Microsoft Exchange-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Microsoft Exchange-Logs mit Bindplane in Google Security Operations aufnehmen. Ein Erfassungslabel identifiziert den Parser, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestionslabel EXCHANGE_MAIL.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- Windows Server 2016 oder höher mit installiertem Microsoft Exchange Server
- Administratorzugriff auf den Exchange-Server
- Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows-Betriebssystem gemäß der folgenden Anleitung.
Windows-Installation
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Zusätzliche Installationsressourcen
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent zum Erfassen von Windows-Ereignisprotokollen und Senden an Google SecOps konfigurieren
Konfigurationsdatei aufrufen:
- Suchen Sie die Datei
config.yaml. Unter Windows befindet sich die Datei in der Regel im Verzeichnis `C:\Programme\observIQ OpenTelemetry Collector`. - Öffnen Sie die Datei mit einem Texteditor (z. B. Notepad oder Notepad++).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: windowseventlog/exchange_application: channel: Application raw: true max_reads: 100 poll_interval: 5s start_at: end windowseventlog/exchange_system: channel: System raw: true max_reads: 100 poll_interval: 5s start_at: end windowseventlog/exchange_management: channel: MSExchange Management raw: true max_reads: 100 poll_interval: 5s start_at: end processors: batch: exporters: chronicle/exchange: compression: gzip # Adjust the path to the credentials file you downloaded earlier creds_file_path: 'C:\path\to\ingestion-authentication-file.json' # Replace with your actual customer ID customer_id: <PLACEHOLDER_CUSTOMER_ID> endpoint: <YOUR_REGIONAL_ENDPOINT> # Add ingestion labels for Exchange logs log_type: 'EXCHANGE_MAIL' raw_log_field: body ingestion_labels: service: pipelines: logs/exchange: receivers: - windowseventlog/exchange_application - windowseventlog/exchange_system - windowseventlog/exchange_management processors: - batch exporters: - chronicle/exchange- Ersetzen Sie
<PLACEHOLDER_CUSTOMER_ID>durch die tatsächliche Kunden-ID, die Sie zuvor abgerufen haben. - Ersetzen Sie
<YOUR_REGIONAL_ENDPOINT>durch den entsprechenden regionalen Endpunkt aus der Dokumentation zu regionalen Endpunkten. - Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonauf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.
- Ersetzen Sie
Hinweise zur Konfiguration
- Anwendungschannel: Erfasst Ereignisse auf Anwendungsebene von Exchange Server, einschließlich Dienststart, Fehler und Warnungen.
- Systemchannel: Erfasst Ereignisse auf Systemebene, die sich auf den Betrieb von Exchange Server auswirken können.
- MSExchange Management channel (MSExchange-Verwaltungschannel): Hier werden Exchange-spezifische Verwaltungsereignisse erfasst, darunter die Ausführung von PowerShell-Cmdlets und administrative Aktionen.
- raw: true: Sendet vollständige Windows-Ereignisprotokolleinträge im Originalformat für eine umfassende Analyse.
- start_at: end: Es werden ab dem aktuellen Zeitpunkt neue Ereignisse erfasst. Frühere Logs werden nicht aufgenommen.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl als Administrator eingeben:
net stop "observIQ OpenTelemetry Collector" && net start "observIQ OpenTelemetry Collector"
Unterstützte Microsoft Exchange-Beispiellogs
Syslog + W3C
<13>Jul 16 19:36:22 10.10.10.1 2020-07-16 23:36:06 10.10.10.2 POST /mapi/nspi/ MailboxId=00000000-0000-0000-0000-000000000000@example.com &FrontEnd=SERVER01.EXAMPLE.LOCAL &RequestId=11111111-2222-3333-4444-555555555555 &ClientRequestInfo=R:{244982AA-6563-4272-8A81-6435F8C98736}:362;RT:PING;CI:{F1037E72-B035-4F6F-9EE2-CDC028A174BD}:5;CID:{C0C8D580-5B1A-48D2-9285-D0981B30BCAF} &ResponseInfo=XRC:0 &Stage=BegR:2020-07-16T23:36:06.0762130Z;PostAR:14;PreH:15;PostH:15;EndR:15 444 Anonymous 192.168.1.5 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.4954;+Pro) - 200 0 0 25 10.0.0.1,10.0.0.2JSON
{ "EventReceivedTime": "2020-06-28 06:20:18", "SourceModuleName": "ExLogs", "SourceModuleType": "im_file", "date-time": "2020-06-28T10:00:52.987Z", "connector-id": "server-relay\\Anonymous Relay", "session-id": "08D91C389539A23E", "sequence-number": "4397", "local-endpoint": "10.0.0.1:25", "remote-endpoint": "192.168.1.100:30165", "event": "<", "data": "MAIL FROM:<sender@example.com>" }Syslog + CSV
<13>May 17 11:56:05 SERVER01 Microsoft_Exchange_Server: 2023-05-17T15:56:05.260Z, , SERVER02.EXAMPLE.LOCAL, , SERVER01, 08DB548089C89C20;2023-05-17T15:56:05.135Z;ClientSubmitTime:, , STOREDRIVER, DELIVER, 135536282960527, <835115255.9114241684338954615.JavaMail.app@example.com>, 00000000-0000-0000-0000-000000000000, sender@example.com, , 48294, 1, , , Webinar Subject Line, recipient@example.com, bounce-address@bounce.example.com, 2023-05-17T15:56:04.064Z;SRV=SERVER01.EXAMPLE.LOCAL:TOTAL-FE=0.153|..., Incoming, , 10.10.10.1, 10.10.10.2, S:IncludeInSla=True;...;S:AccountForest=EXAMPLE.LOCAL, Email, f351e35a-80b8-462a-197a-08db56ef38c4, 15.02.0986.042Reines CSV
2023-05-04T11:01:06.971Z, Inbound Proxy Internal Send Connector, 08DB4283F358F976, 231, 10.0.0.1:21, 192.168.1.50:25, >, MAIL FROM:user@example.nl SIZE=0 AUTH=<> XMESSAGEVALUE=MediumHigh,Syslog + Schlüssel/Wert-Paar
<13>Feb 08 12:43:54 SERVER01 AgentDevice=MicrosoftExchange AgentLogFile=u_ex240208.log PluginVersion=7.3.1.22 AgentLogFormat=W3C AgentLogProtocol=OWA date=2024-02-08 time=10:43:49 s-ip=10.0.0.1 cs-method=POST cs-uri-stem=/mapi/emsmdb/ cs-uri-query=MailboxId=00000000-0000-0000-0000-000000000000@example.com&CorrelationID=<empty>;&ClientRequestInfo=R:{19C548BA-F616-4021-B925-5716E62B5CB3}:3105;RT:NotificationWait;CI:{518670B4-ADF1-4C59-8A26-377C3F9B7DAB}:62560018;CID:{111677F0-FEB1-4194-9DAC-CC0437A5AD5F}&cafeReqId=310eebda-23e9-46cd-9576-e9892bcaffd0; s-port=443 cs-username=EXAMPLE\user c-ip=192.168.1.10 cs(User-Agent)=Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.10382;+Pro) cs(Referer)=- sc-status=200 sc-substatus=0 sc-win32-status=0 time-taken=357708CEF
CEF:0|Microsoft|Exchange|15.2|Mailbox|Deliver|3| src=10.10.10.5 dst=192.168.1.20 suser=sender@example.com duser=recipient@example.com suid=DOMAIN\sender duid=DOMAIN\recipient msg=Message Subject Line cs1Label=OriginalIP cs1=172.16.0.1 cn1Label=MessageSize cn1=45000
UDM-Zuordnung
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| c-ip | read_only_udm.target.asset.ip | Wert aus dem Feld „c-ip“ |
| c-ip | read_only_udm.target.ip | Wert aus dem Feld „c-ip“ |
| client-hostname | read_only_udm.principal.asset.hostname | Wert aus dem Feld „client-hostname“ |
| client-hostname | read_only_udm.principal.hostname | Wert aus dem Feld „client-hostname“ |
| client-ip | read_only_udm.principal.asset.ip | Wert aus dem Feld „client-ip“ |
| client-ip | read_only_udm.principal.ip | Wert aus dem Feld „client-ip“ |
| Spalte1 | read_only_udm.metadata.event_timestamp | Wert aus dem Feld „column1“ |
| column10 | read_only_udm.intermediary.resource.attribute.labels.value | Wert aus dem Feld „column10“ |
| column11 | read_only_udm.network.email.mail_id | Wert aus dem Feld „column11“ |
| column12 | read_only_udm.additional.fields.value.string_value | Wert aus dem Feld „column12“ |
| column13 | read_only_udm.network.email.to | Wert aus dem Feld „column13“ |
| column13 | read_only_udm.target.user.email_addresses | Wert aus dem Feld „column13“ |
| column15 | read_only_udm.additional.fields.value.string_value | Wert aus dem Feld „column15“ |
| column16 | read_only_udm.target.resource.attribute.labels.value | Wert aus dem Feld „column16“ |
| column19 | read_only_udm.network.email.subject | Wert aus dem Feld „column19“ |
| Spalte2 | read_only_udm.principal.asset.ip | Wert aus dem Feld „column2“ |
| Spalte2 | read_only_udm.principal.ip | Wert aus dem Feld „column2“ |
| column20 | read_only_udm.network.email.from | Wert aus dem Feld „column20“ |
| column20 | read_only_udm.principal.user.email_addresses | Wert aus dem Feld „column20“ |
| column21 | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „column21“ |
| column22 | read_only_udm.security_result.description | Wert aus dem Feld „column22“ |
| column24 | read_only_udm.additional.fields.value.string_value | Wert aus dem Feld „column24“ |
| column25 | read_only_udm.principal.asset.ip | Wert aus dem Feld „column25“ |
| column25 | read_only_udm.principal.ip | Wert aus dem Feld „column25“ |
| column26 | read_only_udm.target.asset.ip | Wert aus dem Feld „column26“ |
| column26 | read_only_udm.target.ip | Wert aus dem Feld „column26“ |
| column27 | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „column27“ |
| column28 | read_only_udm.additional.fields.value.string_value | Wert aus dem Feld „column28“ |
| column29 | read_only_udm.metadata.product_log_id | Wert aus dem Feld „column29“ |
| Spalte3 | read_only_udm.principal.asset.hostname | Wert aus dem Feld „column3“ |
| Spalte3 | read_only_udm.principal.hostname | Wert aus dem Feld „column3“ |
| column30 | read_only_udm.metadata.product_version | Wert aus dem Feld „column30“ |
| Spalte4 | read_only_udm.target.asset.ip | Wert aus dem Feld „column4“ |
| Spalte4 | read_only_udm.target.ip | Wert aus dem Feld „column4“ |
| column5 | read_only_udm.target.asset.hostname | Wert aus dem Feld „column5“ |
| column5 | read_only_udm.target.hostname | Wert aus dem Feld „column5“ |
| column6 | read_only_udm.metadata.event_timestamp | Wert aus dem Feld „column6“ |
| column6 | read_only_udm.network.http.response_code | Wert aus dem Feld „column6“ |
| column6 | read_only_udm.network.session_id | Wert aus dem Feld „column6“ |
| column6 | read_only_udm.metadata.description | Wert aus dem Feld „column6“ |
| column7 | read_only_udm.additional.fields.value.string_value | Wert aus dem Feld „column7“ |
| column8 | read_only_udm.additional.fields.value.string_value | Wert aus dem Feld „column8“ |
| column9 | read_only_udm.metadata.product_event_type | Wert aus dem Feld „column9“ |
| connector_id | read_only_udm.additional.fields.value.string_value | Wert aus dem Feld „connector-id“ |
| cs-method | read_only_udm.network.http.method | Wert aus dem Feld „cs-method“ |
| cs-uri-query | read_only_udm.target.url | Wert aus dem Feld „cs-uri-query“ |
| cs-uri-stem | read_only_udm.target.url | Wert aus dem Feld „cs-uri-stem“ |
| csReferer | read_only_udm.network.http.referral_url | Wert aus dem Feld „csReferer“ |
| csUser-Agent | read_only_udm.network.http.user_agent | Wert aus dem Feld „csUser-Agent“ |
| cs-username | read_only_udm.principal.user.userid | Wert aus dem Feld „cs-username“ |
| custom-data | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „custom-data“ |
| Daten | read_only_udm.security_result.about.labels.value | Wert aus dem Feld „data“ |
| Daten | read_only_udm.security_result.description | Wert aus dem Feld „data“ |
| Daten | read_only_udm.network.email.from | Wert aus dem Feld „data“ |
| Daten | read_only_udm.network.email.to | Wert aus dem Feld „data“ |
| Daten | read_only_udm.target.hostname | Wert aus dem Feld „data“ |
| Daten | read_only_udm.security_result.description | Wert aus dem Feld „data“ |
| Daten | read_only_udm.network.sent_bytes | Wert aus dem Feld „data“ |
| Daten | read_only_udm.target.user.email_addresses | Wert aus dem Feld „data“ |
| Datum | read_only_udm.metadata.event_timestamp | Wert aus den Feldern „date“ und „time“ |
| date-time | read_only_udm.metadata.event_timestamp | Wert aus dem Feld „date-time“ |
| DeliveryLatency | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „DeliveryLatency“ in „custom-data“ oder „message-info“ |
| DeliveryPriority | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „DeliveryPriority“ in „custom-data“ oder dem Feld „column21“ |
| DeliveryPriority | read_only_udm.security_result.priority | Wenn „DeliveryPriority“ „Low“ oder „Normal“ ist, dann „LOW_PRIORITY“. Wenn „DeliveryPriority“ „Medium“ ist, dann „MEDIUM_PRIORITY“. Wenn „DeliveryPriority“ „High“ ist, dann „HIGH_PRIORITY“. |
| Richtung | read_only_udm.network.direction | Wenn „directionality“ „Incoming“ ist, dann „INBOUND“. Wenn „directionality“ „Originating“ ist, dann „OUTBOUND“. |
| E2ELatency | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „E2ELatency“ in „custom-data“ oder „message-info“ |
| Event | read_only_udm.metadata.product_event_type | Wenn „event“ „+“ ist, dann „Connect“ (Verbinden), wenn „event“ „-“ ist, dann „Disconnect“ (Trennen), wenn „event“ „*“ ist, dann „Information“ (Informationen), wenn „event“ „>“ ist, dann „Send“ (Senden), wenn „event“ „<“ ist, dann „Receive“ (Empfangen) |
| Event | read_only_udm.network.direction | Wenn „event“ gleich „>“ ist, dann „OUTBOUND“, wenn „event“ gleich „<“ ist, dann „INBOUND“ |
| EventID | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „EventID“ |
| EventReceivedTime | read_only_udm.metadata.collected_timestamp | Wert aus dem Feld „EventReceivedTime“ |
| EventReceivedTime | read_only_udm.metadata.event_timestamp | Wert aus dem Feld „EventReceivedTime“ in „column6“ |
| FirstForestHop | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „FirstForestHop“ in „custom-data“ |
| FromEntity | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „FromEntity“ in „custom-data“ oder „message-info“ |
| guid | read_only_udm.metadata.product_log_id | Wert aus dem Feld „guid“ |
| Hostname | read_only_udm.principal.asset.hostname | Wert aus dem Feld „Hostname“ |
| Hostname | read_only_udm.principal.hostname | Wert aus dem Feld „Hostname“ |
| IncludeInSla | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „IncludeInSla“ in „custom-data“ oder „message-info“ |
| internal-message-id | read_only_udm.intermediary.resource.attribute.labels.value | Wert aus dem Feld „internal-message-id“ |
| IsProbe | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „IsProbe“ in „custom-data“ oder dem Feld „column21“ |
| Keywords | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „Schlüsselwörter“ |
| local-endpoint | read_only_udm.principal.asset.ip | Wert aus dem Feld „local-endpoint“ |
| local-endpoint | read_only_udm.principal.ip | Wert aus dem Feld „local-endpoint“ |
| local-endpoint | read_only_udm.principal.port | Wert aus dem Feld „local-endpoint“ |
| Briefkästen | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „Mailboxes“ in „custom-data“ oder „message-info“ |
| MailboxDatabaseGuid | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „MailboxDatabaseGuid“ in „custom-data“ oder „message-info“ |
| MAIL VON | read_only_udm.network.email.from | Wert aus dem Feld „MAIL FROM“ in „data“ |
| MAIL VON | read_only_udm.principal.user.email_addresses | Wert aus dem Feld „MAIL FROM“ in „data“ |
| MAIL From | read_only_udm.network.email.from | Wert aus dem Feld „MAIL From“ in „data“ |
| MAIL From | read_only_udm.principal.user.email_addresses | Wert aus dem Feld „MAIL From“ in „data“ |
| message-id | read_only_udm.network.email.mail_id | Wert aus dem Feld „message-id“ |
| message-info | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „message-info“ |
| message-info | read_only_udm.security_result.description | Wert aus dem Feld „message-info“ |
| MessageValue | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „MessageValue“ in „custom-data“ |
| message-subject | read_only_udm.network.email.subject | Wert aus dem Feld „message-subject“ |
| method | read_only_udm.network.http.method | Wert aus dem Feld „method“ |
| Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel“ in „custom-data“ |
| MsgRecipCount | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „MsgRecipCount“ in „custom-data“ oder „message-info“ |
| network-message-id | read_only_udm.additional.fields.value.string_value | Wert aus dem Feld „network-message-id“ |
| OriginalFromAddress | read_only_udm.principal.user.email_addresses | Wert aus dem Feld „OriginalFromAddress“ in „custom-data“ oder dem Feld „column21“ |
| P2RecipStat | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „P2RecipStat“ in „custom-data“ oder „message-info“ |
| PersistProbeTrace | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „PersistProbeTrace“ in „custom-data“ oder dem Feld „column21“ |
| PrioritizationReason | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „PrioritizationReason“ in „custom-data“ |
| ProbeType | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „ProbeType“ in „custom-data“ oder dem Feld „column21“ |
| ProcessID | read_only_udm.principal.process.pid | Wert aus dem Feld „ProcessID“ |
| ProxiedClientHostname | read_only_udm.intermediary.hostname | Wert aus dem Feld „ProxiedClientHostname“ in „custom-data“ |
| ProxiedClientIPAddress | read_only_udm.intermediary.asset.ip | Wert aus dem Feld „ProxiedClientIPAddress“ in „custom-data“ |
| ProxiedClientIPAddress | read_only_udm.intermediary.ip | Wert aus dem Feld „ProxiedClientIPAddress“ in „custom-data“ |
| ProxyHop1 | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „ProxyHop1“ in „custom-data“ |
| RCPT TO | read_only_udm.network.email.to | Wert aus dem Feld „RCPT TO“ in „data“ |
| RCPT TO | read_only_udm.target.user.email_addresses | Wert aus dem Feld „RCPT TO“ in „data“ |
| RCPT To | read_only_udm.network.email.to | Wert aus dem Feld „RCPT To“ in „data“ |
| RCPT To | read_only_udm.target.user.email_addresses | Wert aus dem Feld „RCPT To“ in „data“ |
| recipient-address | read_only_udm.target.user.email_addresses | Wert aus dem Feld „recipient-address“ |
| recipient-count | read_only_udm.target.resource.attribute.labels.value | Wert aus dem Feld „recipient-count“ |
| recipient-status | read_only_udm.target.resource.attribute.labels.value | Wert aus dem Feld „recipient-status“ |
| remote-endpoint | read_only_udm.target.asset.ip | Wert aus dem Feld „remote-endpoint“ |
| remote-endpoint | read_only_udm.target.ip | Wert aus dem Feld „remote-endpoint“ |
| remote-endpoint | read_only_udm.target.port | Wert aus dem Feld „remote-endpoint“ |
| res_code | read_only_udm.network.http.response_code | Wert aus dem Feld „res_code“ |
| s-ip | read_only_udm.principal.asset.ip | Wert aus dem Feld „s-ip“ |
| s-ip | read_only_udm.principal.ip | Wert aus dem Feld „s-ip“ |
| s-port | read_only_udm.principal.port | Wert aus dem Feld „s-port“ |
| sc-status | read_only_udm.network.http.response_code | Wert aus dem Feld „sc-status“ |
| sc-substatus | read_only_udm.additional.fields.value.string_value | Wert aus dem Feld „sc-substatus“ |
| sender-address | read_only_udm.network.email.from | Wert aus dem Feld „sender-address“ |
| sender-address | read_only_udm.principal.user.email_addresses | Wert aus dem Feld „sender-address“ |
| sequence-number | read_only_udm.additional.fields.value.number_value | Wert aus dem Feld „sequence-number“ |
| server-hostname | read_only_udm.target.asset.hostname | Wert aus dem Feld „server-hostname“ |
| server-hostname | read_only_udm.target.hostname | Wert aus dem Feld „server-hostname“ |
| server-ip | read_only_udm.target.asset.ip | Wert aus dem Feld „server-ip“ |
| server-ip | read_only_udm.target.ip | Wert aus dem Feld „server-ip“ |
| session-id | read_only_udm.network.session_id | Wert aus dem Feld „session-id“ |
| sessionid | read_only_udm.network.session_id | Wert aus dem Feld „sessionid“ |
| Schweregrad | read_only_udm.security_result.severity | Wenn „Severity“ „Info“ enthält, dann „INFORMATIONAL“, wenn „Severity“ „Error“ enthält, dann „ERROR“, wenn „Severity“ „Warning“ enthält, dann „MEDIUM“, andernfalls „UNKNOWN_SEVERITY“ |
| SeverityValue | read_only_udm.security_result.severity_details | Wert aus dem Feld „SeverityValue“ |
| SlaExclusionReason | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „SlaExclusionReason“ in „custom-data“ |
| source | read_only_udm.additional.fields.value.string_value | Wert aus dem Feld „source“ |
| SourceModuleName | read_only_udm.principal.resource.name | Wert aus dem Feld „SourceModuleName“ |
| SourceModuleType | read_only_udm.principal.resource.type | Wert aus dem Feld „SourceModuleType“ |
| SourceName | read_only_udm.principal.resource.attribute.labels.value | Wert aus dem Feld „SourceName“ |
| StoreObjectIds | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „StoreObjectIds“ in „custom-data“ oder „message-info“ |
| Aufgabe | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „Aufgabe“ |
| ThreadID | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „ThreadID“ |
| Zeit | read_only_udm.metadata.event_timestamp | Wert aus den Feldern „date“ und „time“ |
| ToEntity | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „ToEntity“ in „custom-data“ oder „message-info“ |
| total-bytes | read_only_udm.additional.fields.value.string_value | Wert aus dem Feld „total-bytes“ |
| TransportTrafficSubType | read_only_udm.security_result.detection_fields.value | Wert aus dem Feld „TransportTrafficSubType“ in „custom-data“ |
| TransportTrafficSubType | read_only_udm.metadata.product_version | Wert aus dem Feld „TransportTrafficSubType“ in „custom-data“ |
| ts | read_only_udm.metadata.event_timestamp | Wert aus dem Feld „ts“ |
| u_agent | read_only_udm.network.http.user_agent | Wert aus dem Feld „u_agent“ |
| u_param | read_only_udm.target.url | Wert aus dem Feld „u_param“ |
| u_path | read_only_udm.target.url | Wert aus dem Feld „u_path“ |
| u_path | read_only_udm.target.url | Wert aus den Feldern „u_path“ und „u_param“ |
| Nutzer | read_only_udm.target.user.userid | Wert aus dem Feld „user“ |
| Nutzer | read_only_udm.target.user.email_addresses | Wert aus dem Feld „user“ |
| metadata.event_type | read_only_udm.metadata.event_type | Wenn „has_principal_email“ „true“ und „has_target_email“ „true“ ist, dann „EMAIL_TRANSACTION“. Wenn „event_type“ „GENERIC_EVENT“ ist und „principal_hostname“, „s_ip“ oder „host“ nicht leer ist oder „has_principal“ „true“ ist, dann „STATUS_UPDATE“. Wenn „event_type“ „GENERIC_EVENT“ ist und „has_principal_email“ „true“ oder „has_target_email“ „true“ ist, dann „USER_UNCATEGORIZED“. Andernfalls wird der Wert aus dem Feld „event_type“ übernommen. |
| metadata.log_type | read_only_udm.metadata.log_type | Hartcodierter Wert „EXCHANGE_MAIL“ |
| metadata.product_name | read_only_udm.metadata.product_name | Hartcodierter Wert „Exchange Mail“ |
| metadata.vendor_name | read_only_udm.metadata.vendor_name | Fest codierter Wert „Microsoft“ |
| network.application_protocol | read_only_udm.network.application_protocol | Wenn „app_protocol“ „SMTP“, „HTTP“ oder „HTTPS“ ist, wird der Wert aus dem Feld „app_protocol“ übernommen. Wenn „app_protocol“ „SMTP“ enthält, wird „SMTP“ verwendet. |
| network.direction | read_only_udm.network.direction | Wenn „s_ip“ nicht leer ist, dann „INBOUND“ |
| network.email.from | read_only_udm.network.email.from | Wert aus dem Feld „from_mail“ |
| network.email.mail_id | read_only_udm.network.email.mail_id | Wert aus dem Feld „msg_id“ |
| network.email.subject | read_only_udm.network.email.subject | Wert aus dem Feld „column19“ |
| network.email.to | read_only_udm.network.email.to | Wert aus dem Feld „to_mail“ |
| network.http.method | read_only_udm.network.http.method | Wert aus dem Feld „method“ |
| network.http.response_code | read_only_udm.network.http.response_code | Wert aus dem Feld „res_code“ |
| network.http.user_agent | read_only_udm.network.http.user_agent | Wert aus dem Feld „u_agent“ |
| network.sent_bytes | read_only_udm.network.sent_bytes | Wert aus dem Feld „sent_bytes“ |
| network.session_id | read_only_udm.network.session_id | Wert aus dem Feld „sessionid“ |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | Wert aus dem Feld „principal_hostname“ |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | Wert aus dem Feld „host“ |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | Wert aus dem Feld „column3“ |
| principal.asset.ip | read_only_udm.principal.asset.ip | Wert aus dem Feld „column2“ |
| principal.asset.ip | read_only_udm.principal.asset.ip | Wert aus dem Feld „column25“ |
| principal.asset.ip | read_only_udm.principal.asset.ip | Wert aus dem Feld „s_ip“ |
| principal.hostname | read_only_udm.principal.hostname | Wert aus dem Feld „principal_hostname“ |
| principal.hostname | read_only_udm.principal.hostname | Wert aus dem Feld „host“ |
| principal.hostname | read_only_udm.principal.hostname | Wert aus dem Feld „column3“ |
| principal.ip | read_only_udm.principal.ip | Wert aus dem Feld „column2“ |
| principal.ip | read_only_udm.principal.ip | Wert aus dem Feld „column25“ |
| principal.ip | read_only_udm.principal.ip | Wert aus dem Feld „s_ip“ |
| principal.port | read_only_udm.principal.port | Wert aus dem Feld „s-port“ |
| principal.user.email_addresses | read_only_udm.principal.user.email_addresses | Wert aus dem Feld „mail“ |
| principal.user.email_addresses | read_only_udm.principal.user.email_addresses | Wert aus dem Feld „email_address“ |
| principal.user.userid | read_only_udm.principal.user.userid | Wert aus dem Feld „cs-username“ |
| security_result.about.labels.key | read_only_udm.security_result.about.labels.key | Hartcodierter Wert „Response Code“ |
| security_result.description | read_only_udm.security_result.description | Wert aus dem Feld „context“ |
| security_result.description | read_only_udm.security_result.description | Wert aus dem Feld „column22“ |
| security_result.priority | read_only_udm.security_result.priority | Wenn „severity“ „1“, „2“ oder „3“ ist, dann „LOW“. Wenn „severity“ „4“, „5“ oder „6“ ist, dann „MEDIUM“. Wenn „severity“ „7“, „8“ oder „9“ ist, dann „HIGH“. |
| security_result.severity | read_only_udm.security_result.severity | Wenn „Severity“ „Info“ enthält, dann „INFORMATIONAL“, wenn „Severity“ „Error“ enthält, dann „ERROR“, wenn „Severity“ „Warning“ enthält, dann „MEDIUM“, andernfalls „UNKNOWN_SEVERITY“ |
| target.administrative_domain | read_only_udm.target.administrative_domain | Wert aus dem Feld „domain“ |
| target.asset.hostname | read_only_udm.target.asset.hostname | Wert aus dem Feld „column5“ |
| target.asset.hostname | read_only_udm.target.asset.hostname | Wert aus dem Feld „target_host“ |
| target.asset.ip | read_only_udm.target.asset.ip | Wert aus dem Feld „column4“ |
| target.asset.ip | read_only_udm.target.asset.ip | Wert aus dem Feld „column26“ |
| target.asset.ip | read_only_udm.target.asset.ip | Wert aus dem Feld „c-ip“ |
| target.hostname | read_only_udm.target.hostname | Wert aus dem Feld „column5“ |
| target.hostname | read_only_udm.target.hostname | Wert aus dem Feld „target_host“ |
| target.ip | read_only_udm.target.ip | Wert aus dem Feld „column4“ |
| target.ip | read_only_udm.target.ip | Wert aus dem Feld „column26“ |
| target.ip | read_only_udm.target.ip | Wert aus dem Feld „c-ip“ |
| target.port | read_only_udm.target.port | Wert aus dem Feld „c_port“ |
| target.resource.attribute.labels.key | read_only_udm.target.resource.attribute.labels.key | Hartcodierter Wert „Anzahl der Empfänger“ |
| target.user.email_addresses | read_only_udm.target.user.email_addresses | Wert aus dem Feld „user“ |
| target.user.user_display_name | read_only_udm.target.user.user_display_name | Wert aus dem Feld „username“ |
| target.user.userid | read_only_udm.target.user.userid | Wert aus dem Feld „user“ |
| target.url | read_only_udm.target.url | Wert aus dem Feld „u_path“ |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten