Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Datadog-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Datadog-Logs in Google Security Operations aufnehmen. Datadog ist eine cloudbasierte Monitoring- und Analyseplattform, die Messwerte, Traces und Logs von Anwendungen, Infrastruktur und Clouddiensten erfasst. Sie können Datadog-Logs über Cloud Storage oder einen Webhook für Google SecOps freigeben.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Privilegierter Nutzerzugriff auf Datadog
Zugriff auf die Google Cloud Console (zum Erstellen von API-Schlüsseln oder zum Konfigurieren von Cloud Storage)

Option 1: Datadog-Logfreigabe über die Cloud Storage-Konfiguration

Datadog-Integration mit Google Cloudkonfigurieren

Richten Sie eine Integration für Google Cloudin Datadog ein. Weitere Informationen finden Sie unter Datadog Google Cloud -Integration einrichten.

Cloud Storage-Bucket erstellen

In der Google Cloud Console anmelden
Rufen Sie die Seite Cloud Storage-Buckets auf.

Buckets aufrufen
Klicken Sie auf Erstellen.
Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:
1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:
  1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht (z. B. datadog-data).
  2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.
    
    Hinweis: Sie können den hierarchischen Namespace nicht in einem vorhandenen Bucket aktivieren.
  3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Abschnitt Labels zu maximieren.
  4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.
2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:
  1. Standorttyp auswählen.
  2. Wählen Sie im Drop-down-Menü für den Standorttyp einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.
3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.
4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.
5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:
  1. Wählen Sie unter Datenschutz die gewünschten Optionen für Ihren Bucket aus.
  2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit dem Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.
Klicken Sie auf Erstellen.

Hinweis :Fügen Sie keine Aufbewahrungsrichtlinie hinzu, da die neuesten Daten im Falle eines Zeitlimits überschrieben werden müssen.

Google Cloud Dienstkonto erstellen

Rufen Sie IAM & Verwaltung > Dienstkonten auf.
Erstellen Sie ein neues Dienstkonto.
Geben Sie ihm einen aussagekräftigen Namen, z. B. datadog-user.
Weisen Sie dem Dienstkonto die Rolle Storage-Objekt-Administrator für den Cloud Storage-Bucket zu, den Sie im vorherigen Schritt erstellt haben.
Erstellen Sie einen Schlüssel für das Dienstkonto und wählen Sie JSON als Schlüsseltyp aus.
Laden Sie die JSON-Schlüsseldatei für das Dienstkonto herunter. Bewahren Sie diese Datei sicher auf.

Datadog so konfigurieren, dass Logs an Cloud Storage gesendet werden

Melden Sie sich mit einem privilegierten Konto bei Datadog an.
Klicken Sie auf Logs > Log-Weiterleitung.
Klicken Sie auf + Neues Archiv erstellen.
Wählen Sie Google Cloud Storage aus.
Geben Sie die erforderlichen Parameter ein und klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um Logs aus dem Cloud Storage-Bucket aufzunehmen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Datadog Logs GCS.
Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
Wählen Sie Datadog als Logtyp aus.
Klicken Sie auf Dienstkonto abrufen, um das eindeutige Dienstkonto für diesen Feed zu erhalten.
Weisen Sie diesem Dienstkonto die Rolle Storage-Objekt-Betrachter für den zuvor erstellten Cloud Storage-Bucket zu.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage-Bucket-URI: Der Cloud Storage-Bucket-URI im Format gs://datadog-data.
- Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus.
- Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
Klicken Sie auf Weiter.
Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).

Option 2: Datadog-Logfreigabe über die Webhook-Konfiguration

Feeds einrichten

So konfigurieren Sie einen Feed:

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Datadog Logs.
Wählen Sie Webhook als Quelltyp aus.
Wählen Sie Datadog als Logtyp aus.
Klicken Sie auf Weiter.
Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
- Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.
Klicken Sie auf Weiter.
Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
Kopieren Sie den geheimen Schlüssel und speichern Sie ihn. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen geheimen Schlüssel generieren. Dadurch wird der vorherige geheime Schlüssel jedoch ungültig.
Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
Klicken Sie auf Fertig.

API-Schlüssel für den Webhook-Feed erstellen

Rufen Sie die Google Cloud Console > Anmeldedaten auf: Zu den Anmeldedaten.
Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.
Schränken Sie den API-Schlüsselzugriff auf die Chronicle API ein.

Endpunkt-URL angeben

Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed bereitgestellt wird.
Aktivieren Sie die Authentifizierung, indem Sie den API-Schlüssel und den geheimen Schlüssel als Teil des benutzerdefinierten Headers im folgenden Format angeben:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben.
Wenn Ihr Webhook-Client keine benutzerdefinierten Header unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mit Suchparametern im folgenden Format angeben:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```
Ersetzen Sie Folgendes:
- ENDPOINT_URL: Die Feed-Endpunkt-URL.
- API_KEY: Der API-Schlüssel für die Authentifizierung bei Google Security Operations.
- SECRET: der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Datadog so konfigurieren, dass Logs an den Webhook gesendet werden

Melden Sie sich mit einem privilegierten Konto bei Datadog an.
Klicken Sie auf Logs > Log-Weiterleitung.
Wählen Sie Benutzerdefinierte Ziele aus.
Klicken Sie auf + Neues Ziel erstellen.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Zieltyp auswählen: Wählen Sie HTTP aus.
- Ziel benennen: Geben Sie einen aussagekräftigen Namen für den Webhook an, z. B. Google SecOps Webhook.
- Ziel konfigurieren: Fügen Sie die ENDPOINT_URL des Feeds ein. Wählen Sie eine der folgenden Authentifizierungsoptionen aus (nicht beide):
  - Option A (empfohlen): Lassen Sie die URL ohne Anmeldedaten und übergeben Sie API_KEY und SECRET als benutzerdefinierte Header (im nächsten Schritt konfiguriert).
  - Option B: Hängen Sie die Anmeldedaten als Abfrageparameter im Format ENDPOINT_URL?key=API_KEY&secret=SECRET an die URL an. Verwenden Sie diese Option nur, wenn der Client keine benutzerdefinierten Headern senden kann.
- Authentifizierungseinstellungen konfigurieren: Für Datadog ist mindestens ein Authentifizierungsheader erforderlich, um das Ziel zu speichern. Fügen Sie den folgenden Header hinzu. Der Webhook-Endpunkt ignoriert sie, sodass sie sich nicht auf die Anfrage auswirkt.
  - Header name: Authorization.
  - Headerwert: application/json.
Klicken Sie auf Speichern.

Referenzlinks

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`additional_field`	`additional.fields`	Zusammengeführt
`anonymous_label`	`additional.fields`	Zusammengeführt
`as_domain_label`	`additional.fields`	Zusammengeführt
`as_name_label`	`additional.fields`	Zusammengeführt
`as_number_label`	`additional.fields`	Zusammengeführt
`as_type_label`	`additional.fields`	Zusammengeführt
`auth_method_label`	`additional.fields`	Zusammengeführt
`category_label`	`additional.fields`	Zusammengeführt
`emitted_source_label`	`additional.fields`	Zusammengeführt
`event_type_label`	`additional.fields`	Zusammengeführt
`geo_continent_code_label`	`additional.fields`	Zusammengeführt
`geo_continent_label`	`additional.fields`	Zusammengeführt
`geo_continent_name_label`	`additional.fields`	Zusammengeführt
`geo_country_code_label`	`additional.fields`	Zusammengeführt
`geo_latitude_label`	`additional.fields`	Zusammengeführt
`geo_longitude_label`	`additional.fields`	Zusammengeführt
`geo_subdivision_code_label`	`additional.fields`	Zusammengeführt
`geo_subdivision_name_label`	`additional.fields`	Zusammengeführt
`geo_timezone_label`	`additional.fields`	Zusammengeführt
`http_level_label`	`additional.fields`	Zusammengeführt
`indicator_label`	`additional.fields`	Zusammengeführt
`indicators_matched_label`	`additional.fields`	Zusammengeführt
`infrastructure_label`	`additional.fields`	Zusammengeführt
`intention_label`	`additional.fields`	Zusammengeführt
`iso_code_label`	`additional.fields`	Zusammengeführt
`new_template_variable_name_label`	`additional.fields`	Zusammengeführt
`new_template_variable_preset_name_label`	`additional.fields`	Zusammengeführt
`new_template_variable_value_label`	`additional.fields`	Zusammengeführt
`new_widget_definition_background_color_label`	`additional.fields`	Zusammengeführt
`new_widget_definition_layout_type_label`	`additional.fields`	Zusammengeführt
`new_widget_definition_show_title_label`	`additional.fields`	Zusammengeführt
`new_widget_definition_title_label`	`additional.fields`	Zusammengeführt
`new_widget_definition_type_label`	`additional.fields`	Zusammengeführt
`new_widget_id_label`	`additional.fields`	Zusammengeführt
`new_widget_layout_height_label`	`additional.fields`	Zusammengeführt
`new_widget_layout_width_label`	`additional.fields`	Zusammengeführt
`new_widget_layout_x_label`	`additional.fields`	Zusammengeführt
`new_widget_layout_y_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_id_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_name_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_new_value_dashboard_definition_author_handle_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_new_value_dashboard_definition_author_name_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_new_value_dashboard_definition_description_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_new_value_dashboard_definition_id_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_new_value_dashboard_definition_reflow_type_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_new_value_dashboard_definition_title_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_new_value_dashboard_definition_url_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_prev_value_dashboard_definition_author_handle_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_prev_value_dashboard_definition_author_name_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_prev_value_dashboard_definition_description_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_prev_value_dashboard_definition_id_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_prev_value_dashboard_definition_reflow_type_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_prev_value_dashboard_definition_title_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_prev_value_dashboard_definition_url_label`	`additional.fields`	Zusammengeführt
`record_attributes_asset_type_label`	`additional.fields`	Zusammengeführt
`record_attributes_contextMap_cfRay_label`	`additional.fields`	Zusammengeführt
`record_attributes_contextMap_tradingAccountId_label`	`additional.fields`	Zusammengeführt
`record_attributes_evt_name_label`	`additional.fields`	Zusammengeführt
`record_attributes_network_client_geoip_as_number_label`	`additional.fields`	Zusammengeführt
`record_attributes_network_client_geoip_as_type_label`	`additional.fields`	Zusammengeführt
`record_attributes_network_client_geoip_location_latitude_label`	`additional.fields`	Zusammengeführt
`record_attributes_network_client_geoip_location_longitude_label`	`additional.fields`	Zusammengeführt
`record_attributes_network_client_geoip_subdivision_iso_code_label`	`additional.fields`	Zusammengeführt
`record_attributes_network_client_geoip_subdivision_name_label`	`additional.fields`	Zusammengeführt
`record_attributes_network_client_geoip_timezone_label`	`additional.fields`	Zusammengeführt
`record_trace_id_label`	`additional.fields`	Zusammengeführt
`request_id_label`	`additional.fields`	Zusammengeführt
`risk_label`	`additional.fields`	Zusammengeführt
`service_label`	`additional.fields`	Zusammengeführt
`source_name_label`	`additional.fields`	Zusammengeführt
`source_type_label`	`additional.fields`	Zusammengeführt
`source_url_label`	`additional.fields`	Zusammengeführt
`span_id_label`	`additional.fields`	Zusammengeführt
`symbol_label`	`additional.fields`	Zusammengeführt
`tag_label`	`additional.fields`	Zusammengeführt
`template_variable_name_label`	`additional.fields`	Zusammengeführt
`template_variable_preset_name_label`	`additional.fields`	Zusammengeführt
`template_variable_value_label`	`additional.fields`	Zusammengeführt
`timezone_label`	`additional.fields`	Zusammengeführt
`tunnels_operator_label`	`additional.fields`	Zusammengeführt
`tunnels_type_label`	`additional.fields`	Zusammengeführt
`type_label`	`additional.fields`	Zusammengeführt
`type_label1`	`additional.fields`	Zusammengeführt
`url_details_host_label`	`additional.fields`	Zusammengeführt
`url_details_path_label`	`additional.fields`	Zusammengeführt
`user_created_timestamp_label`	`additional.fields`	Zusammengeführt
`widget_definition_background_color_label`	`additional.fields`	Zusammengeführt
`widget_definition_layout_type_label`	`additional.fields`	Zusammengeführt
`widget_definition_show_title_label`	`additional.fields`	Zusammengeführt
`widget_definition_title_label`	`additional.fields`	Zusammengeführt
`widget_definition_type_label`	`additional.fields`	Zusammengeführt
`widget_id_label`	`additional.fields`	Zusammengeführt
`widget_layout_height_label`	`additional.fields`	Zusammengeführt
`widget_layout_width_label`	`additional.fields`	Zusammengeführt
`widget_layout_x_label`	`additional.fields`	Zusammengeführt
`widget_layout_y_label`	`additional.fields`	Zusammengeführt
`eventMessage`	`metadata.description`	Direkt zugeordnet
`date1`	`metadata.event_timestamp`	Geparst als `ISO8601`
`record.date1`	`metadata.event_timestamp`	Geparst als `ISO8601`
`event_type`	`metadata.event_type`	Direkt zugeordnet
`has_principal`	`metadata.event_type`	Zugeordnet: `true` → `NETWORK_CONNECTION`, `true` → `STATUS_UPDATE`
`has_user`	`metadata.event_type`	Zugeordnet: `true` → `USER_UNCATEGORIZED`
`attributes._trace.origin.operation`	`metadata.product_event_type`	Direkt zugeordnet
`eventType`	`metadata.product_event_type`	Direkt zugeordnet
`record_attributes_contextMap_eventType`	`metadata.product_event_type`	Direkt zugeordnet
`source`	`metadata.product_event_type`	Direkt zugeordnet
`_id`	`metadata.product_log_id`	Direkt zugeordnet
`record_attributes_thread_id`	`metadata.product_log_id`	Direkt zugeordnet
`threadID`	`metadata.product_log_id`	Direkt zugeordnet
`service`	`metadata.product_name`	Direkt zugeordnet
`attributes.@version`	`metadata.product_version`	Direkt zugeordnet
`attributes.http.method`	`network.http.method`	Direkt zugeordnet
`agnt`	`network.http.parsed_user_agent`	Direkt zugeordnet
`record_attributes_contextMap_userAgent`	`network.http.parsed_user_agent`	Direkt zugeordnet
`attributes.http.status_code`	`network.http.response_code`	Umbenannt/zugeordnet
`agnt`	`network.http.user_agent`	Direkt zugeordnet
`attributes.http.useragent`	`network.http.user_agent`	Direkt zugeordnet
`record_attributes_contextMap_userAgent`	`network.http.user_agent`	Direkt zugeordnet
`attributes.logger_name`	`principal.application`	Direkt zugeordnet
`service`	`principal.application`	Direkt zugeordnet
`attributes._trace.baggage.device_id`	`principal.asset.asset_id`	Direkt zugeordnet
`attributes.metadata.host_metadata.hostname`	`principal.asset.hostname`	Direkt zugeordnet
`attributes.usr.id`	`principal.asset.hostname`	Direkt zugeordnet
`attributes.network.client.geoip.ipAddress`	`principal.asset.ip`	Zusammengeführt
`attributes.network.client.ip`	`principal.asset.ip`	Zusammengeführt
`ip1`	`principal.asset.ip`	Zusammengeführt
`ipAddress`	`principal.asset.ip`	Direkt zugeordnet
`principal_ip_address`	`principal.asset.ip`	Zusammengeführt
`record_attributes_network_client_ip`	`principal.asset.ip`	Zusammengeführt
`org`	`principal.group.group_display_name`	Direkt zugeordnet
`attributes.org.uuid`	`principal.group.product_object_id`	Direkt zugeordnet
`attributes.metadata.host_metadata.hostname`	`principal.hostname`	Direkt zugeordnet
`attributes.usr.id`	`principal.hostname`	Direkt zugeordnet
`host`	`principal.hostname`	Direkt zugeordnet
`record_host`	`principal.hostname`	Direkt zugeordnet
`attributes.network.client.geoip.ipAddress`	`principal.ip`	Zusammengeführt
`attributes.network.client.ip`	`principal.ip`	Zusammengeführt
`ip1`	`principal.ip`	Zusammengeführt
`ipAddress`	`principal.ip`	Direkt zugeordnet
`principal_ip_address`	`principal.ip`	Zusammengeführt
`record_attributes_network_client_ip`	`principal.ip`	Zusammengeführt
`record_attributes_http_url_details_host_label`	`principal.labels`	Zusammengeführt
`record_attributes_http_url_details_path_label`	`principal.labels`	Zusammengeführt
`record_attributes_http_useragent_label`	`principal.labels`	Zusammengeführt
`record_attributes_network_client_geoip_as_domain_label`	`principal.labels`	Zusammengeführt
`record_attributes_network_client_geoip_as_route_label`	`principal.labels`	Zusammengeführt
`record_attributes_network_client_geoip_city_name_label`	`principal.labels`	Zusammengeführt
`record_attributes_network_client_geoip_continent_code_label`	`principal.labels`	Zusammengeführt
`record_attributes_network_client_geoip_continent_name_label`	`principal.labels`	Zusammengeführt
`record_attributes_network_client_geoip_country_iso_code_label`	`principal.labels`	Zusammengeführt
`record_attributes_network_client_geoip_country_name_label`	`principal.labels`	Zusammengeführt
`record_attributes_usr_id_label`	`principal.labels`	Zusammengeführt
`attributes.network.client.geoip.city.name`	`principal.location.city`	Direkt zugeordnet
`attributes.network.client.geoip.country.name`	`principal.location.country_or_region`	Direkt zugeordnet
`port`	`principal.port`	Umbenannt/zugeordnet
`client_as_route_label`	`principal.resource.attribute.labels`	Zusammengeführt
`client_type_label`	`principal.resource.attribute.labels`	Zusammengeführt
`org_name_label`	`principal.resource.attribute.labels`	Zusammengeführt
`record_attributes_usr_uuid_label`	`principal.user.attribute.labels`	Zusammengeführt
`roles`	`principal.user.attribute.roles`	Zusammengeführt
`attributes.usr.email`	`principal.user.email_addresses`	Zusammengeführt
`email_id`	`principal.user.email_addresses`	Zusammengeführt
`record_attributes_usr_email`	`principal.user.email_addresses`	Zusammengeführt
`attributes.evt.actor.type`	`principal.user.role_name`	Direkt zugeordnet
`attributes.metadata.user_uuid`	`principal.user.userid`	Direkt zugeordnet
`attributes.usr.uuid`	`principal.user.userid`	Direkt zugeordnet
`record_attributes_contextMap_user`	`principal.user.userid`	Direkt zugeordnet
`user`	`principal.user.userid`	Direkt zugeordnet
`BusArch_label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`CANDBVersion_label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`alert_label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`caller_label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`component_label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`esn_label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`ftcpVersion_label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`ingestMessageId_label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`level_label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`msg_label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`query_label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`redactedVin_label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`updated_query_label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`vehicleId_label`	`security_result.about.resource.attribute.labels`	Zusammengeführt
`category1`	`security_result.category_details`	Zusammengeführt
`_id_label`	`security_result.detection_fields`	Zusammengeführt
`action_label`	`security_result.detection_fields`	Zusammengeführt
`org_uuid_label`	`security_result.detection_fields`	Zusammengeführt
`record_attributes_http_method_label`	`security_result.detection_fields`	Zusammengeführt
`record_message_label`	`security_result.detection_fields`	Zusammengeführt
`record_source_label`	`security_result.detection_fields`	Zusammengeführt
`record_status_label`	`security_result.detection_fields`	Zusammengeführt
`status`	`security_result.severity`	Zugeordnet: `"INFO", "DEBUG", "debug", "info"` → `LOW`, `(?i)WARN` → `MEDIUM`
`status`	`security_result.severity_details`	Direkt zugeordnet
`context.AlertName`	`security_result.threat_name`	Direkt zugeordnet
`src_ip_address`	`src.ip`	Zusammengeführt
`record_attributes_contextMap_dd_service`	`target.application`	Direkt zugeordnet
`target_ip_address`	`target.asset.ip`	Zugeordnet: `^(?:[0-9]{1,3}[.]){3}[0-9]{1,3}$` → `target_ip_address`
`target_ip_address`	`target.ip`	Zugeordnet: `^(?:[0-9]{1,3}[.]){3}[0-9]{1,3}$` → `target_ip_address`
`record_attributes_contextMap_dd_version`	`target.platform_version`	Direkt zugeordnet
`logger_fqcn_label`	`target.resource.attribute.labels`	Zusammengeführt
`logger_label`	`target.resource.attribute.labels`	Zusammengeführt
`modified_fields_label`	`target.resource.attribute.labels`	Zusammengeführt
`asset_name`	`target.resource.name`	Direkt zugeordnet
`asset_id`	`target.resource.product_object_id`	Direkt zugeordnet
`asset_type`	`target.resource.type`	Direkt zugeordnet
`record_attributes_contextMap_dd_env`	`target.resource.type`	Direkt zugeordnet
`record_attributes_contextMap_userId`	`target.user.userid`	Direkt zugeordnet
`record_attributes_user`	`target.user.userid`	Direkt zugeordnet
–	`metadata.event_type`	Konstante: `NETWORK_CONNECTION`
–	`network.http.parsed_user_agent`	Konstante: `parseduseragent`
–	`security_result.severity`	Konstante: `LOW`

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten