Coletar registros do McAfee Web Gateway

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir os registros do McAfee Web Gateway no Google Security Operations usando um agente do Bindplane. O analisador extrai campos dos registros nos formatos SYSLOG + KV (CEF), JSON e bruto. Ele usa filtros grok e CSV para analisar diferentes estruturas de registros e normaliza nomes de campos. Em seguida, ele mapeia os campos extraídos para o esquema do modelo de dados unificado (UDM), processando vários casos extremos e inconsistências de dados para criar uma saída unificada.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou mais recente ou host Linux com systemd
Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
Acesso privilegiado ao McAfee Web Gateway

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i `https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi` /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c `$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)` install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: `0.0.0.0:514`

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: MCAFEE_WEBPROXY
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog no McAfee Web Gateway

Faça login na interface da Web do McAfee Web Gateway.
Acesse Política > Conjuntos de regras.
Clique em Processador de registros, expanda o conjunto de regras Padrão e selecione o conjunto de regras aninhado Syslog CEF.
Ative a regra Enviar para Syslog.
Clique em Salvar alterações.
Acesse Configuração > Appliances > Gerenciador de arquivos de registro > Configurações.
Selecione Gravar registro de auditoria no syslog.
Acesse Configuração > Editor de arquivos.
Selecione rsyslog.conf na árvore de arquivos.
Edite o arquivo da seguinte forma:
- Localize a linha (ou similar): *.info;mail.none;authpriv.none;cron.none /var/log/messages.
- Adicione um daemon nessa linha e insira um traço (-) antes das informações do caminho: *.info;daemon.!=info;mail.none;authpriv.none;cron.none -/var/log/messages
Adicione uma nova linha na parte de baixo do arquivo para enviar as mensagens de informação ao endereço IP do agente do Bindplane.
- Para syslog por UDP:
```
daemon.info;auth.=info @<bindplane-server-ip>:<bindplane-port>
```
- Para syslog por TCP:
```
daemon.info;auth.=info @@<bindplane-server-ip>:<bindplane-port>
```

Registros de amostra compatíveis do McAfee Web Gateway

Syslog + CEF

<30>Nov 7 07:59:54 proxy-host-01 mwg: CEF:0|McAfee|Web Gateway|7.1|200|Proxy-Default Allow|2|
    rt=Nov 07 2018 07:59:54
    cat=Access Log
    src=10.0.0.5
    dhost=api.google-dummy.com
    requestMethod=GET
    request=http://api.google-dummy.com/v1/projects/jobs?key\=MASKED_API_KEY
    app=HTTP
    cs3=HTTP/1.1
    cs3Label=Protocol/Version
    spt=57065
    cs2=Internet Services
    cs2Label=URL Category
    cs6=Minimal Risk
    cs6Label=Reputation
    fileType=application/json
    in=2122
    out=893
    requestClientApplication=Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)
    cs1=
    cs1Label=Virus Name
    cn1=0
    cn1Label=Block Reason
    suser=jdoe
    dst=192.168.20.20
    requestContext=https://console.cloud.google.com/
    cs5=
    cs5Label=Content-Disposition
    flexString2=
    fname={}#012
    oldFileName=
    destinationDnsDomain=-

JSON

{
  "syslog_facility": "user-level",
  "user_id": -1,
  "url": "https://video.social-dummy.com/",
  "username": "region\\masked_user",
  "reputation": "Minimal Risk",
  "media_type": "",
  "category": "Streaming Media, Social Networking",
  "syslog_facility_code": 1,
  "system": "windows",
  "source_ip": "10.0.0.1",
  "@timestamp": "2018-11-01T10:47:18.000Z",
  "http_action": "CONNECT",
  "user_agent_comment": "",
  "virus": "",
  "location": "",
  "host": {
    "id": "a9b50f8b-xxxx-xxxx-xxxx-b440271f31d1",
    "architecture": "x86_64",
    "os": {
      "platform": "windows",
      "kernel": "10.0.14393.3630",
      "family": "windows",
      "build": "14393.3630",
      "version": "10.0",
      "name": "Windows Server 2016 Standard"
    },
    "hostname": "PROXY_HOST_01",
    "name": "PROXY_HOST_01"
  },
  "@version": "1",
  "timestamp_epoch": 1589698038,
  "tags": [
    "send_json"
  ],
  "last_rule": "Block URLs whose category is in Category BlockList",
  "user_agent_product": "Other",
  "server_to_client_bytes": 4211,
  "block_reason": "Blocked by URL filtering",
  "uri_scheme": "https",
  "message": "\"-1\",\"region\\\\masked_user\",\"10.0.0.1\",\"CONNECT\",\"4211\",\"2224\",\"video.social-dummy.com\",\"/\",\"DENIED\",\"\",\"1589698038\",\"2020-05-17 06:47:18\",\"https\",\"Streaming Media, Social Networking\",\"\",\"\",\"Minimal Risk\",\"Block URLs whose category is in Category BlockList\",\"403\",\"192.168.1.100\",\"\",\"Blocked by URL filtering\",\"Other\",\"\",\"\",\"https://video.social-dummy.com/\"",
  "application_type": "",
  "result": "DENIED",
  "requested_path": "/",
  "syslog_severity_code": 5,
  "user_agent_version": "",
  "input": {
    "type": "log"
  },
  "client_to_server_bytes": 2224,
  "ecs": {
    "version": "1.4.0"
  },
  "client_ip": "192.168.1.100",
  "syslog_severity": "notice",
  "requested_host": "video.social-dummy.com",
  "agent": {
    "id": "64f73b95-xxxx-xxxx-xxxx-4293d255db15",
    "version": "7.6.2",
    "type": "filebeat",
    "hostname": "PROXY_HOST_01",
    "ephemeral_id": "6f2c729c-xxxx-xxxx-xxxx-d6c97930c632"
  },
  "log": {
    "file": {
      "path": "E:\\FullURL-PostProcessLogs\\Appended\\websaas12_1589697967.csv"
    },
    "offset": 774757
  },
  "http_status_code": 403
}

Syslog + chave-valor (delimitado por barra vertical)

<30>Apr 14 03:49:56 PROXY01IM0001 mwg: McAfeeWG|
  time_stamp=[01/Nov/2018:03:49:56 +0530]|
  auth_user=|
  src_ip=10.10.10.10|
  server_ip=192.168.1.100|
  host=detectportal.firefox.com|
  url_port=80|
  status_code=302|
  bytes_from_client=297|
  bytes_to_client=4134|
  categories=|
  rep_level=|
  method=GET|
  url=http://detectportal.firefox.com/success.txt|
  media_type=|
  application_name=|
  user_agent=Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:74.0) Gecko/20100101 Firefox/74.0|
  block_res=81|
  block_reason=Authentication Required|
  virus_name=|
  hash=|
  filename=success.txt|
  filesize=0|

CSV

"-1",
"domain\masked_user",
"192.168.100.50",
"GET",
"3004",
"80",
"s0.ads-dummy.net",
"/path/to/image.png",
"OBSERVED",
"",
"1671176143",
"2018-11-16 07:35:43",
"https",
"Web Ads",
"image/png",
"",
"Minimal Risk",
"Connection allowed",
"200",
"10.0.0.5",
"",
"",
"Chrome",
"108.0.0.0",
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36",
"chrome.exe",
"142.250.0.1",
"443"

Registro de acesso (delimitado por espaço / padrão)

<30>Jan 1 18:16:31 mdp-proxy-010 mwg:
2019-01-01 18:16:31 200 10.0.0.15
NoAuthProd AllowListProd "-" "-" Prod_NoAVScan -
CONNECT https "us2-loadbalancer.acme.com" 443 10.100.2.3
"Business" "Minimal Risk" 0 GTI_CLOUD
"US" "-" "-" "-" "-"
TCP_MISS 241476 6297 1170 6297 1170
1.2.3.4 -0400
0 "-" "Eternaty" "-" - "-" 50931 33229 _EOL_

CEF encapsulado em CSV

2026-01-14T11:20:37.000000Z,
NETWORK_HTTP,
"<30>Jan 14 13:20:37 MWG03 mwg: CEF:0|McAfee|Web Gateway|12.2.7|200|Proxy-Block If Virus was Found|2|
  rt=Jan 14 2026 13:20:37
  cat=Access Log
  dst=2.2.2.2
  dhost=vstmr.dummy-host.com
  suser=masked_user
  src=1.1.1.1
  requestMethod=GET
  request=https://vstmr.dummy-host.com/_signalr/connect?token=MASKED_TOKEN
  app=HTTPS
  cs3=HTTP/1.1
  cs3Label=Protocol/Version
  cs4=Business, Software/Hardware
  cs4Label=URL Categories
  cs6=Minimal Risk
  cs6Label=Reputation
  fileType=text/event-stream
  out=19578
  requestClientApplication=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36
  cs1=
  cs1Label=Virus Name
  cn1=0
  cn1Label=Block Reason
  cs5=Default
  cs5Label=Policy"

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`application_name`	`principal.application`	Mapeado diretamente do campo `application_name` no formato KV ou `user_agent_product` no formato JSON.
`auth_user`	`principal.user.userid`	Mapeado diretamente do campo `auth_user` no formato chave-valor.
`block_reason`	`security_result.summary`	Mapeado diretamente do campo `block_reason` nos formatos JSON e CSV JSON, `_block_reason` no formato bruto ou `block_reason` no formato KV.
`block_res`	`security_result.action`	Mapeado do campo `block_res` no formato KV. Se `block_res` for `DENIED` ou contiver `Block`, a ação será `BLOCK`. Se `block_res` for `0` ou contiver `Allow`, a ação será `ALLOW`. Valores especiais como `50`, `51`, `52`, `53`, `58`, `59`, `81`, `80`, `82`, `83`, `84`, `110`, `111` são usados para determinar `security_result.category`.
`bytes_from_client`	`network.sent_bytes`	Mapeado diretamente do campo `bytes_from_client` no formato KV, `sr_bytes` no formato bruto ou `client_to_server_bytes` nos formatos JSON e JSON CSV.
`bytes_to_client`	`network.received_bytes`	Mapeado diretamente do campo `bytes_to_client` no formato KV, `rs_bytes` no formato bruto ou `server_to_client_bytes` nos formatos JSON e JSON CSV.
`categories`	`security_result.category_details`	Mapeado diretamente do campo `categories` no formato KV, `_category` no formato bruto ou `category` nos formatos JSON e JSON CSV.
`client_ip`	`principal.ip`, `intermediary.ip`	Mapeado diretamente do campo `client_ip` no formato JSON.
`clientIP`	`principal.ip`	Mapeado diretamente do campo `clientIP` no formato CEF.
`csmethod`	`network.http.method`	Mapeado diretamente do campo `csmethod` no formato bruto.
`day`	`metadata.event_timestamp`	Parte do carimbo de data/hora, extraída do campo `time_stamp` no formato KV.
`destination_ip`	`target.ip`	Mapeado diretamente do campo `destination_ip` no formato JSON.
`destination_port`	`target.port`	Mapeado diretamente do campo `destination_port` no formato JSON.
`domain`	`target.hostname`, `target.url`	Mapeado diretamente do campo `domain` no formato bruto. Usado para criar o `target.url` se `uri` estiver presente.
`header`	`intermediary.hostname`	Extraído do início da mensagem de registro. Usado para extrair `intermediary.hostname`.
`host`	`target.hostname`	Mapeado diretamente do campo `host` no formato chave-valor.
`hostname`	`principal.hostname`	Mapeado diretamente do campo `hostname` no formato JSON.
`hour`	`metadata.event_timestamp`	Parte do carimbo de data/hora, extraída do campo `time_stamp` no formato KV.
`http_action`	`network.http.method`	Mapeado diretamente do campo `http_action` no formato JSON.
`http_status_code`	`network.http.response_code`	Mapeado diretamente do campo `http_status_code` nos formatos JSON e CSV JSON ou `status_code` nos formatos bruto e KV.
`kv_entry.application_name`	`principal.application`	Mapeado diretamente do campo `application_name` na entrada de chave-valor.
`kv_entry.auth_user`	`principal.user.userid`	Mapeado diretamente do campo `auth_user` na entrada de chave-valor.
`kv_entry.block_reason`	`security_result.summary`	Mapeado diretamente do campo `block_reason` na entrada de chave-valor.
`kv_entry.block_res`	`security_result.action`, `security_result.category`	Mapeado do campo `block_res` na entrada de KV. A lógica para determinar a ação e a categoria é a mesma do campo `block_res` de nível superior.
`kv_entry.bytes_from_client`	`network.sent_bytes`	Mapeado diretamente do campo `bytes_from_client` na entrada de chave-valor.
`kv_entry.bytes_to_client`	`network.received_bytes`	Mapeado diretamente do campo `bytes_to_client` na entrada de chave-valor.
`kv_entry.categories`	`security_result.category_details`	Mapeado diretamente do campo `categories` na entrada de chave-valor.
`kv_entry.host`	`target.hostname`	Mapeado diretamente do campo `host` na entrada de chave-valor.
`kv_entry.method`	`network.http.method`	Mapeado diretamente do campo `method` na entrada de chave-valor.
`kv_entry.rep_level`	`security_result.severity_details`	Mapeado diretamente do campo `rep_level` na entrada de chave-valor.
`kv_entry.server_ip`	`target.ip`	Mapeado diretamente do campo `server_ip` na entrada de chave-valor.
`kv_entry.status_code`	`network.http.response_code`	Mapeado diretamente do campo `status_code` na entrada de chave-valor.
`kv_entry.time_stamp`	`metadata.event_timestamp`	Mapeado diretamente do campo `time_stamp` na entrada de chave-valor.
`kv_entry.url`	`target.url`	Mapeado diretamente do campo `url` na entrada de chave-valor.
`kv_entry.url_port`	`target.port`	Mapeado diretamente do campo `url_port` na entrada de chave-valor.
`kv_entry.user_agent`	`network.http.parsed_user_agent`	Mapeado diretamente do campo `user_agent` na entrada de KV e analisado em um objeto estruturado.
`last_rule`	`security_result.rule_name`	Mapeado diretamente do campo `last_rule` no formato JSON.
`loc`	`principal.location.country_or_region`	Mapeado diretamente do campo `loc` extraído de `tgt_ip_or_location`.
`location`	`principal.location.country_or_region`	Mapeado diretamente do campo `location` no formato JSON.
`log.file.path`	`principal.process.file.full_path`	Mapeado diretamente do campo `log.file.path` no formato JSON.
`message`	Vários	A mensagem de registro bruta. Analisados de maneira diferente dependendo do formato (bruto, JSON, KV, CEF).
`method`	`network.http.method`	Mapeado diretamente do campo `method` nos formatos KV e bruto, ou `http_action` no formato JSON, ou derivado de dados CEF. Se o valor for `GET`, `POST`, `HEAD`, `OPTIONS`, `PUT` ou `CONNECT`, o `metadata.event_type` será definido como `NETWORK_HTTP`. Se o valor for `-` ou `CERTVERIFY`, o `metadata.event_type` será definido como `NETWORK_CONNECTION`.
`mins`	`metadata.event_timestamp`	Parte do carimbo de data/hora, extraída do campo `time_stamp` no formato KV.
`month`	`metadata.event_timestamp`	Parte do carimbo de data/hora, extraída do campo `time_stamp` no formato KV ou do campo `rt` no formato CEF.
`monthday`	`metadata.event_timestamp`	Parte do carimbo de data/hora, extraída do início da mensagem de registro.
`protocol`	`network.application_protocol`	Mapeado diretamente do campo `protocol` no formato bruto ou `uri_scheme` no formato JSON ou derivado do campo `url` no formato KV.
`query`	`target.url`	Mapeado diretamente do campo `query` no formato bruto. Adicionado ao campo `url`.
`rep_level`	`security_result.severity_details`	Mapeado diretamente do campo `rep_level` no formato KV, `reputation` no formato JSON ou `_risk` no formato bruto. Usado para determinar `security_result.severity`.
`request`	`target.url`	Mapeado diretamente do campo `request` no formato CEF.
`requestClientApplication`	`network.http.user_agent`	Mapeado diretamente do campo `requestClientApplication` no formato CEF.
`requestContext`	`network.http.referral_url`	Mapeado diretamente do campo `requestContext` no formato CEF.
`requestMethod`	`network.http.method`	Mapeado diretamente do campo `requestMethod` no formato CEF.
`requested_host`	`target.url`	Mapeado diretamente do campo `requested_host` no formato JSON. Usado para criar o `target.url` se `requested_path` também estiver presente.
`requested_path`	`target.url`	Mapeado diretamente do campo `requested_path` no formato JSON. Anexado a `requested_host` para formar o `target.url`.
`request_timestamp`	`metadata.event_timestamp`	Mapeado diretamente do campo `request_timestamp` no formato JSON.
`result`	`security_result.action`, `security_result.category`	Mapeado diretamente do campo `result` nos formatos JSON e CSV JSON ou `block_res` no formato KV. Usado para determinar `security_result.action` e `security_result.category`.
`rt`	`metadata.event_timestamp`	Mapeado diretamente do campo `rt` no formato CEF.
`secs`	`metadata.event_timestamp`	Parte do carimbo de data/hora, extraída do campo `time_stamp` no formato KV.
`server_ip`	`target.ip`	Mapeado diretamente do campo `server_ip` no formato chave-valor.
`source_ip`	`principal.ip`	Mapeado diretamente do campo `source_ip` nos formatos JSON, CSV JSON, bruto e KV ou `src` no formato CEF ou `src_ip` no formato bruto.
`src`	`principal.ip`	Mapeado diretamente do campo `src` no formato CEF.
`status_code`	`network.http.response_code`	Mapeado diretamente do campo `status_code` no formato bruto.
`summary`	`security_result.summary`	Mapeado diretamente do campo `summary` no formato CSV ou `block_reason` no formato JSON.
`system`	`principal.platform`	Mapeado diretamente do campo `system` no formato JSON. Convertido para maiúsculas.
`target_ip`	`target.ip`	Mapeado diretamente do campo `target_ip` no formato bruto ou `dst` no formato CEF.
`tgtport`	`target.port`	Mapeado diretamente do campo `tgtport` no formato bruto.
`time`	`metadata.event_timestamp`	Parte do carimbo de data/hora, extraída do início da mensagem de registro, do campo `rt` no formato CEF ou do campo `time_stamp` no formato KV.
`timestamp`	`metadata.event_timestamp`	Mapeado diretamente do campo `@timestamp` no formato JSON.
`timezone`	`metadata.event_timestamp`	Parte do carimbo de data/hora, extraída do campo `time_stamp` no formato KV.
`uri`	`target.url`	Mapeado diretamente do campo `uri` no formato bruto. Usado para construir o `target.url`.
`uri_scheme`	`network.application_protocol`	Mapeado diretamente do campo `uri_scheme` no formato JSON. Convertido para maiúsculas.
`url`	`target.url`	Mapeado diretamente do campo `url` nos formatos bruto, KV e JSON ou construído com base em `domain`, `uri` e `query` no formato bruto, `requested_host` e `requested_path` no formato JSON ou `request` no formato CEF.
`url_port`	`target.port`	Mapeado diretamente do campo `url_port` no formato chave-valor.
`user`	`principal.user.userid`	Mapeado diretamente do campo `user` no formato JSON, `username` no formato JSON, `auth_user` no formato KV ou `suser` no formato bruto.
`user_agent`	`network.http.parsed_user_agent`	Mapeado diretamente do campo `user_agent` nos formatos bruto e KV, ou `user_agent_comment` no formato JSON, ou `requestClientApplication` no formato CEF, ou construído com base em `agent.type` e `agent.version` no formato JSON. Analisado em um objeto estruturado.
`user_agent_comment`	`network.http.parsed_user_agent`	Mapeado diretamente do campo `user_agent_comment` no formato JSON.
`user_agent_product`	`principal.application`	Mapeado diretamente do campo `user_agent_product` no formato JSON.
`username`	`principal.user.userid`	Mapeado diretamente do campo `username` no formato JSON.
`year`	`metadata.event_timestamp`	Parte do carimbo de data/hora, extraída do campo `time_stamp` no formato KV ou do campo `rt` no formato CEF.
N/A	`metadata.event_type`	Determinado pelo analisador com base no campo `method`. Pode ser `NETWORK_HTTP`, `NETWORK_CONNECTION`, `GENERIC_EVENT` ou `STATUS_UPDATE`.
N/A	`metadata.log_type`	Fixado no código como `MCAFEE_WEBPROXY`.
N/A	`metadata.product_name`	Fixado no código como `MCAFEE_WEBPROXY`.
N/A	`metadata.vendor_name`	Fixado no código como `MCAFEE`.
N/A	`network.direction`	Fixado no código como `OUTBOUND`.
N/A	`security_result.action`	Determinado pelo analisador com base nos campos `block_reason` ou `result`. Pode ser `ALLOW` ou `BLOCK`.
N/A	`security_result.category`	Determinado pelo analisador com base no campo `result`. Pode ser `NETWORK_CATEGORIZED_CONTENT`, `NETWORK_DENIAL_OF_SERVICE`, `MAIL_SPAM`, `AUTH_VIOLATION`, `SOFTWARE_MALICIOUS`, `NETWORK_SUSPICIOUS` ou `NETWORK_MALICIOUS`.
N/A	`security_result.severity`	Determinado pelo analisador com base no campo `risk`. Pode ser `LOW`, `MEDIUM` ou `HIGH`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.