收集 Imperva WAF 記錄

支援的國家/地區:

本文說明如何使用 API 或 Amazon S3,從 Imperva Web Application Firewall (WAF) 收集記錄,並傳送至 Google Security Operations。剖析器會將 SYSLOG+KV、JSON、CEF 和 LEEF 格式的記錄檔轉換為統合式資料模型 (UDM)。這項服務會處理各種記錄檔結構、擷取相關欄位、將這些欄位正規化為 UDM 屬性,並加入情境資訊來擴充資料,以利進行更深入的安全性分析。

收集方法差異

將 Imperva WAF 與 Google SecOps 整合後,即可透過下列方法擷取記錄,且這些方法都使用相同的擷取標籤 IMPERVA_WAF

  • API 收集:Google SecOps 會透過這種方法,直接從 Imperva API 提取記錄。這是直接連線,且僅支援稽核記錄,如「 Imperva 稽核追蹤記錄」 所述。
  • Amazon S3 V2 值區集合:使用這種方法時,Imperva WAF 會將記錄推送至指定 Amazon S3 值區。Google SecOps 接著會從這個值區提取記錄。 這樣一來,您就能按照「Imperva 記錄整合」一文的說明,收集 Cloud WAF 產生的安全性事件和存取記錄

事前準備

請確認您已完成下列事前準備事項:

  • 最符合設定需求的擷取類型 (API 或 Amazon S3)。
  • Google SecOps 執行個體。
  • AWS 的特殊存取權。
  • 具備 Imperva WAF 的特殊存取權。

使用 API 收集 Imperva WAF 記錄

為 Imperva WAF 設定唯讀使用者

  1. 使用具備權限的帳戶登入 Imperva 控制台
  2. 依序前往「設定」>「使用者和角色」
  3. 點選「Add User」
  4. 填寫必填欄位:
    • 使用者名稱:輸入不重複的使用者名稱。
    • 密碼:設定高強度密碼。
    • 電子郵件地址:提供使用者的電子郵件地址。
    • 在「角色」部分,選取「讀取者」角色。
  5. 按一下「儲存」,即可建立具有唯讀權限的使用者。

選用:將 Reader 使用者設定為「僅限 API」

  1. 在「使用者」清單中找出新建立的使用者。
  2. 按一下使用者名稱旁邊的「動作」按鈕 (三點圖示)。
  3. 選取「設為僅限 API」使用者。

產生 API ID 和 API 金鑰

  1. 在「使用者」清單中,選取新建立的使用者。
  2. 選取「設定」,然後按一下「API 金鑰」
  3. 按一下「新增 API 金鑰」
  4. 填寫必填欄位:
    • 名稱:輸入 API 金鑰的描述性名稱。
    • 選用:說明:提供選用說明。
    • 在「API 金鑰將於以下時間到期」清單中,選取「永不到期」
    • 如要啟用,請選取「狀態」
  5. 按一下 [儲存]

系統會顯示 API ID 和 API 金鑰。請複製並儲存這些憑證,因為系統不會再次顯示。

設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態消息」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入動態饋給名稱,例如「Imperva Incapsula WAF Logs」
  5. 選取「第三方 API」做為「來源類型」
  6. 選取「Imperva」做為「記錄類型」
  7. 點選「下一步」
  8. 指定下列輸入參數的值:
    • 驗證 HTTP 標頭:在兩行中輸入 Imperva API ID 和金鑰:apiId:<YOUR_API_ID>apiKey:<YOUR_API_KEY>
  9. 點選「下一步」
  10. 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」

使用 Amazon S3 收集 Imperva WAF 記錄

設定 AWS IAM 和 S3

  1. 按照這份使用者指南建立 Amazon S3 值區建立值區
  2. 儲存 bucket 的「名稱」和「區域」,稍後會用到。
  3. 請按照這份使用者指南建立使用者建立 IAM 使用者
  4. 選取建立的「使用者」
  5. 選取「安全憑證」分頁標籤。
  6. 在「Access Keys」部分中,按一下「Create Access Key」
  7. 選取「第三方服務」做為「用途」
  8. 點選「下一步」
  9. 選用:新增說明標記。
  10. 按一下「建立存取金鑰」
  11. 按一下「Download .csv file」,然後儲存「Access Key」和「Secret Access Key」,以供日後使用。
  12. 按一下 [完成]
  13. 選取 [權限] 分頁標籤。
  14. 在「Permissions policies」(權限政策) 區段中,按一下「Add permissions」(新增權限)
  15. 選取「新增權限」
  16. 選取「直接附加政策」
  17. 搜尋並選取 AmazonS3FullAccess 政策。
  18. 點選「下一步」
  19. 按一下「Add permissions」。

設定 Imperva WAF Amazon S3 連線

  1. 使用具備權限的帳戶登入 Imperva 控制台
  2. 依序前往「記錄」>「記錄設定」
  3. 選取「Amazon S3」
  4. 填寫必填欄位:
    • 存取金鑰
    • 密鑰
    • 路徑:輸入路徑,格式如下:<Amazon S3 bucket name>/<log folder>,例如:MyBucket/MyIncapsulaLogFolder
  5. 按一下「測試連線」,執行完整測試週期,將測試檔案傳輸至指定資料夾。
  6. 將記錄檔格式選為 CEF
  7. 根據預設,記錄檔會經過壓縮。設定不要壓縮檔案。

在 Google SecOps 中設定資訊提供,從 Amazon S3 V2 擷取 Imperva WAF 記錄

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在「動態饋給名稱」欄位中輸入動態饋給名稱,例如 Imperva WAF Logs
  4. 選取「Amazon S3 V2」做為「來源類型」
  5. 選取「Imperva」做為「記錄類型」
  6. 點選「下一步」

  7. 指定下列輸入參數的值:

    • S3 URI:值區 URI。
      • s3://your-log-bucket-name/
        • 請將 your-log-bucket-name 替換為實際值區名稱。

    • 來源刪除選項:根據偏好選取刪除選項。

    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。

    • 存取金鑰 ID:具有 S3 值區存取權的使用者存取金鑰。

    • 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。

    • 資產命名空間資產命名空間

    • 擷取標籤:要套用至這個動態饋給事件的標籤。

  8. 點選「下一步」

  9. 在「完成」畫面中檢查新的動態饋給設定,然後按一下「提交」

UDM 對應表

記錄欄位 UDM 對應 邏輯
account_id target.user.userid JSON 物件中的帳戶 ID
act security_result.action 如果 actallowedalert、以 REQ_PASSED 開頭或以 REQ_CACHED 開頭,請設為 ALLOW。如果 actdenyblocked、以 REQ_BLOCKED 開頭或以 REQ_CHALLENGE 開頭,請設為 BLOCK。如果 act 與規則運算式 (?i)REQ_BAD 相符,則設為 FAIL。否則請設為 UNKNOWN_ACTION
應用程式 network.application_protocol 已從「kv.app」重新命名。已轉換為大寫。
calCountryOrRegion principal.location.country_or_region 已從「calCountryOrRegion」重新命名。
cat security_result.action_details 如果 catREQ_PASSEDREQ_CACHED 開頭,請將 action 設為 ALLOW,並根據 cat 的值將 action_details 設為說明。如果 catREQ_BAD 開頭,請將 action 設為 FAIL,並根據 cat 的值設定 action_details 的說明。如果 catREQ_BLOCKEDREQ_CHALLENGE 開頭,請將 action 設為 BLOCK,並根據 cat 的值將 action_details 設為說明。
cicode principal.location.city 已從「cicode」重新命名。
classified_client security_result.detection_fields 如果 classified_client 不是空白,請建立新的 detection_fields 項目,並將鍵設為 classified_client,值設為 classified_client
client.domain principal.hostname、principal.asset.hostname 已從「client.domain」重新命名。
client.geo.country_iso_code principal.location.country_or_region 已從「client.geo.country_iso_code」重新命名。
client.ip principal.ip、principal.asset.ip 已併入「principal.ip」和「principal.asset.ip」。
cn1 network.http.response_code 已從「cn1」重新命名。轉換為整數。
context_key target.resource.name 已從「context_key」重新命名。
國家/地區 principal.location.country_or_region 已從「country」重新命名。
credentials_leaked security_result.detection_fields 已轉換為字串。如果不是空白,請建立新的 detection_fields 項目,其中鍵為 credentials_leaked,值為 credentials_leaked
cs1 security_result.detection_fields 如果 cs1 不為空白,則為 NA 或 `, create a newdetection_fieldsentry with keycs1Labeland valuecs1`。
cs1Label security_result.detection_fields 做為從 cs1 建立的 detection_fields 項目金鑰。
cs2 security_result.detection_fields 如果 cs2 不是空白,請建立新的 detection_fields 項目,並將鍵設為 cs2Label,值設為 cs2
cs2Label security_result.detection_fields 做為從 cs2 建立的 detection_fields 項目金鑰。
cs3 security_result.detection_fields 如果 cs3 不為空,則為 - 或 `, create a newdetection_fieldsentry with keycs3Labeland valuecs3`。
cs3Label security_result.detection_fields 做為從 cs3 建立的 detection_fields 項目金鑰。
cs4 security_result.detection_fields 如果 cs4 不是空白,請建立新的 detection_fields 項目,並將鍵設為 cs4Label,值設為 cs4
cs4Label security_result.detection_fields 做為從 cs4 建立的 detection_fields 項目金鑰。
cs5 security_result.detection_fields 如果 cs5 不是空白,請建立新的 detection_fields 項目,並將鍵設為 cs5Label,值設為 cs5
cs5Label security_result.detection_fields 做為從 cs5 建立的 detection_fields 項目金鑰。
cs6 principal.application 已從「cs6」重新命名。
cs7 principal.location.region_latitude 如果 cs7Labellatitude,就會重新命名為 principal.location.region_latitude。已轉換為浮點數。
cs7Label 如果 cs7Labellatitude,則用於判斷 cs7 的對應關係。
cs8 principal.location.region_longitude 如果 cs8Labellongitude,就會重新命名為 principal.location.region_longitude。已轉換為浮點數。
cs8Label 如果 cs8Labellongitude,則用於判斷 cs8 的對應關係。
cs9 security_result.rule_name、extensions.vulns.vulnerabilities.name 如果 cs9 不為空,請設為 security_result.rule_name,並建立名稱為 cs9 的新 vulnerabilities 項目。
客戶 target.user.user_display_name 已從「Customer」重新命名。
declared_client security_result.detection_fields 如果 declared_client 不是空白,請建立新的 detection_fields 項目,並將鍵設為 declared_client,值設為 declared_client
說明 security_result.threat_name 已從「description」重新命名。
deviceExternalId network.community_id 已從「deviceExternalId」重新命名。
deviceReceiptTime metadata.event_timestamp 剖析為日期並設為 metadata.event_timestamp。如果為空白,系統會改用 log_timestampkv.start
dhost target.hostname 已從「kv.dhost」重新命名。
dproc security_result.category_details 已從「dproc」重新命名。
dpt target.port 已從「kv.dpt」重新命名。轉換為整數。
dst target.ip、target.asset.ip 如果 dst 不是空白,則會合併至 target.iptarget.asset.ip
dstPort target.port 已從「dstPort」重新命名。轉換為整數。
duser target.user.userid 如果 duser 不符合規則運算式 .*?Alert.* 且不為空白,則重新命名為 target.user.userid
結束 security_result.detection_fields 如果 end 不是空白,請建立新的 detection_fields 項目,並將鍵設為 event_end_time,值設為 end
event.id JSON 物件中的活動 ID
event.provider principal.user.user_display_name 已從「event.provider」重新命名。
failed_logins_last_24h security_result.detection_fields 已轉換為字串。如果不是空白,請建立新的 detection_fields 項目,其中鍵為 failed_logins_last_24h,值為 failed_logins_last_24h
fileId network.session_id 已從「fileId」重新命名。
filePermission security_result.detection_fields 如果 filePermission 不是空白,請建立新的 detection_fields 項目,並將鍵設為 filePermission,值設為 filePermission
fileType security_result.detection_fields 如果 fileType 不是空白,請建立新的 detection_fields 項目,並將鍵設為 fileType,值設為 fileType
指紋 security_result.detection_fields 如果 fingerprint 不是空白,請建立新的 detection_fields 項目,並將鍵設為 log_imperva_fingerprint,值設為 fingerprint
flexString1 network.http.response_code 已從「kv.flexString1」重新命名。轉換為整數。
http.request.body.bytes network.sent_bytes 已轉換為無正負號整數。已從「http.request.body.bytes」重新命名。
http.request.method network.http.method 已從「http.request.method」重新命名。
imperva.abp.apollo_rule_versions security_result.detection_fields 針對 imperva.abp.apollo_rule_versions 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 apollo_rule_versions_{index},值設為該項目。
imperva.abp.bot_behaviors security_result.detection_fields 針對 imperva.abp.bot_behaviors 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 bot_behaviors_{index},值設為該項目。
imperva.abp.bot_deciding_condition_ids security_result.detection_fields 針對 imperva.abp.bot_deciding_condition_ids 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 bot_deciding_condition_ids_{index},值設為該項目。
imperva.abp.bot_deciding_condition_names security_result.detection_fields 針對 imperva.abp.bot_deciding_condition_names 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 bot_deciding_condition_names_{index},值設為該項目。
imperva.abp.bot_triggered_condition_ids security_result.detection_fields 針對 imperva.abp.bot_triggered_condition_ids 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 bot_triggered_condition_ids_{index},值設為該項目。
imperva.abp.bot_triggered_condition_names security_result.detection_fields 針對 imperva.abp.bot_triggered_condition_names 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 bot_triggered_condition_names_{index},值設為該項目。
imperva.abp.bot_violations security_result.detection_fields 針對 imperva.abp.bot_violations 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 bot_violations_{index},值設為該項目。
imperva.abp.customer_request_id network.session_id 已從「imperva.abp.customer_request_id」重新命名。
imperva.abp.headers_accept_encoding security_result.detection_fields 如果 imperva.abp.headers_accept_encoding 不是空白,請建立新的 detection_fields 項目,並將鍵設為 Accept Encoding,值設為 imperva.abp.headers_accept_encoding
imperva.abp.headers_accept_language security_result.detection_fields 如果 imperva.abp.headers_accept_language 不是空白,請建立新的 detection_fields 項目,並將鍵設為 Accept Language,值設為 imperva.abp.headers_accept_language
imperva.abp.headers_connection security_result.detection_fields 如果 imperva.abp.headers_connection 不是空白,請建立新的 detection_fields 項目,並將鍵設為 headers_connection,值設為 imperva.abp.headers_connection
imperva.abp.headers_referer network.http.referral_url 已從「imperva.abp.headers_referer」重新命名。
imperva.abp.hsig security_result.detection_fields 如果 imperva.abp.hsig 不是空白,請建立新的 detection_fields 項目,並將鍵設為 hsig,值設為 imperva.abp.hsig
imperva.abp.monitor_action security_result.action、security_result.severity 如果 imperva.abp.monitor_action 與規則運算式 (?i)allow 相符,請將 security_action 設為 ALLOW,並將 severity 設為 INFORMATIONAL。如果 imperva.abp.monitor_action 符合規則運算式 (?i)captcha(?i)block,請將 security_action 設為 BLOCK
imperva.abp.pid principal.process.pid 已從「imperva.abp.pid」重新命名。
imperva.abp.policy_id security_result.detection_fields 如果 imperva.abp.policy_id 不是空白,請建立新的 detection_fields 項目,並將鍵設為 Policy Id,值設為 imperva.abp.policy_id
imperva.abp.policy_name security_result.detection_fields 如果 imperva.abp.policy_name 不是空白,請建立新的 detection_fields 項目,並將鍵設為 Policy Name,值設為 imperva.abp.policy_name
imperva.abp.random_id additional.fields 如果 imperva.abp.random_id 不是空白,請建立新的 additional.fields 項目,並將鍵設為 Random Id,值設為 imperva.abp.random_id
imperva.abp.request_type principal.labels 如果 imperva.abp.request_type 不是空白,請建立新的 principal.labels 項目,並將鍵設為 request_type,值設為 imperva.abp.request_type
imperva.abp.selector security_result.detection_fields 如果 imperva.abp.selector 不是空白,請建立新的 detection_fields 項目,並將鍵設為 selector,值設為 imperva.abp.selector
imperva.abp.selector_derived_id security_result.detection_fields 如果 imperva.abp.selector_derived_id 不是空白,請建立新的 detection_fields 項目,並將鍵設為 selector_derived_id,值設為 imperva.abp.selector_derived_id
imperva.abp.tls_fingerprint security_result.description 已從「imperva.abp.tls_fingerprint」重新命名。
imperva.abp.token_id target.resource.product_object_id 已從「imperva.abp.token_id」重新命名。
imperva.abp.zuid additional.fields 如果 imperva.abp.zuid 不是空白,請建立新的 additional.fields 項目,並將鍵設為 zuid,值設為 imperva.abp.zuid
imperva.additional_factors additional.fields 針對 imperva.additional_factors 中的每個項目,建立新的 additional.fields 項目,並將鍵設為 additional_factors_{index},值設為該項目。
imperva.audit_trail.event_action security_result.detection_fields 如果 imperva.audit_trail.event_action 不是空白,請建立新的 detection_fields 項目,並將鍵設為 imperva.audit_trail.event_action,值設為 imperva.audit_trail.event_action_description
imperva.audit_trail.event_action_description security_result.detection_fields 做為從 imperva.audit_trail.event_action 建立的 detection_fields 項目值。
imperva.audit_trail.event_context security_result.detection_fields 如果 imperva.audit_trail.event_context 不是空白,請建立新的 detection_fields 項目,並將鍵設為 imperva.audit_trail.event_context,值設為 imperva.audit_trail.event_context_description
imperva.audit_trail.event_context_description security_result.detection_fields 做為從 imperva.audit_trail.event_context 建立的 detection_fields 項目值。
imperva.country principal.location.country_or_region 已從「imperva.country」重新命名。
imperva.declared_client security_result.detection_fields 如果 imperva.declared_client 不是空白,請建立新的 detection_fields 項目,並將鍵設為 declared_client,值設為 imperva.declared_client
imperva.device_reputation additional.fields 針對 imperva.device_reputation 中的每個項目,建立新的 additional.fields 項目,其中包含鍵 device_reputation 和含有該項目的清單值。
imperva.domain_risk security_result.detection_fields 如果 imperva.domain_risk 不是空白,請建立新的 detection_fields 項目,並將鍵設為 domain_risk,值設為 imperva.domain_risk
imperva.failed_logins_last_24h security_result.detection_fields 已轉換為字串。如果不是空白,請建立新的 detection_fields 項目,其中鍵為 failed_logins_last_24h,值為 failed_logins_last_24h
imperva.fingerprint security_result.detection_fields 如果 imperva.fingerprint 不是空白,請建立新的 detection_fields 項目,並將鍵設為 log_imperva_fingerprint,值設為 imperva.fingerprint
imperva.ids.account_id metadata.product_log_id 已從「imperva.ids.account_id」重新命名。
imperva.ids.account_name metadata.product_event_type 已從「imperva.ids.account_name」重新命名。
imperva.ids.site_id additional.fields 如果 imperva.ids.site_id 不是空白,請建立新的 additional.fields 項目,並將鍵設為 site_id,值設為 imperva.ids.site_id
imperva.ids.site_name additional.fields 如果 imperva.ids.site_name 不是空白,請建立新的 additional.fields 項目,並將鍵設為 site_name,值設為 imperva.ids.site_name
imperva.referrer network.http.referral_url 已從「imperva.referrer」重新命名。
imperva.request_session_id network.session_id 已從「imperva.request_session_id」重新命名。
imperva.request_user security_result.detection_fields 如果 imperva.request_user 不是空白,請建立新的 detection_fields 項目,並將鍵設為 request_user,值設為 imperva.request_user
imperva.risk_level security_result.severity_details 已從「imperva.risk_level」重新命名。
imperva.risk_reason security_result.description 已從「imperva.risk_reason」重新命名。
imperva.significant_domain_name security_result.detection_fields 如果 imperva.significant_domain_name 不是空白,請建立新的 detection_fields 項目,並將鍵設為 significant_domain_name,值設為 imperva.significant_domain_name
imperva.violated_directives security_result.detection_fields 針對 imperva.violated_directives 中的每個項目,建立新的 detection_fields 項目,並將鍵設為 violated_directives,值設為該項目。
network.received_bytes 已從「in」重新命名。已轉換為無正負號整數。
log_timestamp metadata.event_timestamp 如果 deviceReceiptTimekv.start 皆為空白,請設為 metadata.event_timestamp
訊息 metadata.description 如果 message 不為空白,且 event.providerimperva.ids.account_nameclient.ip 皆為空白,請設為 metadata.description
postbody security_result.detection_fields 如果 postbody 不是空白,請建立新的 detection_fields 項目,並將鍵設為 post_body_info,值設為 postbody
proto network.application_protocol 已從「proto」重新命名。
protoVer network.tls.version、network.tls.cipher 如果 protoVer 不是空白,系統會剖析並擷取 tls_versiontls_cipher,然後分別重新命名為 network.tls.versionnetwork.tls.cipher
要求 target.url 已從「kv.request」重新命名。
requestClientApplication network.http.user_agent 已從「requestClientApplication」重新命名。
requestMethod network.http.method 已從「requestMethod」重新命名。已轉換為大寫。
resource_id target.resource.id 已從「resource_id」重新命名。
resource_type_key target.resource.type 已從「resource_type_key」重新命名。
rt metadata.event_timestamp 系統會剖析這項資訊,擷取 deviceReceiptTime,然後將其剖析為日期並設為 metadata.event_timestamp
security_result.action security_result.action _action 欄位的值合併。
security_result.severity security_result.severity 如果 sevserrorwarning,請設為 HIGH。如果 sevscritical,則設為 CRITICAL。如果 sevsmediumnotice,請設為 MEDIUM。如果 sevsinformationinfo,請設為 LOW
server.domain target.hostname、target.asset.hostname 已從「server.domain」重新命名。
server.geo.name target.location.name 已從「server.geo.name」重新命名。
嚴重性 security_result.threat_id 已從「severity」重新命名。
siteid security_result.detection_fields 如果 siteid 不是空白,請建立新的 detection_fields 項目,並將鍵設為 siteid,值設為 siteid
sourceServiceName target.hostname 已從「kv.sourceServiceName」重新命名。
spt principal.port 已從「kv.spt」重新命名。轉換為整數。
src principal.ip、principal.asset.ip 如果 src 不是空白,則會合併至 principal.ipprincipal.asset.ip
srcPort principal.port 已從「srcPort」重新命名。轉換為整數。
開始 security_result.detection_fields、metadata.event_timestamp 如果 start 不是空白,請建立新的 detection_fields 項目,並將鍵設為 event_start_time,值設為 start。如果 deviceReceiptTime 為空白,系統也會將其剖析為日期,並設為 metadata.event_timestamp
successful_logins_last_24h security_result.detection_fields 已轉換為字串。如果不是空白,請建立新的 detection_fields 項目,其中鍵為 successful_logins_last_24h,值為 successful_logins_last_24h
suid target.user.userid 已從「suid」重新命名。
時間 metadata.event_timestamp 已轉換為字串。剖析為日期,並設為 metadata.event_timestamp
type_key metadata.product_event_type 已從「type_key」重新命名。
網址 target.process.file.full_path 如果 url.path 不是空白或 /,請設為 target.process.file.full_path
網址 target.url 已從「url」重新命名。如果 qstr 不是空白,則會附加至 url,並以 ? 分隔符分隔。
user.email principal.user.email_addresses 如果 user.email 不為空白且符合規則運算式 ^.+@.+$,則會合併至 principal.user.email_addresses
user_agent network.http.user_agent 已從「user_agent」重新命名。
user_agent.original network.http.parsed_user_agent 如果 user_agent.original 不是空白或 *,則會轉換為 parseduseragent 並重新命名為 network.http.parsed_user_agent
user_details principal.user.email_addresses 如果 user_details 不為空白且符合規則運算式 ^.+@.+$,則會合併至 principal.user.email_addresses
user_id principal.user.userid 已從「user_id」重新命名。
ver network.tls.version、network.tls.cipher 如果 ver 不是空白,系統會剖析並擷取 tls_versiontls_cipher,然後分別重新命名為 network.tls.versionnetwork.tls.cipher
xff intermediary.ip、intermediary.asset.ip、intermediary.hostname、intermediary.asset.hostname 如果 xff 不為空白,系統會處理並擷取 IP 位址和主機名稱。IP 位址會合併至 intermediary.ipintermediary.asset.ip。主機名稱設為 intermediary.hostnameintermediary.asset.hostname

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。