收集 Microsoft Exchange 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Bindplane,將 Microsoft Exchange 記錄檔擷取至 Google Security Operations。擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 EXCHANGE_MAIL 攝入標籤的剖析器。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 已安裝 Microsoft Exchange Server 的 Windows Server 2016 以上版本
- Exchange Server 的管理員存取權
- 如果透過 Proxy 執行,請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
請按照下列操作說明,在 Windows 作業系統上安裝 Bindplane 代理程式。
Windows 安裝
- 以管理員身分開啟「命令提示字元」或「PowerShell」。
- 執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
其他安裝資源
- 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane 代理程式,收集 Windows 事件記錄並傳送至 Google SecOps
存取設定檔:
- 找出
config.yaml檔案。通常位於 Windows 的 `C:\Program Files\observIQ OpenTelemetry Collector` 目錄。 - 使用文字編輯器 (例如記事本或 Notepad++) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: windowseventlog/exchange_application: channel: Application raw: true max_reads: 100 poll_interval: 5s start_at: end windowseventlog/exchange_system: channel: System raw: true max_reads: 100 poll_interval: 5s start_at: end windowseventlog/exchange_management: channel: MSExchange Management raw: true max_reads: 100 poll_interval: 5s start_at: end processors: batch: exporters: chronicle/exchange: compression: gzip # Adjust the path to the credentials file you downloaded earlier creds_file_path: 'C:\path\to\ingestion-authentication-file.json' # Replace with your actual customer ID customer_id: <PLACEHOLDER_CUSTOMER_ID> endpoint: <YOUR_REGIONAL_ENDPOINT> # Add ingestion labels for Exchange logs log_type: 'EXCHANGE_MAIL' raw_log_field: body ingestion_labels: service: pipelines: logs/exchange: receivers: - windowseventlog/exchange_application - windowseventlog/exchange_system - windowseventlog/exchange_management processors: - batch exporters: - chronicle/exchange- 將
<PLACEHOLDER_CUSTOMER_ID>替換為先前取得的實際客戶 ID。 - 請從區域端點說明文件中,將
<YOUR_REGIONAL_ENDPOINT>替換為適當的區域端點。 - 將
/path/to/ingestion-authentication-file.json更新為「取得 Google SecOps 擷取驗證檔案」部分中驗證檔案的儲存路徑。
- 將
設定注意事項
- 應用程式通道:從 Exchange Server 收集應用程式層級的事件,包括服務啟動、錯誤和警告。
- 系統通道:收集可能影響 Exchange Server 運作的系統層級事件。
- MSExchange 管理管道:收集 Exchange 專屬管理事件,包括 PowerShell cmdlet 執行和管理動作。
- raw: true:以原始格式傳送完整的 Windows 事件記錄項目,以便進行全面剖析。
- start_at: end:從目前開始收集新事件 (不會擷取歷來記錄)。
重新啟動 Bindplane 代理程式,以套用變更
如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」主控台,或是以管理員身分輸入下列指令:
net stop "observIQ OpenTelemetry Collector" && net start "observIQ OpenTelemetry Collector"
UDM 對應
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| c-ip | read_only_udm.target.asset.ip | 取自「c-ip」欄位的值 |
| c-ip | read_only_udm.target.ip | 取自「c-ip」欄位的值 |
| client-hostname | read_only_udm.principal.asset.hostname | 取自「client-hostname」欄位的值 |
| client-hostname | read_only_udm.principal.hostname | 取自「client-hostname」欄位的值 |
| client-ip | read_only_udm.principal.asset.ip | 取自「client-ip」欄位的值 |
| client-ip | read_only_udm.principal.ip | 取自「client-ip」欄位的值 |
| 第 1 欄 | read_only_udm.metadata.event_timestamp | 取自「column1」欄位的值 |
| column10 | read_only_udm.intermediary.resource.attribute.labels.value | 取自「column10」欄位的值 |
| column11 | read_only_udm.network.email.mail_id | 從「column11」欄位取得的值 |
| column12 | read_only_udm.additional.fields.value.string_value | 取自「column12」欄位的值 |
| column13 | read_only_udm.network.email.to | 取自「column13」欄位的值 |
| column13 | read_only_udm.target.user.email_addresses | 取自「column13」欄位的值 |
| column15 | read_only_udm.additional.fields.value.string_value | 從「column15」欄位取得的值 |
| column16 | read_only_udm.target.resource.attribute.labels.value | 取自「column16」欄位的值 |
| column19 | read_only_udm.network.email.subject | 取自「column19」欄位的值 |
| 第 2 欄 | read_only_udm.principal.asset.ip | 從「column2」欄位取得的值 |
| 第 2 欄 | read_only_udm.principal.ip | 從「column2」欄位取得的值 |
| column20 | read_only_udm.network.email.from | 從「column20」欄位取得的值 |
| column20 | read_only_udm.principal.user.email_addresses | 從「column20」欄位取得的值 |
| column21 | read_only_udm.security_result.detection_fields.value | 從「column21」欄位取得的值 |
| column22 | read_only_udm.security_result.description | 從「column22」欄位取得的值 |
| column24 | read_only_udm.additional.fields.value.string_value | 從「column24」欄位取得的值 |
| column25 | read_only_udm.principal.asset.ip | 從「column25」欄位取得的值 |
| column25 | read_only_udm.principal.ip | 從「column25」欄位取得的值 |
| column26 | read_only_udm.target.asset.ip | 從「column26」欄位取得的值 |
| column26 | read_only_udm.target.ip | 從「column26」欄位取得的值 |
| column27 | read_only_udm.security_result.detection_fields.value | 從「column27」欄位取得的值 |
| column28 | read_only_udm.additional.fields.value.string_value | 取自「column28」欄位的值 |
| column29 | read_only_udm.metadata.product_log_id | 取自「column29」欄位的值 |
| 第 3 欄 | read_only_udm.principal.asset.hostname | 從「column3」欄位取得的值 |
| 第 3 欄 | read_only_udm.principal.hostname | 從「column3」欄位取得的值 |
| column30 | read_only_udm.metadata.product_version | 取自「column30」欄位的值 |
| column4 | read_only_udm.target.asset.ip | 從「column4」欄位取得的值 |
| column4 | read_only_udm.target.ip | 從「column4」欄位取得的值 |
| column5 | read_only_udm.target.asset.hostname | 取自「column5」欄位的值 |
| column5 | read_only_udm.target.hostname | 取自「column5」欄位的值 |
| column6 | read_only_udm.metadata.event_timestamp | 取自「column6」欄位的值 |
| column6 | read_only_udm.network.http.response_code | 取自「column6」欄位的值 |
| column6 | read_only_udm.network.session_id | 取自「column6」欄位的值 |
| column6 | read_only_udm.metadata.description | 取自「column6」欄位的值 |
| column7 | read_only_udm.additional.fields.value.string_value | 從「column7」欄位取得的值 |
| column8 | read_only_udm.additional.fields.value.string_value | 取自「column8」欄位的值 |
| column9 | read_only_udm.metadata.product_event_type | 從「column9」欄位取得的值 |
| connector_id | read_only_udm.additional.fields.value.string_value | 取自「connector-id」欄位的值 |
| cs-method | read_only_udm.network.http.method | 取自「cs-method」欄位的值 |
| cs-uri-query | read_only_udm.target.url | 取自「cs-uri-query」欄位的值 |
| cs-uri-stem | read_only_udm.target.url | 取自「cs-uri-stem」欄位的值 |
| csReferer | read_only_udm.network.http.referral_url | 取自「csReferer」欄位的值 |
| csUser-Agent | read_only_udm.network.http.user_agent | 取自「csUser-Agent」欄位的值 |
| cs-username | read_only_udm.principal.user.userid | 取自「cs-username」欄位的值 |
| custom-data | read_only_udm.security_result.detection_fields.value | 從「custom-data」欄位取得的值 |
| 資料 | read_only_udm.security_result.about.labels.value | 從「data」欄位取得的值 |
| 資料 | read_only_udm.security_result.description | 從「data」欄位取得的值 |
| 資料 | read_only_udm.network.email.from | 從「data」欄位取得的值 |
| 資料 | read_only_udm.network.email.to | 從「data」欄位取得的值 |
| 資料 | read_only_udm.target.hostname | 從「data」欄位取得的值 |
| 資料 | read_only_udm.security_result.description | 從「data」欄位取得的值 |
| 資料 | read_only_udm.network.sent_bytes | 從「data」欄位取得的值 |
| 資料 | read_only_udm.target.user.email_addresses | 從「data」欄位取得的值 |
| 日期 | read_only_udm.metadata.event_timestamp | 取自「日期」和「時間」欄位的值 |
| 日期時間 | read_only_udm.metadata.event_timestamp | 從「date-time」欄位取得的值 |
| DeliveryLatency | read_only_udm.security_result.detection_fields.value | 取自「custom-data」或「message-info」中的「DeliveryLatency」欄位值 |
| DeliveryPriority | read_only_udm.security_result.detection_fields.value | 取自「custom-data」或「column21」欄位中的「DeliveryPriority」欄位值 |
| DeliveryPriority | read_only_udm.security_result.priority | 如果「DeliveryPriority」為「Low」或「Normal」,則為「LOW_PRIORITY」;如果「DeliveryPriority」為「Medium」,則為「MEDIUM_PRIORITY」;如果「DeliveryPriority」為「High」,則為「HIGH_PRIORITY」 |
| 方向性 | read_only_udm.network.direction | 如果「directionality」為「Incoming」,則為「INBOUND」;如果「directionality」為「Originating」,則為「OUTBOUND」 |
| E2ELatency | read_only_udm.security_result.detection_fields.value | 取自「custom-data」或「message-info」中的「E2ELatency」欄位值 |
| 事件 | read_only_udm.metadata.product_event_type | 如果「event」是「+」,則為「Connect」;如果「event」是「-」,則為「Disconnect」;如果「event」是「*」,則為「Information」;如果「event」是「>」,則為「Send」;如果「event」是「<」,則為「Receive」 |
| 事件 | read_only_udm.network.direction | 如果「event」是「>」,則為「OUTBOUND」;如果「event」是「<」,則為「INBOUND」 |
| EventID | read_only_udm.security_result.detection_fields.value | 取自「EventID」欄位的值 |
| EventReceivedTime | read_only_udm.metadata.collected_timestamp | 取自「EventReceivedTime」欄位的值 |
| EventReceivedTime | read_only_udm.metadata.event_timestamp | 取自「column6」中「EventReceivedTime」欄位的值 |
| FirstForestHop | read_only_udm.security_result.detection_fields.value | 取自「custom-data」中「FirstForestHop」欄位的值 |
| FromEntity | read_only_udm.security_result.detection_fields.value | 取自「custom-data」或「message-info」中的「FromEntity」欄位值 |
| guid | read_only_udm.metadata.product_log_id | 取自「guid」欄位的值 |
| 主機名稱 | read_only_udm.principal.asset.hostname | 從「Hostname」欄位取得的值 |
| 主機名稱 | read_only_udm.principal.hostname | 從「Hostname」欄位取得的值 |
| IncludeInSla | read_only_udm.security_result.detection_fields.value | 取自「custom-data」或「message-info」中的「IncludeInSla」欄位值 |
| internal-message-id | read_only_udm.intermediary.resource.attribute.labels.value | 取自「internal-message-id」欄位的值 |
| IsProbe | read_only_udm.security_result.detection_fields.value | 取自「custom-data」或「column21」欄位的「IsProbe」欄位值 |
| 關鍵字 | read_only_udm.security_result.detection_fields.value | 取自「關鍵字」欄位的值 |
| local-endpoint | read_only_udm.principal.asset.ip | 取自「local-endpoint」欄位的值 |
| local-endpoint | read_only_udm.principal.ip | 取自「local-endpoint」欄位的值 |
| local-endpoint | read_only_udm.principal.port | 取自「local-endpoint」欄位的值 |
| 信箱 | read_only_udm.security_result.detection_fields.value | 從「custom-data」或「message-info」的「Mailboxes」欄位取得的值 |
| MailboxDatabaseGuid | read_only_udm.security_result.detection_fields.value | 取自「custom-data」或「message-info」中的「MailboxDatabaseGuid」欄位 |
| 郵件寄件者 | read_only_udm.network.email.from | 取自「data」中「MAIL FROM」欄位的值 |
| 郵件寄件者 | read_only_udm.principal.user.email_addresses | 取自「data」中「MAIL FROM」欄位的值 |
| MAIL From | read_only_udm.network.email.from | 取自「data」中「MAIL From」欄位的值 |
| MAIL From | read_only_udm.principal.user.email_addresses | 取自「data」中「MAIL From」欄位的值 |
| message-id | read_only_udm.network.email.mail_id | 從「message-id」欄位取得的值 |
| message-info | read_only_udm.security_result.detection_fields.value | 取自「message-info」欄位的值 |
| message-info | read_only_udm.security_result.description | 取自「message-info」欄位的值 |
| MessageValue | read_only_udm.security_result.detection_fields.value | 取自「custom-data」中「MessageValue」欄位的值 |
| message-subject | read_only_udm.network.email.subject | 取自「message-subject」欄位的值 |
| 方法 | read_only_udm.network.http.method | 取自「方法」欄位的值 |
| Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel | read_only_udm.security_result.detection_fields.value | 取自「custom-data」中的「Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel」欄位值 |
| MsgRecipCount | read_only_udm.security_result.detection_fields.value | 取自「custom-data」或「message-info」中的「MsgRecipCount」欄位值 |
| network-message-id | read_only_udm.additional.fields.value.string_value | 取自「network-message-id」欄位的值 |
| OriginalFromAddress | read_only_udm.principal.user.email_addresses | 取自「custom-data」或「column21」欄位的「OriginalFromAddress」欄位值 |
| P2RecipStat | read_only_udm.security_result.detection_fields.value | 取自「custom-data」或「message-info」中的「P2RecipStat」欄位值 |
| PersistProbeTrace | read_only_udm.security_result.detection_fields.value | 取自「custom-data」或「column21」欄位中的「PersistProbeTrace」欄位值 |
| PrioritizationReason | read_only_udm.security_result.detection_fields.value | 取自「custom-data」中「PrioritizationReason」欄位的值 |
| ProbeType | read_only_udm.security_result.detection_fields.value | 取自「custom-data」或「column21」欄位中的「ProbeType」欄位值 |
| ProcessID | read_only_udm.principal.process.pid | 取自「ProcessID」欄位的值 |
| ProxiedClientHostname | read_only_udm.intermediary.hostname | 取自「custom-data」中的「ProxiedClientHostname」欄位值 |
| ProxiedClientIPAddress | read_only_udm.intermediary.asset.ip | 取自「custom-data」中的「ProxiedClientIPAddress」欄位值 |
| ProxiedClientIPAddress | read_only_udm.intermediary.ip | 取自「custom-data」中的「ProxiedClientIPAddress」欄位值 |
| ProxyHop1 | read_only_udm.security_result.detection_fields.value | 取自「custom-data」中的「ProxyHop1」欄位值 |
| RCPT TO | read_only_udm.network.email.to | 取自「資料」中的「收件者」欄位值 |
| RCPT TO | read_only_udm.target.user.email_addresses | 取自「資料」中的「收件者」欄位值 |
| RCPT To | read_only_udm.network.email.to | 取自「data」中的「RCPT To」欄位值 |
| RCPT To | read_only_udm.target.user.email_addresses | 取自「data」中的「RCPT To」欄位值 |
| recipient-address | read_only_udm.target.user.email_addresses | 從「recipient-address」欄位取得的值 |
| recipient-count | read_only_udm.target.resource.attribute.labels.value | 從「recipient-count」欄位取得的值 |
| recipient-status | read_only_udm.target.resource.attribute.labels.value | 從「recipient-status」欄位取得的值 |
| remote-endpoint | read_only_udm.target.asset.ip | 取自「remote-endpoint」欄位的值 |
| remote-endpoint | read_only_udm.target.ip | 取自「remote-endpoint」欄位的值 |
| remote-endpoint | read_only_udm.target.port | 取自「remote-endpoint」欄位的值 |
| res_code | read_only_udm.network.http.response_code | 取自「res_code」欄位的值 |
| s-ip | read_only_udm.principal.asset.ip | 取自「s-ip」欄位的值 |
| s-ip | read_only_udm.principal.ip | 取自「s-ip」欄位的值 |
| s-port | read_only_udm.principal.port | 取自「s-port」欄位的值 |
| sc-status | read_only_udm.network.http.response_code | 取自「sc-status」欄位的值 |
| sc-substatus | read_only_udm.additional.fields.value.string_value | 取自「sc-substatus」欄位的值 |
| 寄件者地址 | read_only_udm.network.email.from | 取自「sender-address」欄位的值 |
| 寄件者地址 | read_only_udm.principal.user.email_addresses | 取自「sender-address」欄位的值 |
| sequence-number | read_only_udm.additional.fields.value.number_value | 從「sequence-number」欄位取得的值 |
| server-hostname | read_only_udm.target.asset.hostname | 從「server-hostname」欄位取得的值 |
| server-hostname | read_only_udm.target.hostname | 從「server-hostname」欄位取得的值 |
| server-ip | read_only_udm.target.asset.ip | 取自「server-ip」欄位的值 |
| server-ip | read_only_udm.target.ip | 取自「server-ip」欄位的值 |
| session-id | read_only_udm.network.session_id | 從「session-id」欄位取得的值 |
| sessionid | read_only_udm.network.session_id | 取自「sessionid」欄位的值 |
| 嚴重性 | read_only_udm.security_result.severity | 如果「嚴重程度」包含「資訊」,則為「INFORMATIONAL」;如果「嚴重程度」包含「錯誤」,則為「ERROR」;如果「嚴重程度」包含「警告」,則為「MEDIUM」;否則為「UNKNOWN_SEVERITY」 |
| SeverityValue | read_only_udm.security_result.severity_details | 取自「SeverityValue」欄位的值 |
| SlaExclusionReason | read_only_udm.security_result.detection_fields.value | 取自「custom-data」中「SlaExclusionReason」欄位的值 |
| 來源 | read_only_udm.additional.fields.value.string_value | 取自「來源」欄位的值 |
| SourceModuleName | read_only_udm.principal.resource.name | 取自「SourceModuleName」欄位的值 |
| SourceModuleType | read_only_udm.principal.resource.type | 取自「SourceModuleType」欄位的值 |
| SourceName | read_only_udm.principal.resource.attribute.labels.value | 取自「SourceName」欄位的值 |
| StoreObjectIds | read_only_udm.security_result.detection_fields.value | 取自「custom-data」或「message-info」中的「StoreObjectIds」欄位 |
| 工作 | read_only_udm.security_result.detection_fields.value | 從「工作」欄位取得的值 |
| ThreadID | read_only_udm.security_result.detection_fields.value | 取自「ThreadID」欄位的值 |
| 時間 | read_only_udm.metadata.event_timestamp | 取自「日期」和「時間」欄位的值 |
| ToEntity | read_only_udm.security_result.detection_fields.value | 取自「custom-data」或「message-info」中的「ToEntity」欄位值 |
| total-bytes | read_only_udm.additional.fields.value.string_value | 取自「total-bytes」欄位的值 |
| TransportTrafficSubType | read_only_udm.security_result.detection_fields.value | 取自「custom-data」中的「TransportTrafficSubType」欄位值 |
| TransportTrafficSubType | read_only_udm.metadata.product_version | 取自「custom-data」中的「TransportTrafficSubType」欄位值 |
| ts | read_only_udm.metadata.event_timestamp | 取自「ts」欄位的值 |
| u_agent | read_only_udm.network.http.user_agent | 取自「u_agent」欄位的值 |
| u_param | read_only_udm.target.url | 取自「u_param」欄位的值 |
| u_path | read_only_udm.target.url | 取自「u_path」欄位的值 |
| u_path | read_only_udm.target.url | 取自「u_path」和「u_param」欄位的值 |
| 使用者 | read_only_udm.target.user.userid | 取自「user」欄位的值 |
| 使用者 | read_only_udm.target.user.email_addresses | 取自「user」欄位的值 |
| metadata.event_type | read_only_udm.metadata.event_type | 如果「has_principal_email」為「true」,且「has_target_email」為「true」,則為「EMAIL_TRANSACTION」;如果「event_type」為「GENERIC_EVENT」,且「principal_hostname」、「s_ip」或「host」不為空白,或「has_principal」為「true」,則為「STATUS_UPDATE」;如果「event_type」為「GENERIC_EVENT」,且「has_principal_email」為「true」或「has_target_email」為「true」,則為「USER_UNCATEGORIZED」;否則為「event_type」欄位中的值 |
| metadata.log_type | read_only_udm.metadata.log_type | 硬式編碼值「EXCHANGE_MAIL」 |
| metadata.product_name | read_only_udm.metadata.product_name | 硬式編碼值「Exchange Mail」 |
| metadata.vendor_name | read_only_udm.metadata.vendor_name | 硬式編碼值「Microsoft」 |
| network.application_protocol | read_only_udm.network.application_protocol | 如果「app_protocol」是「SMTP」、「HTTP」或「HTTPS」,則值取自「app_protocol」欄位;如果「app_protocol」包含「SMTP」,則為「SMTP」 |
| network.direction | read_only_udm.network.direction | 如果「s_ip」不是空白,則為「INBOUND」 |
| network.email.from | read_only_udm.network.email.from | 取自「from_mail」欄位的值 |
| network.email.mail_id | read_only_udm.network.email.mail_id | 取自「msg_id」欄位的值 |
| network.email.subject | read_only_udm.network.email.subject | 取自「column19」欄位的值 |
| network.email.to | read_only_udm.network.email.to | 取自「to_mail」欄位的值 |
| network.http.method | read_only_udm.network.http.method | 取自「方法」欄位的值 |
| network.http.response_code | read_only_udm.network.http.response_code | 取自「res_code」欄位的值 |
| network.http.user_agent | read_only_udm.network.http.user_agent | 取自「u_agent」欄位的值 |
| network.sent_bytes | read_only_udm.network.sent_bytes | 取自「sent_bytes」欄位的值 |
| network.session_id | read_only_udm.network.session_id | 取自「sessionid」欄位的值 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 取自「principal_hostname」欄位的值 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 從「主機」欄位取得的值 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 從「column3」欄位取得的值 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 從「column2」欄位取得的值 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 從「column25」欄位取得的值 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 取自「s_ip」欄位的值 |
| principal.hostname | read_only_udm.principal.hostname | 取自「principal_hostname」欄位的值 |
| principal.hostname | read_only_udm.principal.hostname | 從「主機」欄位取得的值 |
| principal.hostname | read_only_udm.principal.hostname | 從「column3」欄位取得的值 |
| principal.ip | read_only_udm.principal.ip | 從「column2」欄位取得的值 |
| principal.ip | read_only_udm.principal.ip | 從「column25」欄位取得的值 |
| principal.ip | read_only_udm.principal.ip | 取自「s_ip」欄位的值 |
| principal.port | read_only_udm.principal.port | 取自「s-port」欄位的值 |
| principal.user.email_addresses | read_only_udm.principal.user.email_addresses | 取自「mail」欄位的值 |
| principal.user.email_addresses | read_only_udm.principal.user.email_addresses | 取自「email_address」欄位的值 |
| principal.user.userid | read_only_udm.principal.user.userid | 取自「cs-username」欄位的值 |
| security_result.about.labels.key | read_only_udm.security_result.about.labels.key | 硬式編碼值「Response Code」 |
| security_result.description | read_only_udm.security_result.description | 從「context」欄位取得的值 |
| security_result.description | read_only_udm.security_result.description | 從「column22」欄位取得的值 |
| security_result.priority | read_only_udm.security_result.priority | 如果「嚴重程度」為「1」、「2」或「3」,則為「低」;如果「嚴重程度」為「4」、「5」或「6」,則為「中」;如果「嚴重程度」為「7」、「8」或「9」,則為「高」 |
| security_result.severity | read_only_udm.security_result.severity | 如果「嚴重程度」包含「資訊」,則為「INFORMATIONAL」;如果「嚴重程度」包含「錯誤」,則為「ERROR」;如果「嚴重程度」包含「警告」,則為「MEDIUM」;否則為「UNKNOWN_SEVERITY」 |
| target.administrative_domain | read_only_udm.target.administrative_domain | 取自「網域」欄位的值 |
| target.asset.hostname | read_only_udm.target.asset.hostname | 取自「column5」欄位的值 |
| target.asset.hostname | read_only_udm.target.asset.hostname | 取自「target_host」欄位的值 |
| target.asset.ip | read_only_udm.target.asset.ip | 取自「column4」欄位的值 |
| target.asset.ip | read_only_udm.target.asset.ip | 從「column26」欄位取得的值 |
| target.asset.ip | read_only_udm.target.asset.ip | 取自「c-ip」欄位的值 |
| target.hostname | read_only_udm.target.hostname | 取自「column5」欄位的值 |
| target.hostname | read_only_udm.target.hostname | 取自「target_host」欄位的值 |
| target.ip | read_only_udm.target.ip | 取自「column4」欄位的值 |
| target.ip | read_only_udm.target.ip | 從「column26」欄位取得的值 |
| target.ip | read_only_udm.target.ip | 取自「c-ip」欄位的值 |
| target.port | read_only_udm.target.port | 取自「c_port」欄位的值 |
| target.resource.attribute.labels.key | read_only_udm.target.resource.attribute.labels.key | 硬式編碼值「收件者人數」 |
| target.user.email_addresses | read_only_udm.target.user.email_addresses | 取自「user」欄位的值 |
| target.user.user_display_name | read_only_udm.target.user.user_display_name | 從「使用者名稱」欄位取得的值 |
| target.user.userid | read_only_udm.target.user.userid | 取自「user」欄位的值 |
| target.url | read_only_udm.target.url | 取自「u_path」欄位的值 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。