SpyCloud-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie SpyCloud-Logs mit Google Cloud Storage V2 in Google Security Operations aufnehmen.

SpyCloud ist eine Plattform zur Verhinderung von Kontoübernahmen, die Informationen zu Sicherheitsverletzungen und gestohlenen Anmeldedaten bietet. Sie stellt Datensätze zu Sicherheitsverletzungen, Beobachtungslisten-Benachrichtigungen und Berichte zu kompromittierten Anmeldedaten über eine REST API bereit.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Ein GCP-Projekt mit aktivierter Cloud Storage API
• Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
• Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
• Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
• Ein SpyCloud-Konto mit API-Zugriff und einem gültigen API-Schlüssel

Google Cloud Storage-Bucket erstellen

1. Gehen Sie zur Google Cloud Console.
2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
4. Klicken Sie auf Bucket erstellen.

5. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. spycloud-logs.
   Standorttyp	Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
   Standort	Wählen Sie den Speicherort aus, z. B. us-central1.
   Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
   Zugriffskontrolle	Einheitlich (empfohlen)
   Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

6. Klicken Sie auf Erstellen.

SpyCloud-API-Anmeldedaten erfassen

API-Schlüssel abrufen

1. Melden Sie sich als Administrator im SpyCloud-Portal an.
2. Rufen Sie die Einstellungen > API auf.
3. Kopieren und speichern Sie den API-Schlüssel an einem sicheren Ort.

Berechtigungen prüfen

So prüfen Sie, ob Ihr API-Schlüssel den erforderlichen Zugriff hat:

1. Melden Sie sich im SpyCloud-Portal an.
2. Rufen Sie die Einstellungen > API auf.
3. Prüfen Sie, ob der API-Schlüssel aktiv ist und Zugriff auf die erforderlichen Endpunkte (Breach Data, Watchlist, Compass) hat.
4. Wenn der Zugriff eingeschränkt ist, wenden Sie sich an Ihren SpyCloud-Administrator.

API-Zugriff testen

• Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

  # Replace with your actual API key
  API_KEY="your-api-key"
  
  # Test API access - fetch watchlist data
  curl -v -H "X-API-Key: ${API_KEY}" \
    "https://api.spycloud.io/enterprise-v2/breach/data/watchlist?since=2024-01-01&until=2024-01-02"
  

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
2. Klicken Sie auf Dienstkonto erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Name des Dienstkontos: Geben Sie spycloud-collector-sa ein.
   • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect SpyCloud logs ein.
4. Klicken Sie auf Erstellen und fortfahren.
5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
   1. Klicken Sie auf Rolle auswählen.
   2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
   3. Klicken Sie auf + Weitere Rolle hinzufügen.
   4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
   5. Klicken Sie auf + Weitere Rolle hinzufügen.
   6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
6. Klicken Sie auf Weiter.
7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

• Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
• Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
• Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets, z. B. spycloud-logs.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Prinzipale hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. spycloud-collector-sa@your-project.iam.gserviceaccount.com).
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
2. Klicken Sie auf Thema erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Themen-ID: Geben Sie spycloud-trigger ein.
   • Übernehmen Sie die anderen Einstellungen.
4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der SpyCloud API abzurufen und in GCS zu schreiben.

1. Rufen Sie in der GCP Console Cloud Run auf.
2. Klicken Sie auf Dienst erstellen.
3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Dienstname	spycloud-collector
   Region	Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
   Laufzeit	Wählen Sie Python 3.12 oder höher aus.

5. Im Abschnitt Trigger (optional):

   1. Klicken Sie auf + Trigger hinzufügen.
   2. Wählen Sie Cloud Pub/Sub aus.
   3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Thema spycloud-trigger aus.
   4. Klicken Sie auf Speichern.

6. Im Abschnitt Authentifizierung:

   1. Wählen Sie Authentifizierung erforderlich aus.
   2. Identitäts- und Zugriffsverwaltung

7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

8. Rufen Sie den Tab Sicherheit auf:

   • Dienstkonto: Wählen Sie das Dienstkonto spycloud-collector-sa aus.

9. Rufen Sie den Tab Container auf:

   1. Klicken Sie auf Variablen und Secrets.
   2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

   Variablenname	Beispielwert	Beschreibung
   GCS_BUCKET	spycloud-logs	Name des GCS-Buckets
   GCS_PREFIX	spycloud	Präfix für Protokolldateien
   STATE_KEY	spycloud/state.json	Statusdateipfad
   API_KEY	your-api-key	SpyCloud-API-Schlüssel
   API_BASE	https://api.spycloud.io	API-Basis-URL
   MAX_RECORDS	10000	Maximale Anzahl von Datensätzen pro Ausführung
   LOOKBACK_DAYS	7	Anfänglicher Rückschauzeitraum in Tagen
   STREAMS	watchlist,catalog	Kommagetrennte Datenstreams

10. Scrollen Sie auf dem Tab Variablen und Secrets nach unten zu Anfragen:

    • Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.

11. Rufen Sie den Tab Einstellungen unter Container auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

13. Klicken Sie auf Erstellen.

14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

1. Geben Sie main in Funktionseinstiegspunkt ein.

2. Erstellen Sie im Inline-Code-Editor zwei Dateien:

   • Erste Datei: main.py::

     import functions_framework
     from google.cloud import storage
     import json
     import os
     import urllib3
     from datetime import datetime, timezone, timedelta
     import time
     
     # Initialize HTTP client with timeouts
     http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=5.0, read=30.0),
       retries=False,
     )
     
     # Initialize Storage client
     storage_client = storage.Client()
     
     # Environment variables
     GCS_BUCKET = os.environ.get('GCS_BUCKET')
     GCS_PREFIX = os.environ.get('GCS_PREFIX', 'spycloud')
     STATE_KEY = os.environ.get('STATE_KEY', 'spycloud/state.json')
     API_KEY = os.environ.get('API_KEY', '')
     API_BASE = os.environ.get('API_BASE', 'https://api.spycloud.io').rstrip('/')
     MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '10000'))
     LOOKBACK_DAYS = int(os.environ.get('LOOKBACK_DAYS', '7'))
     STREAMS = [s.strip() for s in os.environ.get('STREAMS', 'watchlist').split(',') if s.strip()]
     
     def parse_datetime(value: str) -> datetime:
       """Parse ISO datetime string to datetime object."""
       if value.endswith("Z"):
         value = value[:-1] + "+00:00"
       return datetime.fromisoformat(value)
     
     @functions_framework.cloud_event
     def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch SpyCloud logs and write to GCS.
     
       Args:
         cloud_event: CloudEvent object containing Pub/Sub message
       """
     
       if not all([GCS_BUCKET, API_KEY]):
         print('Error: Missing required environment variables')
         return
     
       try:
         bucket = storage_client.bucket(GCS_BUCKET)
     
         # Load state
         state = load_state(bucket, STATE_KEY)
     
         now = datetime.now(timezone.utc)
     
         # Determine date range
         if isinstance(state, dict) and state.get("last_date"):
           since_date = state["last_date"]
         else:
           since_date = (now - timedelta(days=LOOKBACK_DAYS)).strftime('%Y-%m-%d')
     
         until_date = now.strftime('%Y-%m-%d')
     
         print(f"Fetching data from {since_date} to {until_date}")
     
         report = {}
     
         if 'watchlist' in STREAMS:
           print("Fetching watchlist breach data...")
           count = pull_watchlist(bucket, since_date, until_date)
           report['watchlist_records'] = count
     
         if 'catalog' in STREAMS:
           print("Fetching breach catalog...")
           count = pull_catalog(bucket, since_date, until_date)
           report['catalog_records'] = count
     
         if 'compass' in STREAMS:
           print("Fetching compass data...")
           count = pull_compass(bucket, since_date, until_date)
           report['compass_records'] = count
     
         # Update state
         save_state(bucket, STATE_KEY, until_date)
         print(f"Successfully processed: {json.dumps(report)}")
     
       except Exception as e:
         print(f'Error processing logs: {str(e)}')
         raise
     
     def load_state(bucket, key):
       """Load state from GCS."""
       try:
         blob = bucket.blob(key)
         if blob.exists():
           state_data = blob.download_as_text()
           return json.loads(state_data)
       except Exception as e:
         print(f"Warning: Could not load state: {e}")
     
       return {}
     
     def save_state(bucket, key, last_date: str):
       """Save the last query date to GCS state file."""
       try:
         state = {'last_date': last_date, 'last_event_time': datetime.now(timezone.utc).isoformat()}
         blob = bucket.blob(key)
         blob.upload_from_string(
           json.dumps(state, indent=2),
           content_type='application/json'
         )
         print(f"Saved state: last_date={last_date}")
       except Exception as e:
         print(f"Warning: Could not save state: {e}")
     
     def api_get(endpoint: str, params: dict = None):
       """Make authenticated GET request to SpyCloud API with rate limiting."""
       url = f"{API_BASE}{endpoint}"
       if params:
         query = '&'.join([f"{k}={v}" for k, v in params.items()])
         url = f"{url}?{query}"
     
       headers = {
         'X-API-Key': API_KEY,
         'Accept': 'application/json',
         'User-Agent': 'GoogleSecOps-SpyCloudCollector/1.0'
       }
     
       backoff = 1.0
       max_retries = 3
     
       for attempt in range(max_retries):
         response = http.request('GET', url, headers=headers)
     
         if response.status == 429:
           retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
           print(f"Rate limited (429). Retrying after {retry_after}s...")
           time.sleep(retry_after)
           backoff = min(backoff * 2, 30.0)
           continue
     
         if response.status != 200:
           print(f"HTTP Error: {response.status} - {response.data.decode('utf-8')}")
           return None
     
         return json.loads(response.data.decode('utf-8'))
     
       print(f"Failed after {max_retries} retries due to rate limiting")
       return None
     
     def write_ndjson(bucket, prefix: str, stream_name: str, records: list):
       """Write records to GCS as NDJSON."""
       if not records:
         return 0
     
       now = datetime.now(timezone.utc)
       timestamp = now.strftime('%Y%m%d_%H%M%S')
       object_key = f"{GCS_PREFIX}/{stream_name}/logs_{timestamp}.ndjson"
       blob = bucket.blob(object_key)
     
       ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
       blob.upload_from_string(ndjson, content_type='application/x-ndjson')
     
       print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")
       return len(records)
     
     def pull_watchlist(bucket, since_date: str, until_date: str):
       """Fetch watchlist breach data."""
       cursor = None
       all_records = []
     
       while True:
         params = {'since': since_date, 'until': until_date}
         if cursor:
           params['cursor'] = cursor
     
         data = api_get('/enterprise-v2/breach/data/watchlist', params)
         if not data:
           break
     
         results = data.get('results', [])
         if not results:
           break
     
         all_records.extend(results)
     
         if len(all_records) >= MAX_RECORDS:
           print(f"Reached max_records limit ({MAX_RECORDS})")
           break
     
         cursor = data.get('cursor')
         if not cursor:
           break
     
       return write_ndjson(bucket, GCS_PREFIX, 'watchlist', all_records)
     
     def pull_catalog(bucket, since_date: str, until_date: str):
       """Fetch breach catalog."""
       params = {'since': since_date, 'until': until_date}
       data = api_get('/enterprise-v2/breach/catalog', params)
       if not data:
         return 0
     
       results = data.get('results', [])
       return write_ndjson(bucket, GCS_PREFIX, 'catalog', results)
     
     def pull_compass(bucket, since_date: str, until_date: str):
       """Fetch compass findings."""
       cursor = None
       all_records = []
     
       while True:
         params = {'since': since_date, 'until': until_date}
         if cursor:
           params['cursor'] = cursor
     
         data = api_get('/enterprise-v2/compass/data', params)
         if not data:
           break
     
         results = data.get('results', [])
         if not results:
           break
     
         all_records.extend(results)
     
         if len(all_records) >= MAX_RECORDS:
           print(f"Reached max_records limit ({MAX_RECORDS})")
           break
     
         cursor = data.get('cursor')
         if not cursor:
           break
     
       return write_ndjson(bucket, GCS_PREFIX, 'compass', all_records)
     

   • Zweite Datei: requirements.txt::

     functions-framework==3.*
     google-cloud-storage==2.*
     urllib3>=2.0.0
     

3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2 bis 3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

1. Rufen Sie in der GCP Console Cloud Scheduler auf.
2. Klicken Sie auf Job erstellen.

3. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Name	spycloud-collector-daily
   Region	Dieselbe Region wie die Cloud Run-Funktion auswählen
   Frequenz	0 0 * * * (täglich um Mitternacht)
   Zeitzone	Zeitzone auswählen (UTC empfohlen)
   Zieltyp	Pub/Sub
   Thema	Wählen Sie das Thema spycloud-trigger aus.
   Inhalt der Nachricht	{} (leeres JSON-Objekt)

4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

Häufigkeit	Cron-Ausdruck	Anwendungsfall
Alle 5 Minuten	*/5 * * * *	Hohes Volumen, niedrige Latenz
Alle 15 Minuten	*/15 * * * *	Mittleres Suchvolumen
Stündlich	0 * * * *	Standard
Alle 6 Stunden	0 */6 * * *	Geringes Volumen, Batchverarbeitung
Täglich	0 0 * * *	Erhebung von Verlaufsdaten (für Daten zu Sicherheitsverletzungen empfohlen)

Integration testen

1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job (spycloud-collector-daily).
2. Klicken Sie auf Force run (Ausführung erzwingen), um den Trigger manuell auszulösen.
3. Warten Sie einige Sekunden und rufen Sie Cloud Run > Dienste > spycloud-collector > Logs auf.

4. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Darauf sollten Sie achten:

   Fetching data from YYYY-MM-DD to YYYY-MM-DD
   Fetching watchlist breach data...
   Wrote X records to gs://spycloud-logs/spycloud/watchlist/logs_YYYYMMDD_HHMMSS.ndjson
   Successfully processed: {"watchlist_records": X, "catalog_records": Y}
   

5. Prüfen Sie den GCS-Bucket (spycloud-logs), um zu bestätigen, dass Logs geschrieben wurden.

Wenn Sie Fehler in den Logs sehen:

• HTTP 401: API-Schlüssel in Umgebungsvariablen prüfen
• HTTP 403: Prüfen, ob der API-Schlüssel Zugriff auf die erforderlichen Endpunkte hat
• HTTP 429: Ratenbegrenzung – Funktion wird automatisch mit Backoff wiederholt
• Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.

Feed in Google SecOps konfigurieren, um SpyCloud-Logs aufzunehmen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf Einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. SpyCloud Logs.
5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
6. Wählen Sie SpyCloud als Logtyp aus.

7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Kopieren Sie diese E-Mail-Adresse. Sie verwenden es in der nächsten Aufgabe.

9. Klicken Sie auf Weiter.

10. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://spycloud-logs/spycloud/
      

      • Ersetzen Sie:
        • spycloud-logs: Der Name Ihres GCS-Buckets.
        • spycloud: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden (für den Stamm leer lassen).

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus:

      • Nie: Es werden niemals Dateien nach Übertragungen gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Löscht Dateien nach der erfolgreichen Übertragung.

      • Übertragene Dateien und leere Verzeichnisse löschen: Dateien und leere Verzeichnisse werden nach der erfolgreichen Übertragung gelöscht.

    • Höchstalter von Dateien: Dateien einschließen, die in den letzten Tagen geändert wurden (Standardwert: 180 Tage).

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

11. Klicken Sie auf Weiter.

12. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets (spycloud-logs).
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

6. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
av_softwares, assets.av_softwares, assets.country, assets.country_code, assets.display_resolution, assets.email, assets.full_name, assets.infected_machine_id, assets.infected_path, assets.infected_time, assets.ip_addresses, assets.keyboard_languages, assets.password, assets.target_url, assets.username, assets.user_browser, assets.user_hostname, assets.user_os, assets.user_sys_registered_owner	additional.fields	Zusammengeführt aus Labels, die aus diesen Feldern und av_software_list erstellt wurden
Passwort	extensions.auth.auth_details	Wert direkt kopiert
Wann?	metadata.event_timestamp	Wird als ISO8601-Zeitstempel geparst.
	metadata.event_type	Wird basierend auf Bedingungen festgelegt: NETWORK_CONNECTION, wenn has_principal, has_target und has_network; USER_UNCATEGORIZED, wenn has_principal und has_principal_userid; STATUS_UPDATE, wenn has_principal und nicht has_principal_ip; andernfalls GENERIC_EVENT; oder USER_UNCATEGORIZED, wenn user_hostname, ip oder infected_machine_id vorhanden ist.
infected_time	metadata.ingested_timestamp	Wird als Zeitstempel mit den Formaten JJJJ-MM-TTTHH:mm:ssZ, RFC3339 und ISO8601 geparst.
log_id, assets.log_id, uuid	metadata.product_log_id	Wert aus „log_id“, falls nicht leer, andernfalls „assets.log_id“, andernfalls „uuid“
user_os	network.http.parsed_user_agent	In geparsten User-Agent konvertiert
user_os	network.http.user_agent	Wert direkt kopiert
cookie_domain	principal.administrative_domain	Wert direkt kopiert
country	principal.asset.location.country_or_region	Wert direkt kopiert
infected_machine_id	principal.asset_id	Verkettet als „id: “ + infected_machine_id
infected_path	principal.file.full_path	Wert direkt kopiert
user_hostname, domain	principal.hostname	Auf „user_hostname“ festlegen, falls nicht leer, andernfalls auf „domain“, falls nicht leer
ip, ip_addresses	principal.ip	Zusammengeführt aus den Arrays „ip“ und „ip_addresses“
country_code	principal.resource.attribute.labels	Zusammengeführt aus country_code_label, das aus country_code erstellt wurde
id	principal.resource.id	Wert direkt kopiert (in String umgewandelt)
Startseite	principal.url	Wert direkt kopiert
E-Mail	principal.user.email_addresses	Wert direkt kopiert
full_name	principal.user.user_display_name	Wert direkt kopiert
user_sys_registered_owner, email_username	principal.user.userid	Auf „user_sys_registered_owner“ und dann auf „email_username“ setzen, falls nicht leer
Konfidenz	security_result.confidence_details	In String konvertiert
Beschreibung	security_result.description	Wert direkt kopiert
cookie_expiration, cookie_name, cookie_subdomain, cookie_value, day, document_id, locality_zone, source_id, spycloud_publishdate, spycloud_publish_date, user_browser, infected_time, timezone, password_type, password_plaintext, email_domain, api_token, account_status, breach_category, breach_main_category, consumer_category, malware_family, num_records, premium_flag, sensitive_source, short_title, site_description, title, tlp, type, display_resolution, keyboard_languages	security_result.detection_fields	Zusammengeführt aus Labels, die aus diesen Feldern erstellt wurden
die Ausprägung	security_result.severity	Auf „LOW“ setzen, wenn „2“, „INFORMATIONAL“ wenn „5“, „HIGH“ wenn „20“, „CRITICAL“ wenn „25“ oder „26“
die Ausprägung	security_result.severity_details	Wert direkt kopiert
target_subdomain	target.administrative_domain	Wert direkt kopiert
target_domain	target.asset.hostname	Wert direkt kopiert
target_domain	target.hostname	Wert direkt kopiert
target_url	target.url	Wert direkt kopiert
Nutzername	target.user.userid	Wert direkt kopiert
	metadata.product_name	Auf „SPYCLOUD“ festgelegt
	metadata.vendor_name	Auf „SpyCloud“ festgelegt

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten