Mengumpulkan log Microsoft Exchange
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Microsoft Exchange ke Google Security Operations menggunakan Bindplane. Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan EXCHANGE_MAIL.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru dengan Microsoft Exchange Server terinstal
- Akses administratif ke Exchange Server
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen BindPlane di sistem operasi Windows Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
- Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Referensi Penginstalan Tambahan
- Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Mengonfigurasi agen BindPlane untuk mengumpulkan Log Peristiwa Windows dan mengirimkannya ke Google SecOps
Akses File Konfigurasi:
- Cari file
config.yaml. Biasanya, ada di direktori `C:\Program Files\observIQ OpenTelemetry Collector` di Windows. - Buka file menggunakan editor teks (misalnya, Notepad atau Notepad++).
- Cari file
Edit file
config.yamlsebagai berikut:receivers: windowseventlog/exchange_application: channel: Application raw: true max_reads: 100 poll_interval: 5s start_at: end windowseventlog/exchange_system: channel: System raw: true max_reads: 100 poll_interval: 5s start_at: end windowseventlog/exchange_management: channel: MSExchange Management raw: true max_reads: 100 poll_interval: 5s start_at: end processors: batch: exporters: chronicle/exchange: compression: gzip # Adjust the path to the credentials file you downloaded earlier creds_file_path: 'C:\path\to\ingestion-authentication-file.json' # Replace with your actual customer ID customer_id: <PLACEHOLDER_CUSTOMER_ID> endpoint: <YOUR_REGIONAL_ENDPOINT> # Add ingestion labels for Exchange logs log_type: 'EXCHANGE_MAIL' raw_log_field: body ingestion_labels: service: pipelines: logs/exchange: receivers: - windowseventlog/exchange_application - windowseventlog/exchange_system - windowseventlog/exchange_management processors: - batch exporters: - chronicle/exchange- Ganti
<PLACEHOLDER_CUSTOMER_ID>dengan ID Pelanggan sebenarnya yang diperoleh sebelumnya. - Ganti
<YOUR_REGIONAL_ENDPOINT>dengan endpoint regional yang sesuai dari dokumentasi Endpoint Regional. - Ganti
/path/to/ingestion-authentication-file.jsondengan jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.
- Ganti
Catatan konfigurasi
- Saluran aplikasi: Mengumpulkan peristiwa tingkat aplikasi dari Exchange Server, termasuk startup layanan, error, dan peringatan.
- Saluran sistem: Mengumpulkan peristiwa tingkat sistem yang dapat memengaruhi operasi Exchange Server.
- Saluran MSExchange Management: Mengumpulkan peristiwa pengelolaan khusus Exchange, termasuk eksekusi cmdlet PowerShell dan tindakan administratif.
- raw: true: Mengirim entri Log Peristiwa Windows lengkap dalam format aslinya untuk parsing yang komprehensif.
- start_at: end: Mulai mengumpulkan peristiwa baru dari titik saat ini ke depan (tidak menyerap log historis).
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut sebagai administrator:
net stop "observIQ OpenTelemetry Collector" && net start "observIQ OpenTelemetry Collector"
Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| c-ip | read_only_udm.target.asset.ip | Nilai yang diambil dari kolom 'c-ip' |
| c-ip | read_only_udm.target.ip | Nilai yang diambil dari kolom 'c-ip' |
| client-hostname | read_only_udm.principal.asset.hostname | Nilai yang diambil dari kolom 'client-hostname' |
| client-hostname | read_only_udm.principal.hostname | Nilai yang diambil dari kolom 'client-hostname' |
| client-ip | read_only_udm.principal.asset.ip | Nilai yang diambil dari kolom 'client-ip' |
| client-ip | read_only_udm.principal.ip | Nilai yang diambil dari kolom 'client-ip' |
| kolom1 | read_only_udm.metadata.event_timestamp | Nilai diambil dari kolom 'column1' |
| column10 | read_only_udm.intermediary.resource.attribute.labels.value | Nilai diambil dari kolom 'column10' |
| column11 | read_only_udm.network.email.mail_id | Nilai diambil dari kolom 'column11' |
| column12 | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom 'column12' |
| column13 | read_only_udm.network.email.to | Nilai diambil dari kolom 'column13' |
| column13 | read_only_udm.target.user.email_addresses | Nilai diambil dari kolom 'column13' |
| column15 | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom 'column15' |
| column16 | read_only_udm.target.resource.attribute.labels.value | Nilai yang diambil dari kolom 'column16' |
| column19 | read_only_udm.network.email.subject | Nilai diambil dari kolom 'column19' |
| kolom2 | read_only_udm.principal.asset.ip | Nilai diambil dari kolom 'column2' |
| kolom2 | read_only_udm.principal.ip | Nilai diambil dari kolom 'column2' |
| column20 | read_only_udm.network.email.from | Nilai diambil dari kolom 'column20' |
| column20 | read_only_udm.principal.user.email_addresses | Nilai diambil dari kolom 'column20' |
| column21 | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'column21' |
| column22 | read_only_udm.security_result.description | Nilai yang diambil dari kolom 'column22' |
| column24 | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom 'column24' |
| column25 | read_only_udm.principal.asset.ip | Nilai diambil dari kolom 'column25' |
| column25 | read_only_udm.principal.ip | Nilai diambil dari kolom 'column25' |
| column26 | read_only_udm.target.asset.ip | Nilai diambil dari kolom 'column26' |
| column26 | read_only_udm.target.ip | Nilai diambil dari kolom 'column26' |
| column27 | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'column27' |
| column28 | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom 'column28' |
| column29 | read_only_udm.metadata.product_log_id | Nilai diambil dari kolom 'column29' |
| kolom3 | read_only_udm.principal.asset.hostname | Nilai diambil dari kolom 'column3' |
| kolom3 | read_only_udm.principal.hostname | Nilai diambil dari kolom 'column3' |
| column30 | read_only_udm.metadata.product_version | Nilai diambil dari kolom 'column30' |
| column4 | read_only_udm.target.asset.ip | Nilai yang diambil dari kolom 'column4' |
| column4 | read_only_udm.target.ip | Nilai yang diambil dari kolom 'column4' |
| column5 | read_only_udm.target.asset.hostname | Nilai yang diambil dari kolom 'column5' |
| column5 | read_only_udm.target.hostname | Nilai yang diambil dari kolom 'column5' |
| column6 | read_only_udm.metadata.event_timestamp | Nilai diambil dari kolom 'column6' |
| column6 | read_only_udm.network.http.response_code | Nilai diambil dari kolom 'column6' |
| column6 | read_only_udm.network.session_id | Nilai diambil dari kolom 'column6' |
| column6 | read_only_udm.metadata.description | Nilai diambil dari kolom 'column6' |
| column7 | read_only_udm.additional.fields.value.string_value | Nilai yang diambil dari kolom 'column7' |
| column8 | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom 'column8' |
| column9 | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom 'column9' |
| connector_id | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom 'connector-id' |
| cs-method | read_only_udm.network.http.method | Nilai diambil dari kolom 'cs-method' |
| cs-uri-query | read_only_udm.target.url | Nilai diambil dari kolom 'cs-uri-query' |
| cs-uri-stem | read_only_udm.target.url | Nilai yang diambil dari kolom 'cs-uri-stem' |
| csReferer | read_only_udm.network.http.referral_url | Nilai diambil dari kolom 'csReferer' |
| csUser-Agent | read_only_udm.network.http.user_agent | Nilai yang diambil dari kolom 'csUser-Agent' |
| cs-username | read_only_udm.principal.user.userid | Nilai yang diambil dari kolom 'cs-username' |
| custom-data | read_only_udm.security_result.detection_fields.value | Nilai yang diambil dari kolom 'custom-data' |
| data | read_only_udm.security_result.about.labels.value | Nilai diambil dari kolom 'data' |
| data | read_only_udm.security_result.description | Nilai diambil dari kolom 'data' |
| data | read_only_udm.network.email.from | Nilai diambil dari kolom 'data' |
| data | read_only_udm.network.email.to | Nilai diambil dari kolom 'data' |
| data | read_only_udm.target.hostname | Nilai diambil dari kolom 'data' |
| data | read_only_udm.security_result.description | Nilai diambil dari kolom 'data' |
| data | read_only_udm.network.sent_bytes | Nilai diambil dari kolom 'data' |
| data | read_only_udm.target.user.email_addresses | Nilai diambil dari kolom 'data' |
| tanggal | read_only_udm.metadata.event_timestamp | Nilai diambil dari kolom 'date' dan 'time' |
| date-time | read_only_udm.metadata.event_timestamp | Nilai yang diambil dari kolom 'date-time' |
| DeliveryLatency | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'DeliveryLatency' di 'custom-data' atau 'message-info' |
| DeliveryPriority | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'DeliveryPriority' di kolom 'custom-data' atau 'column21' |
| DeliveryPriority | read_only_udm.security_result.priority | Jika 'DeliveryPriority' adalah 'Low' atau 'Normal', maka 'LOW_PRIORITY'; jika 'DeliveryPriority' adalah 'Medium', maka 'MEDIUM_PRIORITY'; jika 'DeliveryPriority' adalah 'High', maka 'HIGH_PRIORITY' |
| arah | read_only_udm.network.direction | Jika 'directionality' adalah 'Incoming', maka 'INBOUND'. Jika 'directionality' adalah 'Originating', maka 'OUTBOUND' |
| E2ELatency | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'E2ELatency' di 'custom-data' atau 'message-info' |
| event | read_only_udm.metadata.product_event_type | Jika 'event' adalah '+', maka 'Connect'; jika 'event' adalah '-', maka 'Disconnect'; jika 'event' adalah '*', maka 'Information'; jika 'event' adalah '>', maka 'Send'; jika 'event' adalah '<', maka 'Receive' |
| event | read_only_udm.network.direction | Jika 'event' adalah '>', maka 'OUTBOUND', jika 'event' adalah '<', maka 'INBOUND' |
| EventID | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'EventID' |
| EventReceivedTime | read_only_udm.metadata.collected_timestamp | Nilai diambil dari kolom 'EventReceivedTime' |
| EventReceivedTime | read_only_udm.metadata.event_timestamp | Nilai diambil dari kolom 'EventReceivedTime' di 'column6' |
| FirstForestHop | read_only_udm.security_result.detection_fields.value | Nilai yang diambil dari kolom 'FirstForestHop' di 'custom-data' |
| FromEntity | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'FromEntity' di 'custom-data' atau 'message-info' |
| guid | read_only_udm.metadata.product_log_id | Nilai diambil dari kolom 'guid' |
| Hostname | read_only_udm.principal.asset.hostname | Nilai diambil dari kolom 'Nama host' |
| Hostname | read_only_udm.principal.hostname | Nilai diambil dari kolom 'Nama host' |
| IncludeInSla | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'IncludeInSla' di 'custom-data' atau 'message-info' |
| internal-message-id | read_only_udm.intermediary.resource.attribute.labels.value | Nilai yang diambil dari kolom 'internal-message-id' |
| IsProbe | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'IsProbe' di kolom 'custom-data' atau 'column21' |
| Kata kunci | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'Kata Kunci' |
| local-endpoint | read_only_udm.principal.asset.ip | Nilai diambil dari kolom 'local-endpoint' |
| local-endpoint | read_only_udm.principal.ip | Nilai diambil dari kolom 'local-endpoint' |
| local-endpoint | read_only_udm.principal.port | Nilai diambil dari kolom 'local-endpoint' |
| Kotak surat | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'Mailboxes' di 'custom-data' atau 'message-info' |
| MailboxDatabaseGuid | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'MailboxDatabaseGuid' di 'custom-data' atau 'message-info' |
| MAIL FROM | read_only_udm.network.email.from | Nilai diambil dari kolom 'MAIL FROM' di 'data' |
| MAIL FROM | read_only_udm.principal.user.email_addresses | Nilai diambil dari kolom 'MAIL FROM' di 'data' |
| MAIL Dari | read_only_udm.network.email.from | Nilai diambil dari kolom 'MAIL From' di 'data' |
| MAIL Dari | read_only_udm.principal.user.email_addresses | Nilai diambil dari kolom 'MAIL From' di 'data' |
| message-id | read_only_udm.network.email.mail_id | Nilai yang diambil dari kolom 'message-id' |
| message-info | read_only_udm.security_result.detection_fields.value | Nilai yang diambil dari kolom 'message-info' |
| message-info | read_only_udm.security_result.description | Nilai yang diambil dari kolom 'message-info' |
| MessageValue | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'MessageValue' di 'custom-data' |
| message-subject | read_only_udm.network.email.subject | Nilai yang diambil dari kolom 'message-subject' |
| metode | read_only_udm.network.http.method | Nilai diambil dari kolom 'method' |
| Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel' di 'custom-data' |
| MsgRecipCount | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'MsgRecipCount' di 'custom-data' atau 'message-info' |
| network-message-id | read_only_udm.additional.fields.value.string_value | Nilai yang diambil dari kolom 'network-message-id' |
| OriginalFromAddress | read_only_udm.principal.user.email_addresses | Nilai diambil dari kolom 'OriginalFromAddress' di kolom 'custom-data' atau 'column21' |
| P2RecipStat | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'P2RecipStat' di 'custom-data' atau 'message-info' |
| PersistProbeTrace | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'PersistProbeTrace' di kolom 'custom-data' atau 'column21' |
| PrioritizationReason | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'PrioritizationReason' di 'custom-data' |
| ProbeType | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'ProbeType' di kolom 'custom-data' atau 'column21' |
| ProcessID | read_only_udm.principal.process.pid | Nilai yang diambil dari kolom 'ProcessID' |
| ProxiedClientHostname | read_only_udm.intermediary.hostname | Nilai diambil dari kolom 'ProxiedClientHostname' di 'custom-data' |
| ProxiedClientIPAddress | read_only_udm.intermediary.asset.ip | Nilai diambil dari kolom 'ProxiedClientIPAddress' di 'custom-data' |
| ProxiedClientIPAddress | read_only_udm.intermediary.ip | Nilai diambil dari kolom 'ProxiedClientIPAddress' di 'custom-data' |
| ProxyHop1 | read_only_udm.security_result.detection_fields.value | Nilai yang diambil dari kolom 'ProxyHop1' di 'custom-data' |
| RCPT TO | read_only_udm.network.email.to | Nilai diambil dari kolom 'RCPT TO' di 'data' |
| RCPT TO | read_only_udm.target.user.email_addresses | Nilai diambil dari kolom 'RCPT TO' di 'data' |
| RCPT To | read_only_udm.network.email.to | Nilai diambil dari kolom 'RCPT To' di 'data' |
| RCPT To | read_only_udm.target.user.email_addresses | Nilai diambil dari kolom 'RCPT To' di 'data' |
| recipient-address | read_only_udm.target.user.email_addresses | Nilai diambil dari kolom 'recipient-address' |
| recipient-count | read_only_udm.target.resource.attribute.labels.value | Nilai diambil dari kolom 'recipient-count' |
| status-penerima | read_only_udm.target.resource.attribute.labels.value | Nilai yang diambil dari kolom 'recipient-status' |
| remote-endpoint | read_only_udm.target.asset.ip | Nilai diambil dari kolom 'remote-endpoint' |
| remote-endpoint | read_only_udm.target.ip | Nilai diambil dari kolom 'remote-endpoint' |
| remote-endpoint | read_only_udm.target.port | Nilai diambil dari kolom 'remote-endpoint' |
| res_code | read_only_udm.network.http.response_code | Nilai diambil dari kolom 'res_code' |
| s-ip | read_only_udm.principal.asset.ip | Nilai yang diambil dari kolom 's-ip' |
| s-ip | read_only_udm.principal.ip | Nilai yang diambil dari kolom 's-ip' |
| s-port | read_only_udm.principal.port | Nilai diambil dari kolom 's-port' |
| sc-status | read_only_udm.network.http.response_code | Nilai yang diambil dari kolom 'sc-status' |
| sc-substatus | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom 'sc-substatus' |
| sender-address | read_only_udm.network.email.from | Nilai yang diambil dari kolom 'sender-address' |
| sender-address | read_only_udm.principal.user.email_addresses | Nilai yang diambil dari kolom 'sender-address' |
| sequence-number | read_only_udm.additional.fields.value.number_value | Nilai diambil dari kolom 'sequence-number' |
| server-hostname | read_only_udm.target.asset.hostname | Nilai diambil dari kolom 'server-hostname' |
| server-hostname | read_only_udm.target.hostname | Nilai diambil dari kolom 'server-hostname' |
| server-ip | read_only_udm.target.asset.ip | Nilai yang diambil dari kolom 'server-ip' |
| server-ip | read_only_udm.target.ip | Nilai yang diambil dari kolom 'server-ip' |
| session-id | read_only_udm.network.session_id | Nilai yang diambil dari kolom 'session-id' |
| sessionid | read_only_udm.network.session_id | Nilai diambil dari kolom 'sessionid' |
| Keparahan | read_only_udm.security_result.severity | Jika 'Severity' berisi 'Info', maka 'INFORMATIONAL'; jika 'Severity' berisi 'Error', maka 'ERROR'; jika 'Severity' berisi 'Warning', maka 'MEDIUM'; jika tidak, 'UNKNOWN_SEVERITY' |
| SeverityValue | read_only_udm.security_result.severity_details | Nilai diambil dari kolom 'SeverityValue' |
| SlaExclusionReason | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'SlaExclusionReason' di 'custom-data' |
| sumber | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom 'source' |
| SourceModuleName | read_only_udm.principal.resource.name | Nilai diambil dari kolom 'SourceModuleName' |
| SourceModuleType | read_only_udm.principal.resource.type | Nilai diambil dari kolom 'SourceModuleType' |
| SourceName | read_only_udm.principal.resource.attribute.labels.value | Nilai diambil dari kolom 'SourceName' |
| StoreObjectIds | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'StoreObjectIds' di 'custom-data' atau 'message-info' |
| Tugas | read_only_udm.security_result.detection_fields.value | Nilai yang diambil dari kolom 'Tugas' |
| ThreadID | read_only_udm.security_result.detection_fields.value | Nilai yang diambil dari kolom 'ThreadID' |
| waktu | read_only_udm.metadata.event_timestamp | Nilai diambil dari kolom 'date' dan 'time' |
| ToEntity | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'ToEntity' di 'custom-data' atau 'message-info' |
| total-bytes | read_only_udm.additional.fields.value.string_value | Nilai yang diambil dari kolom 'total-bytes' |
| TransportTrafficSubType | read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom 'TransportTrafficSubType' di 'custom-data' |
| TransportTrafficSubType | read_only_udm.metadata.product_version | Nilai diambil dari kolom 'TransportTrafficSubType' di 'custom-data' |
| ts | read_only_udm.metadata.event_timestamp | Nilai yang diambil dari kolom 'ts' |
| u_agent | read_only_udm.network.http.user_agent | Nilai yang diambil dari kolom 'u_agent' |
| u_param | read_only_udm.target.url | Nilai diambil dari kolom 'u_param' |
| u_path | read_only_udm.target.url | Nilai diambil dari kolom 'u_path' |
| u_path | read_only_udm.target.url | Nilai diambil dari kolom 'u_path' dan 'u_param' |
| pengguna | read_only_udm.target.user.userid | Nilai diambil dari kolom 'pengguna' |
| pengguna | read_only_udm.target.user.email_addresses | Nilai diambil dari kolom 'pengguna' |
| metadata.event_type | read_only_udm.metadata.event_type | Jika 'has_principal_email' adalah 'true' dan 'has_target_email' adalah 'true', maka 'EMAIL_TRANSACTION'; jika 'event_type' adalah 'GENERIC_EVENT' dan 'principal_hostname' atau 's_ip' atau 'host' tidak kosong atau 'has_principal' adalah 'true', maka 'STATUS_UPDATE'; jika 'event_type' adalah 'GENERIC_EVENT' dan 'has_principal_email' adalah 'true' atau 'has_target_email' adalah 'true', maka 'USER_UNCATEGORIZED'; jika tidak, nilai diambil dari kolom 'event_type' |
| metadata.log_type | read_only_udm.metadata.log_type | Nilai hardcode 'EXCHANGE_MAIL' |
| metadata.product_name | read_only_udm.metadata.product_name | Nilai yang dikodekan secara permanen 'Exchange Mail' |
| metadata.vendor_name | read_only_udm.metadata.vendor_name | Nilai hardcode 'Microsoft' |
| network.application_protocol | read_only_udm.network.application_protocol | Jika 'app_protocol' adalah 'SMTP' atau 'HTTP' atau 'HTTPS', nilai diambil dari kolom 'app_protocol'. Jika 'app_protocol' berisi 'SMTP', maka 'SMTP' |
| network.direction | read_only_udm.network.direction | Jika 's_ip' tidak kosong, maka 'INBOUND' |
| network.email.from | read_only_udm.network.email.from | Nilai diambil dari kolom 'from_mail' |
| network.email.mail_id | read_only_udm.network.email.mail_id | Nilai yang diambil dari kolom 'msg_id' |
| network.email.subject | read_only_udm.network.email.subject | Nilai diambil dari kolom 'column19' |
| network.email.to | read_only_udm.network.email.to | Nilai diambil dari kolom 'to_mail' |
| network.http.method | read_only_udm.network.http.method | Nilai diambil dari kolom 'method' |
| network.http.response_code | read_only_udm.network.http.response_code | Nilai diambil dari kolom 'res_code' |
| network.http.user_agent | read_only_udm.network.http.user_agent | Nilai yang diambil dari kolom 'u_agent' |
| network.sent_bytes | read_only_udm.network.sent_bytes | Nilai yang diambil dari kolom 'sent_bytes' |
| network.session_id | read_only_udm.network.session_id | Nilai diambil dari kolom 'sessionid' |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | Nilai diambil dari kolom 'principal_hostname' |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | Nilai diambil dari kolom 'host' |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | Nilai diambil dari kolom 'column3' |
| principal.asset.ip | read_only_udm.principal.asset.ip | Nilai diambil dari kolom 'column2' |
| principal.asset.ip | read_only_udm.principal.asset.ip | Nilai diambil dari kolom 'column25' |
| principal.asset.ip | read_only_udm.principal.asset.ip | Nilai diambil dari kolom 's_ip' |
| principal.hostname | read_only_udm.principal.hostname | Nilai diambil dari kolom 'principal_hostname' |
| principal.hostname | read_only_udm.principal.hostname | Nilai diambil dari kolom 'host' |
| principal.hostname | read_only_udm.principal.hostname | Nilai diambil dari kolom 'column3' |
| principal.ip | read_only_udm.principal.ip | Nilai diambil dari kolom 'column2' |
| principal.ip | read_only_udm.principal.ip | Nilai diambil dari kolom 'column25' |
| principal.ip | read_only_udm.principal.ip | Nilai diambil dari kolom 's_ip' |
| principal.port | read_only_udm.principal.port | Nilai diambil dari kolom 's-port' |
| principal.user.email_addresses | read_only_udm.principal.user.email_addresses | Nilai diambil dari kolom 'mail' |
| principal.user.email_addresses | read_only_udm.principal.user.email_addresses | Nilai diambil dari kolom 'email_address' |
| principal.user.userid | read_only_udm.principal.user.userid | Nilai yang diambil dari kolom 'cs-username' |
| security_result.about.labels.key | read_only_udm.security_result.about.labels.key | Nilai yang di-hardcode 'Response Code' |
| security_result.description | read_only_udm.security_result.description | Nilai yang diambil dari kolom 'konteks' |
| security_result.description | read_only_udm.security_result.description | Nilai diambil dari kolom 'column22' |
| security_result.priority | read_only_udm.security_result.priority | Jika 'severity' adalah '1' atau '2' atau '3', maka 'LOW'; jika 'severity' adalah '4' atau '5' atau '6', maka 'MEDIUM'; jika 'severity' adalah '7' atau '8' atau '9', maka 'HIGH' |
| security_result.severity | read_only_udm.security_result.severity | Jika 'Severity' berisi 'Info', maka 'INFORMATIONAL'; jika 'Severity' berisi 'Error', maka 'ERROR'; jika 'Severity' berisi 'Warning', maka 'MEDIUM'; jika tidak, 'UNKNOWN_SEVERITY' |
| target.administrative_domain | read_only_udm.target.administrative_domain | Nilai yang diambil dari kolom 'domain' |
| target.asset.hostname | read_only_udm.target.asset.hostname | Nilai yang diambil dari kolom 'column5' |
| target.asset.hostname | read_only_udm.target.asset.hostname | Nilai diambil dari kolom 'target_host' |
| target.asset.ip | read_only_udm.target.asset.ip | Nilai yang diambil dari kolom 'column4' |
| target.asset.ip | read_only_udm.target.asset.ip | Nilai diambil dari kolom 'column26' |
| target.asset.ip | read_only_udm.target.asset.ip | Nilai yang diambil dari kolom 'c-ip' |
| target.hostname | read_only_udm.target.hostname | Nilai yang diambil dari kolom 'column5' |
| target.hostname | read_only_udm.target.hostname | Nilai diambil dari kolom 'target_host' |
| target.ip | read_only_udm.target.ip | Nilai yang diambil dari kolom 'column4' |
| target.ip | read_only_udm.target.ip | Nilai diambil dari kolom 'column26' |
| target.ip | read_only_udm.target.ip | Nilai yang diambil dari kolom 'c-ip' |
| target.port | read_only_udm.target.port | Nilai diambil dari kolom 'c_port' |
| target.resource.attribute.labels.key | read_only_udm.target.resource.attribute.labels.key | Nilai yang dikodekan secara permanen 'Jumlah Penerima' |
| target.user.email_addresses | read_only_udm.target.user.email_addresses | Nilai diambil dari kolom 'pengguna' |
| target.user.user_display_name | read_only_udm.target.user.user_display_name | Nilai diambil dari kolom 'username' |
| target.user.userid | read_only_udm.target.user.userid | Nilai diambil dari kolom 'pengguna' |
| target.url | read_only_udm.target.url | Nilai diambil dari kolom 'u_path' |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.