Microsoft Exchange のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Microsoft Exchange ログを Google Security Operations に取り込む方法について説明します。取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。 このドキュメントの情報は、取り込みラベル EXCHANGE_MAIL が付加されたパーサーに適用されます。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Microsoft Exchange Server がインストールされている Windows Server 2016 以降
- Exchange Server への管理者権限
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows オペレーティング システムに Bindplane エージェントをインストールします。
Windows へのインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
- 次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Windows イベントログを収集して Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Windows の場合は `C:\Program Files\observIQ OpenTelemetry Collector` ディレクトリにあります。- テキスト エディタ(メモ帳や Notepad++ など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: windowseventlog/exchange_application: channel: Application raw: true max_reads: 100 poll_interval: 5s start_at: end windowseventlog/exchange_system: channel: System raw: true max_reads: 100 poll_interval: 5s start_at: end windowseventlog/exchange_management: channel: MSExchange Management raw: true max_reads: 100 poll_interval: 5s start_at: end processors: batch: exporters: chronicle/exchange: compression: gzip # Adjust the path to the credentials file you downloaded earlier creds_file_path: 'C:\path\to\ingestion-authentication-file.json' # Replace with your actual customer ID customer_id: <PLACEHOLDER_CUSTOMER_ID> endpoint: <YOUR_REGIONAL_ENDPOINT> # Add ingestion labels for Exchange logs log_type: 'EXCHANGE_MAIL' raw_log_field: body ingestion_labels: service: pipelines: logs/exchange: receivers: - windowseventlog/exchange_application - windowseventlog/exchange_system - windowseventlog/exchange_management processors: - batch exporters: - chronicle/exchange<PLACEHOLDER_CUSTOMER_ID>は、前に取得した実際のお客様 ID に置き換えます。<YOUR_REGIONAL_ENDPOINT>は、リージョン エンドポイントのドキュメントから適切なリージョン エンドポイントに置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
設定に関する注意点
- アプリケーション チャネル: サービス起動、エラー、警告など、Exchange Server からアプリケーション レベルのイベントを収集します。
- システム チャネル: Exchange Server の動作に影響する可能性のあるシステムレベルのイベントを収集します。
- MSExchange Management チャネル: PowerShell cmdlet の実行や管理アクションなど、Exchange 固有の管理イベントを収集します。
- raw: true: 完全に解析できるように、完全な Windows イベントログ エントリを元の形式で送信します。
- start_at: end: 現在の時点から新しいイベントの収集を開始します(履歴ログは取り込みません)。
Bindplane エージェントを再起動して変更を適用する
Windows で Bindplane エージェントを再起動するには、サービス コンソールを使用するか、管理者として次のコマンドを入力します。
net stop "observIQ OpenTelemetry Collector" && net start "observIQ OpenTelemetry Collector"
UDM マッピング
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| c-ip | read_only_udm.target.asset.ip | 「c-ip」フィールドから取得された値 |
| c-ip | read_only_udm.target.ip | 「c-ip」フィールドから取得された値 |
| client-hostname | read_only_udm.principal.asset.hostname | 「client-hostname」フィールドから取得された値 |
| client-hostname | read_only_udm.principal.hostname | 「client-hostname」フィールドから取得された値 |
| client-ip | read_only_udm.principal.asset.ip | 「client-ip」フィールドから取得された値 |
| client-ip | read_only_udm.principal.ip | 「client-ip」フィールドから取得された値 |
| column1 | read_only_udm.metadata.event_timestamp | 「column1」フィールドから取得された値 |
| column10 | read_only_udm.intermediary.resource.attribute.labels.value | 「column10」フィールドから取得された値 |
| column11 | read_only_udm.network.email.mail_id | 「column11」フィールドから取得された値 |
| column12 | read_only_udm.additional.fields.value.string_value | 「column12」フィールドから取得された値 |
| column13 | read_only_udm.network.email.to | 「column13」フィールドから取得された値 |
| column13 | read_only_udm.target.user.email_addresses | 「column13」フィールドから取得された値 |
| column15 | read_only_udm.additional.fields.value.string_value | 「column15」フィールドから取得された値 |
| column16 | read_only_udm.target.resource.attribute.labels.value | 「column16」フィールドから取得された値 |
| column19 | read_only_udm.network.email.subject | 「column19」フィールドから取得された値 |
| column2 | read_only_udm.principal.asset.ip | 「column2」フィールドから取得された値 |
| column2 | read_only_udm.principal.ip | 「column2」フィールドから取得された値 |
| column20 | read_only_udm.network.email.from | 「column20」フィールドから取得された値 |
| column20 | read_only_udm.principal.user.email_addresses | 「column20」フィールドから取得された値 |
| column21 | read_only_udm.security_result.detection_fields.value | 「column21」フィールドから取得された値 |
| column22 | read_only_udm.security_result.description | 「column22」フィールドから取得された値 |
| column24 | read_only_udm.additional.fields.value.string_value | 「column24」フィールドから取得された値 |
| column25 | read_only_udm.principal.asset.ip | 「column25」フィールドから取得された値 |
| column25 | read_only_udm.principal.ip | 「column25」フィールドから取得された値 |
| column26 | read_only_udm.target.asset.ip | 「column26」フィールドから取得された値 |
| column26 | read_only_udm.target.ip | 「column26」フィールドから取得された値 |
| column27 | read_only_udm.security_result.detection_fields.value | 「column27」フィールドから取得された値 |
| column28 | read_only_udm.additional.fields.value.string_value | 「column28」フィールドから取得された値 |
| column29 | read_only_udm.metadata.product_log_id | 「column29」フィールドから取得された値 |
| column3 | read_only_udm.principal.asset.hostname | 「column3」フィールドから取得された値 |
| column3 | read_only_udm.principal.hostname | 「column3」フィールドから取得された値 |
| column30 | read_only_udm.metadata.product_version | 「column30」フィールドから取得された値 |
| column4 | read_only_udm.target.asset.ip | 「column4」フィールドから取得された値 |
| column4 | read_only_udm.target.ip | 「column4」フィールドから取得された値 |
| column5 | read_only_udm.target.asset.hostname | 「column5」フィールドから取得された値 |
| column5 | read_only_udm.target.hostname | 「column5」フィールドから取得された値 |
| column6 | read_only_udm.metadata.event_timestamp | 「column6」フィールドから取得された値 |
| column6 | read_only_udm.network.http.response_code | 「column6」フィールドから取得された値 |
| column6 | read_only_udm.network.session_id | 「column6」フィールドから取得された値 |
| column6 | read_only_udm.metadata.description | 「column6」フィールドから取得された値 |
| column7 | read_only_udm.additional.fields.value.string_value | 「column7」フィールドから取得された値 |
| column8 | read_only_udm.additional.fields.value.string_value | 「column8」フィールドから取得された値 |
| column9 | read_only_udm.metadata.product_event_type | 「column9」フィールドから取得された値 |
| connector_id | read_only_udm.additional.fields.value.string_value | 「connector-id」フィールドから取得された値 |
| cs-method | read_only_udm.network.http.method | 「cs-method」フィールドから取得された値 |
| cs-uri-query | read_only_udm.target.url | 「cs-uri-query」フィールドから取得された値 |
| cs-uri-stem | read_only_udm.target.url | 「cs-uri-stem」フィールドから取得された値 |
| csReferer | read_only_udm.network.http.referral_url | 「csReferer」フィールドから取得された値 |
| csUser-Agent | read_only_udm.network.http.user_agent | 「csUser-Agent」フィールドから取得された値 |
| cs-username | read_only_udm.principal.user.userid | 「cs-username」フィールドから取得された値 |
| custom-data | read_only_udm.security_result.detection_fields.value | 「custom-data」フィールドから取得された値 |
| データ | read_only_udm.security_result.about.labels.value | 「data」フィールドから取得された値 |
| データ | read_only_udm.security_result.description | 「data」フィールドから取得された値 |
| データ | read_only_udm.network.email.from | 「data」フィールドから取得された値 |
| データ | read_only_udm.network.email.to | 「data」フィールドから取得された値 |
| データ | read_only_udm.target.hostname | 「data」フィールドから取得された値 |
| データ | read_only_udm.security_result.description | 「data」フィールドから取得された値 |
| データ | read_only_udm.network.sent_bytes | 「data」フィールドから取得された値 |
| データ | read_only_udm.target.user.email_addresses | 「data」フィールドから取得された値 |
| 日付 | read_only_udm.metadata.event_timestamp | 「date」フィールドと「time」フィールドから取得された値 |
| date-time | read_only_udm.metadata.event_timestamp | 「date-time」フィールドから取得された値 |
| DeliveryLatency | read_only_udm.security_result.detection_fields.value | 「custom-data」または「message-info」の「DeliveryLatency」フィールドから取得した値 |
| DeliveryPriority | read_only_udm.security_result.detection_fields.value | 「custom-data」または「column21」フィールドの「DeliveryPriority」フィールドから取得された値 |
| DeliveryPriority | read_only_udm.security_result.priority | 「DeliveryPriority」が「Low」または「Normal」の場合は「LOW_PRIORITY」、「DeliveryPriority」が「Medium」の場合は「MEDIUM_PRIORITY」、「DeliveryPriority」が「High」の場合は「HIGH_PRIORITY」 |
| 方向性 | read_only_udm.network.direction | directionality が Incoming の場合は INBOUND、directionality が Originating の場合は OUTBOUND |
| E2ELatency | read_only_udm.security_result.detection_fields.value | 「custom-data」または「message-info」の「E2ELatency」フィールドから取得した値 |
| イベント | read_only_udm.metadata.product_event_type | 「event」が「+」の場合は「Connect」、「event」が「-」の場合は「Disconnect」、「event」が「*」の場合は「Information」、「event」が「>」の場合は「Send」、「event」が「<」の場合は「Receive」 |
| イベント | read_only_udm.network.direction | event が > の場合は OUTBOUND、event が < の場合は INBOUND |
| EventID | read_only_udm.security_result.detection_fields.value | 「EventID」フィールドから取得された値 |
| EventReceivedTime | read_only_udm.metadata.collected_timestamp | 「EventReceivedTime」フィールドから取得された値 |
| EventReceivedTime | read_only_udm.metadata.event_timestamp | 「column6」の「EventReceivedTime」フィールドから取得された値 |
| FirstForestHop | read_only_udm.security_result.detection_fields.value | 「custom-data」の「FirstForestHop」フィールドから取得された値 |
| FromEntity | read_only_udm.security_result.detection_fields.value | 「custom-data」または「message-info」の「FromEntity」フィールドから取得された値 |
| guid | read_only_udm.metadata.product_log_id | 「guid」フィールドから取得された値 |
| ホスト名 | read_only_udm.principal.asset.hostname | 「Hostname」フィールドから取得された値 |
| ホスト名 | read_only_udm.principal.hostname | 「Hostname」フィールドから取得された値 |
| IncludeInSla | read_only_udm.security_result.detection_fields.value | 「custom-data」または「message-info」の「IncludeInSla」フィールドから取得された値 |
| internal-message-id | read_only_udm.intermediary.resource.attribute.labels.value | 「internal-message-id」フィールドから取得された値 |
| IsProbe | read_only_udm.security_result.detection_fields.value | 「custom-data」の「IsProbe」フィールドまたは「column21」フィールドから取得された値 |
| キーワード | read_only_udm.security_result.detection_fields.value | 「キーワード」フィールドから取得された値 |
| local-endpoint | read_only_udm.principal.asset.ip | 「local-endpoint」フィールドから取得された値 |
| local-endpoint | read_only_udm.principal.ip | 「local-endpoint」フィールドから取得された値 |
| local-endpoint | read_only_udm.principal.port | 「local-endpoint」フィールドから取得された値 |
| メールボックス | read_only_udm.security_result.detection_fields.value | 「custom-data」または「message-info」の「Mailboxes」フィールドから取得した値 |
| MailboxDatabaseGuid | read_only_udm.security_result.detection_fields.value | 「custom-data」または「message-info」の「MailboxDatabaseGuid」フィールドから取得された値 |
| MAIL FROM | read_only_udm.network.email.from | 「data」の「MAIL FROM」フィールドから取得された値 |
| MAIL FROM | read_only_udm.principal.user.email_addresses | 「data」の「MAIL FROM」フィールドから取得された値 |
| MAIL From | read_only_udm.network.email.from | 「data」の「MAIL From」フィールドから取得された値 |
| MAIL From | read_only_udm.principal.user.email_addresses | 「data」の「MAIL From」フィールドから取得された値 |
| message-id | read_only_udm.network.email.mail_id | 「message-id」フィールドから取得された値 |
| message-info | read_only_udm.security_result.detection_fields.value | 「message-info」フィールドから取得された値 |
| message-info | read_only_udm.security_result.description | 「message-info」フィールドから取得された値 |
| MessageValue | read_only_udm.security_result.detection_fields.value | 「custom-data」の「MessageValue」フィールドから取得された値 |
| message-subject | read_only_udm.network.email.subject | 「message-subject」フィールドから取得された値 |
| method | read_only_udm.network.http.method | 「method」フィールドから取得された値 |
| Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel | read_only_udm.security_result.detection_fields.value | 「custom-data」の「Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel」フィールドから取得された値 |
| MsgRecipCount | read_only_udm.security_result.detection_fields.value | 「custom-data」または「message-info」の「MsgRecipCount」フィールドから取得された値 |
| network-message-id | read_only_udm.additional.fields.value.string_value | 「network-message-id」フィールドから取得された値 |
| OriginalFromAddress | read_only_udm.principal.user.email_addresses | 「custom-data」の「OriginalFromAddress」フィールドまたは「column21」フィールドから取得された値 |
| P2RecipStat | read_only_udm.security_result.detection_fields.value | 「custom-data」または「message-info」の「P2RecipStat」フィールドから取得した値 |
| PersistProbeTrace | read_only_udm.security_result.detection_fields.value | 「custom-data」または「column21」フィールドの「PersistProbeTrace」フィールドから取得された値 |
| PrioritizationReason | read_only_udm.security_result.detection_fields.value | 「custom-data」の「PrioritizationReason」フィールドから取得された値 |
| ProbeType | read_only_udm.security_result.detection_fields.value | 「custom-data」または「column21」フィールドの「ProbeType」フィールドから取得された値 |
| ProcessID | read_only_udm.principal.process.pid | 「ProcessID」フィールドから取得された値 |
| ProxiedClientHostname | read_only_udm.intermediary.hostname | 「custom-data」の「ProxiedClientHostname」フィールドから取得された値 |
| ProxiedClientIPAddress | read_only_udm.intermediary.asset.ip | 「custom-data」の「ProxiedClientIPAddress」フィールドから取得された値 |
| ProxiedClientIPAddress | read_only_udm.intermediary.ip | 「custom-data」の「ProxiedClientIPAddress」フィールドから取得された値 |
| ProxyHop1 | read_only_udm.security_result.detection_fields.value | 「custom-data」の「ProxyHop1」フィールドから取得された値 |
| RCPT TO | read_only_udm.network.email.to | 「data」の「RCPT TO」フィールドから取得された値 |
| RCPT TO | read_only_udm.target.user.email_addresses | 「data」の「RCPT TO」フィールドから取得された値 |
| RCPT To | read_only_udm.network.email.to | 「data」の「RCPT To」フィールドから取得された値 |
| RCPT To | read_only_udm.target.user.email_addresses | 「data」の「RCPT To」フィールドから取得された値 |
| recipient-address | read_only_udm.target.user.email_addresses | 「recipient-address」フィールドから取得された値 |
| recipient-count | read_only_udm.target.resource.attribute.labels.value | 「recipient-count」フィールドから取得された値 |
| recipient-status | read_only_udm.target.resource.attribute.labels.value | 「recipient-status」フィールドから取得された値 |
| remote-endpoint | read_only_udm.target.asset.ip | 「remote-endpoint」フィールドから取得された値 |
| remote-endpoint | read_only_udm.target.ip | 「remote-endpoint」フィールドから取得された値 |
| remote-endpoint | read_only_udm.target.port | 「remote-endpoint」フィールドから取得された値 |
| res_code | read_only_udm.network.http.response_code | 「res_code」フィールドから取得された値 |
| s-ip | read_only_udm.principal.asset.ip | 「s-ip」フィールドから取得された値 |
| s-ip | read_only_udm.principal.ip | 「s-ip」フィールドから取得された値 |
| s-port | read_only_udm.principal.port | 「s-port」フィールドから取得された値 |
| sc-status | read_only_udm.network.http.response_code | 「sc-status」フィールドから取得された値 |
| sc-substatus | read_only_udm.additional.fields.value.string_value | 「sc-substatus」フィールドから取得された値 |
| sender-address | read_only_udm.network.email.from | 「sender-address」フィールドから取得された値 |
| sender-address | read_only_udm.principal.user.email_addresses | 「sender-address」フィールドから取得された値 |
| sequence-number | read_only_udm.additional.fields.value.number_value | 「sequence-number」フィールドから取得された値 |
| server-hostname | read_only_udm.target.asset.hostname | 「server-hostname」フィールドから取得された値 |
| server-hostname | read_only_udm.target.hostname | 「server-hostname」フィールドから取得された値 |
| server-ip | read_only_udm.target.asset.ip | 「server-ip」フィールドから取得された値 |
| server-ip | read_only_udm.target.ip | 「server-ip」フィールドから取得された値 |
| session-id | read_only_udm.network.session_id | 「session-id」フィールドから取得された値 |
| sessionid | read_only_udm.network.session_id | 「sessionid」フィールドから取得された値 |
| 重大度 | read_only_udm.security_result.severity | 「Severity」に「Info」が含まれている場合は「INFORMATIONAL」、「Severity」に「Error」が含まれている場合は「ERROR」、「Severity」に「Warning」が含まれている場合は「MEDIUM」、それ以外の場合は「UNKNOWN_SEVERITY」 |
| SeverityValue | read_only_udm.security_result.severity_details | 「SeverityValue」フィールドから取得された値 |
| SlaExclusionReason | read_only_udm.security_result.detection_fields.value | 「custom-data」の「SlaExclusionReason」フィールドから取得された値 |
| ソース | read_only_udm.additional.fields.value.string_value | 「source」フィールドから取得された値 |
| SourceModuleName | read_only_udm.principal.resource.name | 「SourceModuleName」フィールドから取得された値 |
| SourceModuleType | read_only_udm.principal.resource.type | 「SourceModuleType」フィールドから取得された値 |
| SourceName | read_only_udm.principal.resource.attribute.labels.value | 「SourceName」フィールドから取得された値 |
| StoreObjectIds | read_only_udm.security_result.detection_fields.value | 「custom-data」または「message-info」の「StoreObjectIds」フィールドから取得した値 |
| タスク | read_only_udm.security_result.detection_fields.value | 「Task」フィールドから取得された値 |
| ThreadID | read_only_udm.security_result.detection_fields.value | 「ThreadID」フィールドから取得された値 |
| 時間 | read_only_udm.metadata.event_timestamp | 「date」フィールドと「time」フィールドから取得された値 |
| ToEntity | read_only_udm.security_result.detection_fields.value | 「custom-data」または「message-info」の「ToEntity」フィールドから取得された値 |
| total-bytes | read_only_udm.additional.fields.value.string_value | 「total-bytes」フィールドから取得された値 |
| TransportTrafficSubType | read_only_udm.security_result.detection_fields.value | 「custom-data」の「TransportTrafficSubType」フィールドから取得された値 |
| TransportTrafficSubType | read_only_udm.metadata.product_version | 「custom-data」の「TransportTrafficSubType」フィールドから取得された値 |
| ts | read_only_udm.metadata.event_timestamp | 「ts」フィールドから取得された値 |
| u_agent | read_only_udm.network.http.user_agent | 「u_agent」フィールドから取得された値 |
| u_param | read_only_udm.target.url | 「u_param」フィールドから取得された値 |
| u_path | read_only_udm.target.url | 「u_path」フィールドから取得された値 |
| u_path | read_only_udm.target.url | 「u_path」フィールドと「u_param」フィールドから取得された値 |
| ユーザー | read_only_udm.target.user.userid | 「user」フィールドから取得された値 |
| ユーザー | read_only_udm.target.user.email_addresses | 「user」フィールドから取得された値 |
| metadata.event_type | read_only_udm.metadata.event_type | 「has_principal_email」が「true」で「has_target_email」が「true」の場合、「EMAIL_TRANSACTION」。「event_type」が「GENERIC_EVENT」で、「principal_hostname」、「s_ip」、「host」のいずれかが空でないか、「has_principal」が「true」の場合、「STATUS_UPDATE」。「event_type」が「GENERIC_EVENT」で、「has_principal_email」が「true」または「has_target_email」が「true」の場合、「USER_UNCATEGORIZED」。それ以外の場合は、「event_type」フィールドから値を取得します。 |
| metadata.log_type | read_only_udm.metadata.log_type | ハードコードされた値「EXCHANGE_MAIL」 |
| metadata.product_name | read_only_udm.metadata.product_name | ハードコードされた値「Exchange Mail」 |
| metadata.vendor_name | read_only_udm.metadata.vendor_name | ハードコードされた値「Microsoft」 |
| network.application_protocol | read_only_udm.network.application_protocol | app_protocol が SMTP、HTTP、HTTPS のいずれかの場合、app_protocol フィールドから値を取得します。app_protocol に SMTP が含まれている場合は SMTP |
| network.direction | read_only_udm.network.direction | s_ip が空でない場合は INBOUND |
| network.email.from | read_only_udm.network.email.from | 「from_mail」フィールドから取得された値 |
| network.email.mail_id | read_only_udm.network.email.mail_id | 「msg_id」フィールドから取得された値 |
| network.email.subject | read_only_udm.network.email.subject | 「column19」フィールドから取得された値 |
| network.email.to | read_only_udm.network.email.to | 「to_mail」フィールドから取得された値 |
| network.http.method | read_only_udm.network.http.method | 「method」フィールドから取得された値 |
| network.http.response_code | read_only_udm.network.http.response_code | 「res_code」フィールドから取得された値 |
| network.http.user_agent | read_only_udm.network.http.user_agent | 「u_agent」フィールドから取得された値 |
| network.sent_bytes | read_only_udm.network.sent_bytes | 「sent_bytes」フィールドから取得された値 |
| network.session_id | read_only_udm.network.session_id | 「sessionid」フィールドから取得された値 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 「principal_hostname」フィールドから取得された値 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 「host」フィールドから取得された値 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 「column3」フィールドから取得された値 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 「column2」フィールドから取得された値 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 「column25」フィールドから取得された値 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 「s_ip」フィールドから取得された値 |
| principal.hostname | read_only_udm.principal.hostname | 「principal_hostname」フィールドから取得された値 |
| principal.hostname | read_only_udm.principal.hostname | 「host」フィールドから取得された値 |
| principal.hostname | read_only_udm.principal.hostname | 「column3」フィールドから取得された値 |
| principal.ip | read_only_udm.principal.ip | 「column2」フィールドから取得された値 |
| principal.ip | read_only_udm.principal.ip | 「column25」フィールドから取得された値 |
| principal.ip | read_only_udm.principal.ip | 「s_ip」フィールドから取得された値 |
| principal.port | read_only_udm.principal.port | 「s-port」フィールドから取得された値 |
| principal.user.email_addresses | read_only_udm.principal.user.email_addresses | 「mail」フィールドから取得された値 |
| principal.user.email_addresses | read_only_udm.principal.user.email_addresses | 「email_address」フィールドから取得された値 |
| principal.user.userid | read_only_udm.principal.user.userid | 「cs-username」フィールドから取得された値 |
| security_result.about.labels.key | read_only_udm.security_result.about.labels.key | ハードコードされた値「Response Code」 |
| security_result.description | read_only_udm.security_result.description | 「context」フィールドから取得された値 |
| security_result.description | read_only_udm.security_result.description | 「column22」フィールドから取得された値 |
| security_result.priority | read_only_udm.security_result.priority | 「severity」が「1」、「2」、「3」の場合は「LOW」、「severity」が「4」、「5」、「6」の場合は「MEDIUM」、「severity」が「7」、「8」、「9」の場合は「HIGH」 |
| security_result.severity | read_only_udm.security_result.severity | 「Severity」に「Info」が含まれている場合は「INFORMATIONAL」、「Severity」に「Error」が含まれている場合は「ERROR」、「Severity」に「Warning」が含まれている場合は「MEDIUM」、それ以外の場合は「UNKNOWN_SEVERITY」 |
| target.administrative_domain | read_only_udm.target.administrative_domain | 「domain」フィールドから取得された値 |
| target.asset.hostname | read_only_udm.target.asset.hostname | 「column5」フィールドから取得された値 |
| target.asset.hostname | read_only_udm.target.asset.hostname | 「target_host」フィールドから取得された値 |
| target.asset.ip | read_only_udm.target.asset.ip | 「column4」フィールドから取得された値 |
| target.asset.ip | read_only_udm.target.asset.ip | 「column26」フィールドから取得された値 |
| target.asset.ip | read_only_udm.target.asset.ip | 「c-ip」フィールドから取得された値 |
| target.hostname | read_only_udm.target.hostname | 「column5」フィールドから取得された値 |
| target.hostname | read_only_udm.target.hostname | 「target_host」フィールドから取得された値 |
| target.ip | read_only_udm.target.ip | 「column4」フィールドから取得された値 |
| target.ip | read_only_udm.target.ip | 「column26」フィールドから取得された値 |
| target.ip | read_only_udm.target.ip | 「c-ip」フィールドから取得された値 |
| target.port | read_only_udm.target.port | 「c_port」フィールドから取得された値 |
| target.resource.attribute.labels.key | read_only_udm.target.resource.attribute.labels.key | ハードコードされた値「Recipients Count」 |
| target.user.email_addresses | read_only_udm.target.user.email_addresses | 「user」フィールドから取得された値 |
| target.user.user_display_name | read_only_udm.target.user.user_display_name | 「username」フィールドから取得された値 |
| target.user.userid | read_only_udm.target.user.userid | 「user」フィールドから取得された値 |
| target.url | read_only_udm.target.url | 「u_path」フィールドから取得された値 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。