
  4. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```
  5. Logs auf Fehler prüfen:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Syslog-Weiterleitung in Cisco Meraki konfigurieren

Melden Sie sich unter https://dashboard.meraki.com im Cisco Meraki-Dashboard an.
Wählen Sie im Drop-down-Menü für das Netzwerk das Ziel-Netzwerk aus.
Rufen Sie Netzwerkweit > Allgemein auf.
Rufen Sie den Bereich Berichte auf.
Suchen Sie nach Syslog-Server und klicken Sie auf Syslog-Server hinzufügen.
Geben Sie die folgenden Konfigurationsdetails an:
- Server-IP: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein.
- Port: Geben Sie 514 ein.
- Rollen: Wählen Sie die weiterzuleitenden Logtypen aus:
  - Abläufe: Daten zum Netzwerkfluss
  - URLs: Protokolle für den URL-Zugriff
  - Sicherheitsereignisse: IDS-/IPS-Benachrichtigungen
  - Geräteereignisprotokoll: MX-Geräteereignisse
  - Air Marshal-Ereignisse: Erkennung von WLAN-Bedrohungen
  - IDS-Benachrichtigungen: Benachrichtigungen des Intrusion Detection System
Klicken Sie auf Speichern.
Prüfen Sie in den Bindplane-Agent-Logs, ob Syslog-Nachrichten gesendet werden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Aktion	security_result.action	Der Wert wird in Großbuchstaben umgewandelt. Wenn der Wert „deny“ ist, wird er durch „BLOCK“ ersetzt. Wenn sc_action „allow“ enthält, wird der Wert durch „ALLOW“ ersetzt. Andernfalls wird der Wert durch „BLOCK“ ersetzt, wenn die Entscheidung „block“ enthält. Andernfalls wird es bei „success“ auf „ALLOW“ und bei „failure“ auf „BLOCK“ gesetzt. Andernfalls wird sie auf „BLOCK“ gesetzt, wenn das Muster „1 all“, „deny all“ oder „Group Policy Deny“ ist. Wenn das Muster „allow all“, „Group Policy Allow“ oder „0 all“ lautet, ist es auf „ALLOW“ festgelegt. Andernfalls wird er auf „UNKNOWN_ACTION“ gesetzt. Wenn die Entscheidung „block“ enthält, wird sie auf „BLOCK“ festgelegt.
adId	principal.user.user_display_name	Direkt aus dem Feld „adId“ in JSON-Logs zugeordnet.
Agent	network.http.user_agent	Apostrophe werden entfernt. Direkt aus dem Agent-Feld zugeordnet. Wird auch mit dem Filter „parseduseragent“ in „network.http.parsed_user_agent“ konvertiert.
hilfe	network.session_id	Direkt aus dem Feld „Hilfe“ zugeordnet.
appProtocol	network.application_protocol	In Großbuchstaben umgewandelt. Direkt aus dem Feld „appProtocol“ zugeordnet.
attr	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „attr“ dem Array „additional.fields“ hinzugefügt.
Autorisierung	security_result.action_details	Direkt aus dem Autorisierungsfeld in JSON-Logs zugeordnet.
Armband	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „band“ dem Array „additional.fields“ hinzugefügt.
bssids.bssid	principal.mac	In Kleinbuchstaben umgewandelt? In das Array „principal.mac“ zusammengeführt.
bssids.detectedBy.device	intermediary.asset.asset_id	Das Format ist „Geräte-ID: “.
bssids.detectedBy.rssi	intermediary.asset.product_object_id	In einen String konvertiert.
Kanal	about.resource.attribute.labels	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „Channel“ dem Array „about.resource.attribute.labels“ hinzugefügt.
clientDescription	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „clientDescription“ dem Array „additional.fields“ hinzugefügt.
clientId	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „clientId“ dem Array „additional.fields“ hinzugefügt.
clientIp	principal.ip, principal.asset.ip	Direkt aus dem Feld „clientIp“ zugeordnet.
clientMac	principal.mac	In Kleinbuchstaben umgewandelt? Direkt aus dem Feld „clientMac“ in JSON-Logs zugeordnet.
client_ip	principal.ip, principal.asset.ip	Direkt aus dem Feld „client_ip“ zugeordnet.
client_mac	principal.mac	In Kleinbuchstaben umgewandelt? Direkt aus dem Feld „client_mac“ zugeordnet.
Code	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „code“ dem Array „additional.fields“ hinzugefügt.
collection_time	metadata.event_timestamp	Die Felder „seconds“ und „nanos“ werden kombiniert, um einen Zeitstempel zu erstellen.
Conditions	security_result.about.resource.attribute.labels	Zeilenumbrüche, Zeilenvorschübe und Tabulatoren werden durch Leerzeichen ersetzt und bestimmte Werte werden ersetzt. Der geänderte Wert wird als Schlüssel/Wert-Paar mit dem Schlüssel „Conditions“ dem Array „security_result.about.resource.attribute.labels“ hinzugefügt.
Entscheidung	security_result.action	Wenn der Wert „blocked“ ist, wird er auf „BLOCK“ gesetzt.
Ab	metadata.description	Direkt aus dem Feld „desc“ zugeordnet.
Beschreibung	security_result.description	Direkt aus dem Feld „description“ in JSON-Logs zugeordnet.
DestAddress	target.ip, target.asset.ip	Direkt aus dem Feld „DestAddress“ zugeordnet.
DestPort	target.port	In eine Ganzzahl konvertiert. Direkt aus dem Feld „DestPort“ zugeordnet.
deviceIp	target.ip	Direkt aus dem Feld „deviceIp“ zugeordnet.
deviceMac	target.mac	In Kleinbuchstaben umgewandelt? Direkt aus dem Feld „deviceMac“ zugeordnet.
deviceName	target.hostname, target.asset.hostname	Direkt aus dem Feld „deviceName“ in JSON-Logs zugeordnet.
deviceSerial	target.asset.hardware.serial_number	Direkt aus dem Feld „deviceSerial“ in JSON-Logs zugeordnet.
Richtung	network.direction	Sonderzeichen werden entfernt und der Wert wird network.direction zugeordnet.
DisabledPrivilegeList	target.user.attribute	Wagenrückläufe, Zeilenumbrüche und Tabulatoren werden ersetzt. Der geänderte Wert wird als JSON geparst und in das Objekt „target.user.attribute“ eingefügt.
dport	target.port	In eine Ganzzahl konvertiert. Direkt aus dem Feld „dport“ zugeordnet.
dst	target.ip, target.asset.ip	Direkt aus dem Feld „dst“ zugeordnet.
dstIp	target.ip, target.asset.ip	Direkt aus dem Feld „dstIp“ zugeordnet.
dstPort	target.port	In eine Ganzzahl konvertiert. Direkt aus dem Feld „dstPort“ zugeordnet.
dvc	intermediary.hostname	Direkt aus dem DVC-Feld zugeordnet.
EnabledPrivilegeList	target.user.attribute	Wagenrückläufe, Zeilenumbrüche und Tabulatoren werden ersetzt. Der geänderte Wert wird als JSON geparst und in das Objekt „target.user.attribute“ eingefügt.
eventData.aid	principal.asset_id	Formatierung als „ASSET_ID:“.
eventData.client_ip	principal.ip, principal.asset.ip	Direkt aus dem Feld „eventData.client_ip“ in JSON-Protokollen zugeordnet.
eventData.client_mac	principal.mac	In Kleinbuchstaben umgewandelt? Direkt aus dem Feld „eventData.client_mac“ in JSON-Logs zugeordnet.
eventData.group	principal.group.group_display_name	Direkt aus dem Feld „eventData.group“ in JSON-Protokollen zugeordnet.
eventData.identity	principal.hostname	Direkt aus dem Feld „eventData.identity“ in JSON-Logs zugeordnet.
eventData.ip	principal.ip, principal.asset.ip	Direkt aus dem Feld „eventData.ip“ in JSON-Logs zugeordnet.
EventID	metadata.product_event_type, security_result.rule_name	In einen String konvertiert. Wird „metadata.product_event_type“ zugeordnet. Wird auch verwendet, um security_result.rule_name im Format „EventID: “ zu erstellen. Dient zur Bestimmung von event_type und sec_action.
eventSummary	security_result.summary, metadata.description	Direkt aus dem Feld „eventSummary“ zugeordnet. Wird auch in security_result.description für einige Ereignisse verwendet.
eventType	metadata.product_event_type	Direkt aus dem Feld „eventType“ zugeordnet. Wird verwendet, um festzulegen, welche Parsing-Logik angewendet werden soll.
filename	principal.process.file.full_path	Direkt aus dem Feld „Dateiname“ zugeordnet.
FilterId	target.resource.product_object_id	Direkt aus dem Feld „FilterId“ für „EventID“ 5447 zugeordnet.
FilterName	target.resource.name	Direkt aus dem Feld „FilterName“ für „EventID“ 5447 zugeordnet.
FilterRTID	security_result.detection_fields	Wird als Schlüssel/Wert-Paar dem security_result.detection_fields-Array mit dem Schlüssel „FilterRTID“ hinzugefügt.
firstSeen	security_result.detection_fields	In einen String konvertiert. Wird als Schlüssel/Wert-Paar dem Array „security_result.detection_fields“ mit dem Schlüssel „firstSeen“ hinzugefügt.
gatewayDeviceMac	target.mac	In Kleinbuchstaben umgewandelt? In das Array „target.mac“ zusammengeführt.
Gruppe	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „group“ dem Array „additional.fields“ hinzugefügt.
GroupMembership	target.user	Zeilenumbrüche, Zeilenvorschübe, Tabulatoren und Sonderzeichen werden entfernt. Der geänderte Wert wird als JSON geparst und in das target.user-Objekt eingefügt.
Hostname	hauptkonto.hostname, hauptkonto.asset.hostname	Direkt aus dem Feld „Hostname“ zugeordnet.
identity	target.user.userid	Direkt aus dem Identitätsfeld zugeordnet.
Anstifter	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „instigator“ dem Array „additional.fields“ hinzugefügt.
int_ip	intermediary.ip	Direkt aus dem Feld „int_ip“ zugeordnet.
ip_msg	principal.resource.attribute.labels	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „IPs“ dem Array „principal.resource.attribute.labels“ hinzugefügt.
is_8021x	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „is_8021x“ dem Array „additional.fields“ hinzugefügt.
KeyName	target.resource.name	Direkt aus dem Feld „KeyName“ zugeordnet.
KeyFilePath	target.file.full_path	Direkt aus dem Feld „KeyFilePath“ zugeordnet.
lastSeen	security_result.detection_fields	In einen String konvertiert. Wird als Schlüssel/Wert-Paar dem security_result.detection_fields-Array mit dem Schlüssel „lastSeen“ hinzugefügt.
last_known_client_ip	principal.ip, principal.asset.ip	Direkt aus dem Feld „last_known_client_ip“ zugeordnet.
LayerName	security_result.detection_fields	Wird als Schlüssel/Wert-Paar dem security_result.detection_fields-Array mit dem Schlüssel „Layer Name“ hinzugefügt.
LayerRTID	security_result.detection_fields	Wird als Schlüssel/Wert-Paar dem security_result.detection_fields-Array mit dem Schlüssel „LayerRTID“ hinzugefügt.
localIp	principal.ip, principal.asset.ip	Direkt aus dem Feld „localIp“ zugeordnet.
Anmeldung	principal.user.email_addresses	Direkt aus dem Anmeldefeld in JSON-Logs zugeordnet, wenn es einem E-Mail-Adressformat entspricht.
LogonGuid	additional.fields	Wird als Schlüssel/Wert-Paar dem Array „additional.fields“ mit dem Schlüssel „LogonGuid“ hinzugefügt.
LogonType	extensions.auth.mechanism	Wird basierend auf seinem Wert einem bestimmten Authentifizierungsmechanismus zugeordnet. Wenn PreAuthType vorhanden ist, wird LogonType überschrieben. Die Werte werden so zugeordnet: 2 –> USERNAME_PASSWORD, 3 –> NETWORK, 4 –> BATCH, 5 –> SERVICE, 7 –> UNLOCK, 8 –> NETWORK_CLEAR_TEXT, 9 –> NEW_CREDENTIALS, 10 –> REMOTE_INTERACTIVE, 11 –> CACHED_INTERACTIVE, 12 –> CACHED_REMOTE_INTERACTIVE, 13 –> CACHED_UNLOCK, other –> MECHANISM_UNSPECIFIED.
mac	principal.mac	In Kleinbuchstaben umgewandelt? In das Array „principal.mac“ zusammengeführt.
MandatoryLabel	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „MandatoryLabel“ dem Array „additional.fields“ hinzugefügt.
Nachricht	security_result.description, security_result.summary	Wenn AccessReason vorhanden ist, wird Message security_result.summary und AccessReason security_result.description zugeordnet. Andernfalls wird „Message“ security_result.description zugeordnet.
method	network.http.method	Direkt aus dem Feld „method“ zugeordnet.
msg	security_result.description	Direkt aus dem Feld „msg“ zugeordnet.
Name	principal.user.user_display_name	Direkt aus dem Feld „name“ in JSON-Logs zugeordnet.
natsrcIp	principal.nat_ip	Direkt aus dem Feld „natsrcIp“ zugeordnet.
natsrcport	principal.nat_port	In eine Ganzzahl konvertiert. Direkt aus dem Feld „natsrcport“ zugeordnet.
network_id	additional.fields	Wird als Schlüssel/Wert-Paar dem Array „additional.fields“ mit dem Schlüssel „Network ID“ hinzugefügt.
NewProcessId	target.process.pid	Direkt aus dem Feld „NewProcessId“ zugeordnet.
NewProcessName	target.process.file.full_path	Direkt aus dem Feld „NewProcessName“ zugeordnet.
NewSd	target.resource.attribute.labels	Wird als Schlüssel/Wert-Paar dem Array „target.resource.attribute.labels“ mit dem Schlüssel „New Security Descriptor“ hinzugefügt.
occurredAt	metadata.event_timestamp	Wird als Zeitstempel im ISO8601-Format geparst.
ObjectName	target.file.full_path, target.registry.registry_key, target.process.file.full_path, additional.fields	Wenn EventID 4663 und ObjectType „Process“ ist, wird es target.process.file.full_path zugeordnet. Wenn ObjectType „Key“ ist, wird es target.registry.registry_key zugeordnet. Andernfalls wird sie target.file.full_path zugeordnet. Bei anderen Ereignissen wird es als Schlüssel/Wert-Paar mit dem Schlüssel „ObjectName“ dem Array „additional.fields“ hinzugefügt.
ObjectType	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „ObjectType“ dem Array „additional.fields“ hinzugefügt. Wird verwendet, um „event_type“ zu bestimmen.
OldSd	target.resource.attribute.labels	Wird als Schlüssel/Wert-Paar dem Array „target.resource.attribute.labels“ mit dem Schlüssel „Original Security Descriptor“ hinzugefügt.
organizationId	principal.resource.id	Direkt aus dem Feld „organizationId“ in JSON-Logs zugeordnet.
ParentProcessName	target.process.parent_process.file.full_path	Direkt aus dem Feld „ParentProcessName“ zugeordnet.
Muster	security_result.description	Wird direkt security_result.description zugeordnet. Wird verwendet, um security_result.action zu bestimmen.
peer_ident	target.user.userid	Direkt aus dem Feld „peer_ident“ zugeordnet.
PreAuthType	extensions.auth.mechanism	Wird verwendet, um das Authentifizierungsverfahren zu ermitteln, falls vorhanden. Überschreibt LogonType.
principalIp	principal.ip, principal.asset.ip	Direkt aus dem Feld „principalIp“ zugeordnet.
principalMac	principal.mac	In Kleinbuchstaben umgewandelt? In das Array „principal.mac“ zusammengeführt.
principalPort	principal.port	In eine Ganzzahl konvertiert. Direkt aus dem Feld „principalPort“ zugeordnet.
prin_ip2	principal.ip, principal.asset.ip	Direkt aus dem Feld „prin_ip2“ zugeordnet.
prin_url	principal.url	Direkt aus dem Feld „prin_url“ zugeordnet.
Priorität	security_result.priority	Wird basierend auf dem Wert einer Prioritätsstufe zugeordnet: 1 –> HIGH_PRIORITY, 2 –> MEDIUM_PRIORITY, 3 –> LOW_PRIORITY, andere –> UNKNOWN_PRIORITY.
ProcessID	principal.process.pid	In einen String konvertiert. Direkt aus dem Feld „ProcessID“ zugeordnet.
ProcessName	principal.process.file.full_path, target.process.file.full_path	Wenn EventID 4689 ist, wird sie target.process.file.full_path zugeordnet. Andernfalls wird sie principal.process.file.full_path zugeordnet.
prod_log_id	metadata.product_log_id	Direkt aus dem Feld „prod_log_id“ zugeordnet.
Protokoll	network.ip_protocol	In Großbuchstaben umgewandelt. Wenn es sich um eine Zahl handelt, wird sie in den entsprechenden IP-Protokollnamen konvertiert. Wenn es „ICMP6“ ist, wird es durch „ICMP“ ersetzt. Direkt aus dem Protokollfeld zugeordnet.
ProviderGuid	metadata.product_deployment_id	Direkt aus dem Feld „ProviderGuid“ zugeordnet.
Abfrage	network.dns.questions.name	Direkt aus dem Abfragefeld zugeordnet.
query_type	network.dns.questions.type	In „question.type“ umbenannt und in das Array „network.dns.questions“ zusammengeführt. Wird basierend auf dem DHCP-Anfragetyp einem numerischen Wert zugeordnet.
Radio	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „radio“ dem Array „additional.fields“ hinzugefügt.
reason	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „reason“ dem Array „additional.fields“ hinzugefügt.
rec_bytes	network.received_bytes	In eine vorzeichenlose Ganzzahl konvertiert. Direkt aus dem Feld „rec_bytes“ zugeordnet.
RecordNumber	metadata.product_log_id	In einen String konvertiert. Direkt aus dem Feld „RecordNumber“ zugeordnet.
RelativeTargetName	target.process.file.full_path	Wird direkt aus dem Feld „RelativeTargetName“ zugeordnet.
response_ip	principal.ip, principal.asset.ip	Direkt aus dem Feld „response_ip“ zugeordnet.
rssi	intermediary.asset.product_object_id	Direkt aus dem Feld „rssi“ zugeordnet.
sc_action	security_result.action_details	Direkt aus dem Feld „sc_action“ zugeordnet.
sec_action	security_result.action	In das Array „security_result.action“ zusammengeführt.
server_ip	client_ip	Wird direkt dem Feld „client_ip“ zugeordnet.
Schweregrad	security_result.severity	Wird anhand des Werts einem Schweregrad zugeordnet: „Info“ –> INFORMATIONAL, „Error“ –> ERROR, „Warning“ –> MEDIUM, andere –> UNKNOWN_SEVERITY.
sha256	target.file.sha256	Direkt aus dem Feld „sha256“ zugeordnet.
Signatur	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „signature“ dem Array „additional.fields“ hinzugefügt.
SourceAddress	principal.ip, principal.asset.ip	Direkt aus dem Feld „SourceAddress“ zugeordnet.
SourceHandleId	src.resource.id	Direkt aus dem Feld „SourceHandleId“ zugeordnet.
SourceModuleName	observer.labels	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „SourceModuleName“ dem Array „observer.labels“ hinzugefügt.
SourceModuleType	observer.application	Direkt aus dem Feld „SourceModuleType“ zugeordnet.
SourcePort	principal.port	In eine Ganzzahl konvertiert. Direkt aus dem Feld „SourcePort“ zugeordnet.
SourceProcessId	src.process.pid	Direkt aus dem Feld „SourceProcessId“ zugeordnet.
source_client_ip	client_ip	Wird direkt dem Feld „client_ip“ zugeordnet.
sport	principal.port	In eine Ganzzahl konvertiert. Direkt aus dem Sportfeld zugeordnet.
src	principal.ip, principal.asset.ip	Direkt aus dem Feld „src“ zugeordnet.
ssid	network.session_id	Direkt aus dem Feld „ssid“ in JSON-Logs zugeordnet.
ssidName	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „ssidName“ dem Array „additional.fields“ hinzugefügt.
state	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „state“ dem Array „additional.fields“ hinzugefügt.
Status	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „Status“ dem Array „additional.fields“ hinzugefügt.
status_code	network.http.response_code	In eine Ganzzahl konvertiert. Direkt aus dem Feld „status_code“ zugeordnet.
SubjectDomainName	principal.administrative_domain	Direkt aus dem Feld „SubjectDomainName“ zugeordnet.
SubjectLogonId	principal.resource.attribute.labels	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „SubjectLogonId“ dem Array „principal.resource.attribute.labels“ hinzugefügt.
SubjectUserName	principal.user.userid	Direkt aus dem Feld „SubjectUserName“ zugeordnet.
SubjectUserSid	principal.user.windows_sid	Direkt aus dem Feld „SubjectUserSid“ zugeordnet.
targetHost	target.hostname, target.asset.hostname	Sofern möglich, in eine IP-Adresse umgewandelt. Andernfalls wird der Hostname extrahiert und target.hostname und target.asset.hostname zugeordnet.
TargetHandleId	target.resource.id	Direkt aus dem Feld „TargetHandleId“ zugeordnet.
TargetLogonId	principal.resource.attribute.labels	Wird als Schlüssel/Wert-Paar dem Array „principal.resource.attribute.labels“ mit dem Schlüssel „TargetLogonId“ hinzugefügt, wenn es sich von „SubjectLogonId“ unterscheidet.
TargetProcessId	target.process.pid	Direkt aus dem Feld „TargetProcessId“ zugeordnet.
TargetUserName	target.user.userid	Direkt aus dem Feld „TargetUserName“ zugeordnet.
TargetUserSid	target.user.windows_sid	Direkt aus dem Feld „TargetUserSid“ zugeordnet.
Aufgabe	additional.fields	In einen String konvertiert. Wird als Schlüssel/Wert-Paar mit dem Schlüssel „Task“ dem Array „additional.fields“ hinzugefügt.
timestamp	metadata.event_timestamp	Das Feld „seconds“ wird verwendet, um einen Zeitstempel zu erstellen.
ts	metadata.event_timestamp	Wenn „ts“ leer ist, wird es durch Kombinieren von „tsDate“, „tsTime“ und „tsTZ“ erstellt. Wenn es „“ enthält, wird es geparst, um den Ganzzahlwert zu extrahieren. Anschließend wird er in verschiedenen Formaten als Zeitstempel geparst.
Typ	security_result.summary, metadata.product_event_type	Direkt aus dem Feld „type“ in JSON-Logs zugeordnet. Wird in einigen Fällen auch als „eventSummary“ und „metadata.product_event_type“ verwendet.
URL	target.url, principal.url	Direkt aus dem Feld „url“ zugeordnet.
url1	target.url	Direkt aus dem Feld „url1“ zugeordnet.
Nutzer	target.user.group_identifiers	Wird in das Array „target.user.group_identifiers“ zusammengeführt.
user_id	target.user.userid	Direkt aus dem Feld „user_id“ zugeordnet.
UserID	principal.user.windows_sid	Direkt aus dem Feld „UserID“ zugeordnet.
Nutzername	principal.user.userid	Wird direkt aus dem Feld „UserName“ zugeordnet.
user_agent	network.http.user_agent	Direkt aus dem Feld „user_agent“ zugeordnet.
userId	target.user.userid	Direkt aus dem Feld „userId“ zugeordnet.
vap	additional.fields	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „vap“ dem Array „additional.fields“ hinzugefügt.
VirtualAccount	security_result.about.labels	Wird als Schlüssel/Wert-Paar dem Array „security_result.about.labels“ mit dem Schlüssel „VirtualAccount“ hinzugefügt.
wiredLastSeen	security_result.detection_fields	In einen String konvertiert. Wird als Schlüssel/Wert-Paar dem Array „security_result.detection_fields“ mit dem Schlüssel „wiredLastSeen“ hinzugefügt.
wiredMacs	intermediary.mac	In Kleinbuchstaben umgewandelt? In das Array „intermediary.mac“ zusammengeführt.
WorkstationName	hauptkonto.hostname, hauptkonto.asset.hostname	Direkt aus dem Feld „WorkstationName“ zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten