Proofpoint Web Browser Isolation-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Proofpoint Web Browser Isolation-Logs mit Google Cloud Storage V2 in Google Security Operations aufnehmen.

Proofpoint Web Browser Isolation ist ein Dienst zur Remote-Browserisolierung, der Nutzer vor webbasierten Bedrohungen schützt, indem Webinhalte in einer sicheren Cloud-Umgebung gerendert werden. So wird verhindert, dass bösartiger Code den Endpunkt erreicht. Es stellt Protokolle der Browseraktivitäten über die Proofpoint TAP SIEM API bereit. Der Parser extrahiert Felder aus Isolierungsereignisdaten und ordnet sie dem Unified Data Model (UDM) zu. Dabei werden URL-Klassifizierungen, Nutzeraktionen, Sicherheitsentscheidungen und Metadaten der Browsersitzung erfasst.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Ein GCP-Projekt mit aktivierter Cloud Storage API
• Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
• Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
• Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
• Privilegierter Zugriff auf Proofpoint mit TAP SIEM API-Anmeldedaten (Service-Prinzipal und API-Secret)

Google Cloud Storage-Bucket erstellen

1. Gehen Sie zur Google Cloud Console.
2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
4. Klicken Sie auf Bucket erstellen.

5. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. proofpoint-wbi-logs.
   Standorttyp	Wählen Sie die Option aus, die am besten zu Ihren Anforderungen passt (Region, Dual-Region, Multi-Region).
   Standort	Wählen Sie den Speicherort aus, z. B. us-central1.
   Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
   Zugriffskontrolle	Einheitlich (empfohlen)
   Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

6. Klicken Sie auf Erstellen.

Proofpoint TAP SIEM API-Anmeldedaten erfassen

API-Anmeldedaten abrufen

1. Melden Sie sich im Proofpoint TAP-Dashboard an.
2. Gehen Sie zu Einstellungen > Verbundene Anwendungen.
3. Klicken Sie auf Neue Anmeldedaten erstellen (oder verwenden Sie vorhandene SIEM API-Anmeldedaten).

4. Kopieren Sie die folgenden Anmeldedaten und bewahren Sie sie an einem sicheren Ort auf:

   • Service Principal (Dienstprinzipal): Kopieren Sie diesen Wert.
   • API-Secret: Kopieren Sie diesen Wert.

Berechtigungen prüfen

So prüfen Sie, ob die API-Anmeldedaten die erforderlichen Berechtigungen haben:

1. Melden Sie sich im Proofpoint TAP-Dashboard an.
2. Gehen Sie zu Einstellungen > Verbundene Anwendungen.
3. Prüfen Sie, ob der Berechtigungsnachweis aufgeführt ist und den Status Aktiv hat.
4. Prüfen Sie, ob für die Anmeldedaten der SIEM-API-Zugriff aktiviert ist.

API-Zugriff testen

• Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

  # Replace with your actual credentials
  SERVICE_PRINCIPAL="<your-service-principal>"
  API_SECRET="<your-api-secret>"
  
  # Test TAP SIEM API access - fetch events from last hour
  curl -v -u "${SERVICE_PRINCIPAL}:${API_SECRET}" \
    "https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=3600"
  

Dienstkonto für die Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
2. Klicken Sie auf Dienstkonto erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Name des Dienstkontos: Geben Sie proofpoint-wbi-collector-sa ein.
   • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Proofpoint Web Browser Isolation logs ein.
4. Klicken Sie auf Erstellen und fortfahren.
5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
   1. Klicken Sie auf Rolle auswählen.
   2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
   3. Klicken Sie auf + Weitere Rolle hinzufügen.
   4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
   5. Klicken Sie auf + Weitere Rolle hinzufügen.
   6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
6. Klicken Sie auf Weiter.
7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

• Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
• Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
• Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets, z. B. proofpoint-wbi-logs.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Prinzipale hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. proofpoint-wbi-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
2. Klicken Sie auf Thema erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Themen-ID: Geben Sie proofpoint-wbi-trigger ein.
   • Andere Einstellungen als Standardeinstellungen beibehalten
4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Browser-Isolation-Ereignisse aus der Proofpoint TAP SIEM API abzurufen und in GCS zu schreiben.

1. Rufen Sie in der GCP Console Cloud Run auf.
2. Klicken Sie auf Dienst erstellen.
3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Dienstname	proofpoint-wbi-collector
   Region	Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
   Laufzeit	Wählen Sie Python 3.12 oder höher aus.

5. Im Abschnitt Trigger (optional):

   1. Klicken Sie auf + Trigger hinzufügen.
   2. Wählen Sie Cloud Pub/Sub aus.
   3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Pub/Sub-Thema (proofpoint-wbi-trigger) aus.
   4. Klicken Sie auf Speichern.

6. Im Abschnitt Authentifizierung:

   1. Wählen Sie Authentifizierung erforderlich aus.
   2. Identitäts- und Zugriffsverwaltung

7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

8. Rufen Sie den Tab Sicherheit auf:

   • Dienstkonto: Wählen Sie das Dienstkonto aus (proofpoint-wbi-collector-sa).

9. Rufen Sie den Tab Container auf:

   1. Klicken Sie auf Variablen und Secrets.
   2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

   Variablenname	Beispielwert	Beschreibung
   GCS_BUCKET	proofpoint-wbi-logs	Name des GCS-Buckets
   GCS_PREFIX	wbi-logs	Präfix für Protokolldateien
   STATE_KEY	wbi-logs/state.json	Statusdateipfad
   SERVICE_PRINCIPAL	your-service-principal	Proofpoint TAP-Dienstprinzipal
   API_SECRET	your-api-secret	Proofpoint TAP-API-Secret
   LOOKBACK_SECONDS	3600	Rückschauzeitraum in Sekunden (Standard: 1 Stunde)

10. Scrollen Sie im Bereich Variablen und Secrets nach unten zu Anfragen:

    • Zeitüberschreitung bei Anfrage: Geben Sie 600 Sekunden (10 Minuten) ein.

11. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

13. Klicken Sie auf Erstellen.

14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

1. Geben Sie main in das Feld Einstiegspunkt ein.

2. Erstellen Sie im Inline-Code-Editor zwei Dateien:

   • Erste Datei:main.py:

     import functions_framework
     from google.cloud import storage
     import json
     import os
     import urllib3
     from datetime import datetime, timezone, timedelta
     import time
     import base64
     
     # Initialize HTTP client with timeouts
     http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=5.0, read=60.0),
       retries=False,
     )
     
     # Initialize Storage client
     storage_client = storage.Client()
     
     # Environment variables
     GCS_BUCKET = os.environ.get('GCS_BUCKET')
     GCS_PREFIX = os.environ.get('GCS_PREFIX', 'wbi-logs')
     STATE_KEY = os.environ.get('STATE_KEY', 'wbi-logs/state.json')
     SERVICE_PRINCIPAL = os.environ.get('SERVICE_PRINCIPAL')
     API_SECRET = os.environ.get('API_SECRET')
     LOOKBACK_SECONDS = int(os.environ.get('LOOKBACK_SECONDS', '3600'))
     
     TAP_API_BASE = "https://tap-api-v2.proofpoint.com/v2/siem"
     
     def parse_datetime(value: str) -> datetime:
       """Parse ISO datetime string to datetime object."""
       if value.endswith("Z"):
         value = value[:-1] + "+00:00"
       return datetime.fromisoformat(value)
     
     @functions_framework.cloud_event
     def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch Proofpoint
       Web Browser Isolation events via TAP SIEM API and write to GCS.
     
       Args:
         cloud_event: CloudEvent object containing Pub/Sub message
       """
     
       if not all([GCS_BUCKET, SERVICE_PRINCIPAL, API_SECRET]):
         print('Error: Missing required environment variables')
         return
     
       try:
         # Get GCS bucket
         bucket = storage_client.bucket(GCS_BUCKET)
     
         # Load state
         state = load_state(bucket, STATE_KEY)
     
         now = datetime.now(timezone.utc)
     
         # Determine since_seconds from state
         since_seconds = LOOKBACK_SECONDS
         if isinstance(state, dict) and state.get("last_event_time"):
           try:
             last_time = parse_datetime(state["last_event_time"])
             elapsed = (now - last_time).total_seconds()
             # Add 120 seconds overlap to catch delayed events
             since_seconds = int(elapsed) + 120
             # TAP API maximum is 1 hour (3600 seconds)
             since_seconds = min(since_seconds, 3600)
           except Exception as e:
             print(f"Warning: Could not parse last_event_time: {e}")
     
         print(f"Fetching events from last {since_seconds} seconds")
     
         # Build auth header (Basic auth)
         auth_string = f"{SERVICE_PRINCIPAL}:{API_SECRET}"
         auth_bytes = auth_string.encode('utf-8')
         auth_b64 = base64.b64encode(auth_bytes).decode('utf-8')
     
         # Fetch all SIEM events
         records = fetch_siem_events(
           auth_b64=auth_b64,
           since_seconds=since_seconds,
         )
     
         if not records:
           print("No new events found.")
           save_state(bucket, STATE_KEY, now.isoformat())
           return
     
         # Write to GCS as NDJSON
         timestamp = now.strftime('%Y%m%d_%H%M%S')
         object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
         blob = bucket.blob(object_key)
     
         ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
         blob.upload_from_string(ndjson, content_type='application/x-ndjson')
     
         print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")
     
         # Update state
         save_state(bucket, STATE_KEY, now.isoformat())
     
         print(f"Successfully processed {len(records)} records")
     
       except Exception as e:
         print(f'Error processing logs: {str(e)}')
         raise
     
     def load_state(bucket, key):
       """Load state from GCS."""
       try:
         blob = bucket.blob(key)
         if blob.exists():
           state_data = blob.download_as_text()
           return json.loads(state_data)
       except Exception as e:
         print(f"Warning: Could not load state: {e}")
     
       return {}
     
     def save_state(bucket, key, last_event_time_iso: str):
       """Save the last event timestamp to GCS state file."""
       try:
         state = {'last_event_time': last_event_time_iso}
         blob = bucket.blob(key)
         blob.upload_from_string(
           json.dumps(state, indent=2),
           content_type='application/json'
         )
         print(f"Saved state: last_event_time={last_event_time_iso}")
       except Exception as e:
         print(f"Warning: Could not save state: {e}")
     
     def fetch_siem_events(auth_b64: str, since_seconds: int):
       """
       Fetch events from the Proofpoint TAP SIEM API.
     
       The TAP SIEM API returns all event types (clicks, messages, isolation)
       in a single response. The sinceSeconds parameter controls the lookback window
       (maximum 3600 seconds / 1 hour).
     
       Args:
         auth_b64: Base64-encoded Service Principal:API Secret for Basic auth
         since_seconds: Fetch events from the last N seconds (max 3600)
     
       Returns:
         List of event records
       """
       headers = {
         'Authorization': f'Basic {auth_b64}',
         'Accept': 'application/json',
         'User-Agent': 'GoogleSecOps-ProofpointWBICollector/1.0',
       }
     
       url = f"{TAP_API_BASE}/all?format=json&sinceSeconds={since_seconds}"
       backoff = 1.0
       max_retries = 3
     
       for attempt in range(max_retries):
         try:
           response = http.request('GET', url, headers=headers)
     
           # Handle rate limiting with exponential backoff
           if response.status == 429:
             retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
             print(f"Rate limited (429). Retrying after {retry_after}s...")
             time.sleep(retry_after)
             backoff = min(backoff * 2, 30.0)
             continue
     
           if response.status != 200:
             print(f"HTTP Error: {response.status}")
             response_text = response.data.decode('utf-8')
             print(f"Response body: {response_text}")
             return []
     
           data = json.loads(response.data.decode('utf-8'))
     
           # TAP SIEM API returns events grouped by type
           all_events = []
     
           # Collect all event types
           for key in ['clicksPermitted', 'clicksBlocked', 'messagesDelivered', 'messagesBlocked']:
             events = data.get(key, [])
             if events:
               for event in events:
                 event['_tap_event_type'] = key
               all_events.extend(events)
               print(f"Retrieved {len(events)} {key} events")
     
           print(f"Total events retrieved: {len(all_events)}")
           return all_events
     
         except Exception as e:
           print(f"Error fetching SIEM events (attempt {attempt + 1}): {e}")
           if attempt < max_retries - 1:
             time.sleep(backoff)
             backoff = min(backoff * 2, 30.0)
     
       return []
     

   • Zweite Datei – requirements.txt::

     functions-framework==3.*
     google-cloud-storage==2.*
     urllib3>=2.0.0
     

3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2 bis 3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

1. Rufen Sie in der GCP Console Cloud Scheduler auf.
2. Klicken Sie auf Job erstellen.

3. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Name	proofpoint-wbi-collector-hourly
   Region	Dieselbe Region wie die Cloud Run-Funktion auswählen
   Frequenz	0 * * * * (jede Stunde, zur vollen Stunde)
   Zeitzone	Zeitzone auswählen (UTC empfohlen)
   Zieltyp	Pub/Sub
   Thema	Wählen Sie das Pub/Sub-Thema aus (proofpoint-wbi-trigger).
   Inhalt der Nachricht	{} (leeres JSON-Objekt)

4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

Häufigkeit	Cron-Ausdruck	Anwendungsfall
Alle 5 Minuten	*/5 * * * *	Hohes Volumen, niedrige Latenz
Alle 15 Minuten	*/15 * * * *	Mittleres Suchvolumen
Stündlich	0 * * * *	Standard (empfohlen)

Integration testen

1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
3. Warten Sie einige Sekunden.
4. Rufen Sie Cloud Run > Dienste auf.
5. Klicken Sie auf den Namen Ihrer Funktion (proofpoint-wbi-collector).
6. Klicken Sie auf den Tab Logs.

7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Darauf sollten Sie achten:

   Fetching events from last 3600 seconds
   Retrieved X clicksPermitted events
   Retrieved X messagesDelivered events
   Total events retrieved: X
   Wrote X records to gs://proofpoint-wbi-logs/wbi-logs/logs_YYYYMMDD_HHMMSS.ndjson
   Successfully processed X records
   

8. Rufen Sie Cloud Storage > Buckets auf.

9. Klicken Sie auf den Namen Ihres Buckets (proofpoint-wbi-logs).

10. Rufen Sie den Präfixordner (wbi-logs/) auf.

11. Prüfen Sie, ob eine neue .ndjson-Datei mit dem aktuellen Zeitstempel erstellt wurde.

Wenn Sie Fehler in den Logs sehen:

• HTTP 401: Dienstprinzipal und API-Secret in Umgebungsvariablen prüfen
• HTTP 403: Prüfen Sie, ob die Anmeldedaten SIEM API-Zugriff haben und ob Browser-Isolation-Ereignisse in Ihrem Abo enthalten sind.
• HTTP 429: Ratenbegrenzung – die Funktion wird automatisch mit Backoff wiederholt.
• Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf Einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Proofpoint Web Browser Isolation Logs.
5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
6. Wählen Sie Proofpoint Web Browser Isolation als Log type (Protokolltyp) aus.
7. Klicken Sie auf Dienstkonto abrufen.

8. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

9. Kopieren Sie diese E-Mail-Adresse für den nächsten Schritt.

10. Klicken Sie auf Weiter.

11. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://proofpoint-wbi-logs/wbi-logs/
      

      • Ersetzen Sie:
        • proofpoint-wbi-logs: Der Name Ihres GCS-Buckets.
        • wbi-logs: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden (für den Stamm leer lassen).

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus:

      • Nie: Es werden niemals Dateien nach Übertragungen gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Löscht Dateien nach der erfolgreichen Übertragung.

      • Übertragene Dateien und leere Verzeichnisse löschen: Dateien und leere Verzeichnisse werden nach der erfolgreichen Übertragung gelöscht.

    • Höchstalter für Dateien: Dateien einschließen, die in den letzten Tagen geändert wurden (Standard: 180 Tage)

    • Asset-Namespace: Der Asset-Namespace

    • Labels für Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll

12. Klicken Sie auf Weiter.

13. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets, z. B. proofpoint-wbi-logs.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

6. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
	metadata.event_type	Art des Ereignisses
Kategorien	metadata.product_event_type	Produktspezifischer Ereignistyp
parentPageURL	metadata.url_back_to_product	URL, die auf das Produkt verweist
Region	principal.location.country_or_region	Land oder Region des Standorts des Auftraggebers
Zone	principal.location.name	Name des Standorts des Auftraggebers
userId	principal.user.product_object_id	Produktspezifische Kennung für den Nutzer
userName	principal.user.userid	Nutzer-ID
security_result	security_result	Details zum Sicherheitsergebnis
disposition	security_result.action	Ergriffene Sicherheitsmaßnahme
disposition	security_result.action_details	Details zur Sicherheitsaktion
Klassifizierung	security_result.detection_fields	Felder im Zusammenhang mit der Erkennung
URL	target.url	URL der Zielressource
	metadata.product_name	Produktname
	metadata.vendor_name	Anbietername

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten