Symantec Web Security Service（WSS）のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Google Cloud Storage を使用して Symantec Web Security Service（WSS）ログを Google Security Operations に取り込む方法について説明します。パーサーは、まずログメッセージを JSON として解析しようとします。失敗した場合は、一連のより具体的な Grok パターンを使用して未加工テキストからフィールドを抽出し、最終的に抽出されたデータを統合データモデル（UDM）にマッピングします。Symantec Web Security Service（WSS）は、マルウェア、フィッシング、データ損失などのウェブベースの脅威に対するリアルタイムの保護を提供するクラウドベースのウェブセキュリティソリューションです。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス
Cloud Storage API が有効になっている GCP プロジェクト
GCS バケットを作成および管理する権限
GCS バケットの IAM ポリシーを管理する権限
Cloud Run サービス、Pub/Sub トピック、Cloud Scheduler ジョブを作成する権限
Symantec Web Security Service Portal への特権アクセス

Symantec WSS API 認証情報を収集する

Symantec WSS サイトの URL を取得する

Symantec Web Security Service ポータルにログインします。
ブラウザのアドレスバーに表示されているポータル URL をメモします。
- 形式: https://portal.threatpulse.com または組織固有の URL
- 例: https://portal.threatpulse.com/reportpod で WSS にアクセスする場合、サイト URL は https://portal.threatpulse.com です。

API 認証情報を作成する

管理者として Symantec Web Security Service ポータルにログインします。
[アカウント> API 認証情報] に移動します。
[Add API Credentials] をクリックします。
ポータルに、自動生成された [Username] と [Password] が表示された [Add API Credential] ダイアログが表示されます。
ユーザー名とパスワードをコピーして安全に保存します。

注: これらの認証情報は 1 度しか表示されません。認証情報を紛失した場合は、新しい認証情報を生成する必要があります。
[API Expiry] オプションを選択します。
- 時間ベース: このトークンの有効期限が切れる日時を定義します。
- 有効期限なし: トークンは無期限で有効です（本番環境におすすめ）。
[アクセス] オプションで、[レポートアクセスログ] を選択します。
[保存] をクリックします。

権限を確認する

アカウントに必要な権限があることを確認するには:

Symantec Web Security Service ポータルにログインします。
[アカウント> API 認証情報] に移動します。
[アクセス] が [レポートアクセスログ] に設定された状態で作成した API 認証情報が表示される場合は、必要な権限が付与されています。
このオプションが表示されない場合は、管理者にお問い合わせのうえ、[レポートアクセスログ] 権限を付与してもらってください。

テスト API アクセス

統合に進む前に、認証情報をテストします。

# Replace with your actual credentials
WSS_USERNAME="your-api-username"
WSS_PASSWORD="your-api-password"
WSS_SYNC_URL="https://portal.threatpulse.com/reportpod/logs/sync"

# Test API access (note: sync endpoint requires time parameters)
curl -v -H "X-APIUsername: ${WSS_USERNAME}" \
  -H "X-APIPassword: ${WSS_PASSWORD}" \
  "${WSS_SYNC_URL}?startDate=0&endDate=1000&token=none"

想定されるレスポンス: ログデータを含む HTTP 200。時間範囲内にログがない場合は空のレスポンス。

Google Cloud Storage バケットを作成する

Google Cloud Console に移動します。
プロジェクトを選択するか、新しいプロジェクトを作成します。
ナビゲーションメニューで、[Cloud Storage > バケット] に移動します。
[バケットを作成] をクリックします。

次の構成情報を提供してください。

設定	値
バケットに名前を付ける	グローバルに一意の名前（`symantec-wss-logs` など）を入力します。
ロケーションタイプ	ニーズに基づいて選択します（リージョン、デュアルリージョン、マルチリージョン）。
ロケーション	ロケーションを選択します（例: `us-central1`）。
ストレージクラス	Standard（頻繁にアクセスされるログにおすすめ）
アクセス制御	均一（推奨）
保護ツール	省略可: オブジェクトのバージョニングまたは保持ポリシーを有効にする

[作成] をクリックします。

Cloud Run functions のサービスアカウントを作成する

Cloud Run 関数には、GCS バケットに書き込み、Pub/Sub によって呼び出される権限を持つサービスアカウントが必要です。

サービスアカウントの作成

GCP Console で、[IAM と管理>サービスアカウント] に移動します。
[サービスアカウントを作成] をクリックします。
次の構成の詳細を指定します。
- サービスアカウント名: 「symantec-wss-collector-sa」と入力します。
- サービスアカウントの説明: 「Service account for Cloud Run function to collect Symantec WSS logs」と入力します。
[作成して続行] をクリックします。
[このサービスアカウントにプロジェクトへのアクセスを許可する] セクションで、次のロールを追加します。
1. [ロールを選択] をクリックします。
2. [ストレージオブジェクト管理者] を検索して選択します。
3. [+ 別のロールを追加] をクリックします。
4. [Cloud Run 起動元] を検索して選択します。
5. [+ 別のロールを追加] をクリックします。
6. [Cloud Functions 起動元] を検索して選択します。
[続行] をクリックします。
[完了] をクリックします。

これらのロールは、次の目的で必要です。

Storage オブジェクト管理者: ログを GCS バケットに書き込み、状態ファイルを管理する
Cloud Run 起動元: Pub/Sub が関数を呼び出すことを許可する
Cloud Functions 起動元: 関数の呼び出しを許可する

GCS バケットに対する IAM 権限を付与する

GCS バケットに対する書き込み権限をサービスアカウントに付与します。

[Cloud Storage] > [バケット] に移動します。
バケット名をクリックします。
[権限] タブに移動します。
[アクセス権を付与] をクリックします。
次の構成の詳細を指定します。
- プリンシパルを追加: サービスアカウントのメールアドレス（例: symantec-wss-collector-sa@PROJECT_ID.iam.gserviceaccount.com）を入力します。
- ロールを割り当てる: [Storage オブジェクト管理者] を選択します。
[保存] をクリックします。

Pub/Sub トピックの作成

Cloud Scheduler がパブリッシュし、Cloud Run functions がサブスクライブする Pub/Sub トピックを作成します。

GCP Console で、[Pub/Sub> トピック] に移動します。
[トピックを作成] をクリックします。
次の構成の詳細を指定します。
- トピック ID: 「symantec-wss-trigger」と入力します。
- その他の設定はデフォルトのままにします。
[作成] をクリックします。

ログを収集する Cloud Run 関数を作成する

Cloud Run 関数は、Cloud Scheduler からの Pub/Sub メッセージによってトリガーされ、Symantec WSS Sync API からログを取得して GCS に書き込みます。

GCP Console で、[Cloud Run] に移動します。
[サービスを作成] をクリックします。
[関数] を選択します（インラインエディタを使用して関数を作成します）。

[構成] セクションで、次の構成の詳細を指定します。

設定	値
サービス名	`symantec-wss-collector`
リージョン	GCS バケットと一致するリージョンを選択します（例: `us-central1`）。
ランタイム	[Python 3.12] 以降を選択します。

[トリガー（省略可）] セクションで、次の操作を行います。
1. [+ トリガーを追加] をクリックします。
2. [Cloud Pub/Sub] を選択します。
3. [Cloud Pub/Sub トピックを選択してください] で、Pub/Sub トピック（symantec-wss-trigger）を選択します。
4. [保存] をクリックします。
[認証] セクションで、次の操作を行います。
1. [認証が必要] を選択します。
2. Identity and Access Management（IAM）を確認します。
注: Pub/Sub は、関数を呼び出すときに認証を自動的に処理します。
下にスクロールして、[コンテナ、ネットワーキング、セキュリティ] を開きます。
[セキュリティ] タブに移動します。
- サービスアカウント: サービスアカウントを選択します（symantec-wss-collector-sa）。

[コンテナ] タブに移動します。

[変数とシークレット] をクリックします。
環境変数ごとに [+ 変数を追加] をクリックします。

変数名	値の例	説明
`GCS_BUCKET`	`symantec-wss-logs`	GCS バケット名
`GCS_PREFIX`	`symantec/wss/`	ログファイルの接頭辞
`STATE_KEY`	`symantec/wss/state.json`	状態ファイルのパス
`WINDOW_SECONDS`	`3600`	時間枠（秒単位）（1 時間）
`HTTP_TIMEOUT`	`60`	HTTP リクエストタイムアウト（秒）
`MAX_RETRIES`	`3`	最大再試行回数
`USER_AGENT`	`symantec-wss-to-gcs/1.0`	ユーザーエージェント文字列
`WSS_SYNC_URL`	`https://portal.threatpulse.com/reportpod/logs/sync`	WSS Sync API エンドポイント
`WSS_API_USERNAME`	`your-api-username`（API 認証情報から）	WSS API ユーザー名
`WSS_API_PASSWORD`	`your-api-password`（API 認証情報から）	WSS API パスワード
`WSS_TOKEN_PARAM`	`none`	同期 API のトークンパラメータ

[変数とシークレット] セクションで、[リクエスト] までスクロールします。
- リクエストのタイムアウト: 600 秒（10 分）を入力します。
[設定] タブに移動します。
- [リソース] セクションで次の操作を行います。
  - メモリ: 512 MiB 以上を選択します。
  - CPU: [1] を選択します。
[リビジョンスケーリング] セクションで、次の操作を行います。
- [インスタンスの最小数] に「0」と入力します。
- インスタンスの最大数: 100 と入力します（または、予想される負荷に基づいて調整します）。
[作成] をクリックします。
サービスが作成されるまで待ちます（1 ～ 2 分）。
サービスを作成すると、インラインコードエディタが自動的に開きます。

関数コードを追加する

[関数のエントリポイント] に「main」と入力します。

インラインコードエディタで、次の 2 つのファイルを作成します。

最初のファイル: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import uuid
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=60.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch logs from Symantec WSS Sync API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'symantec/wss/')
    state_key = os.environ.get('STATE_KEY', 'symantec/wss/state.json')
    window_sec = int(os.environ.get('WINDOW_SECONDS', '3600'))
    http_timeout = int(os.environ.get('HTTP_TIMEOUT', '60'))
    max_retries = int(os.environ.get('MAX_RETRIES', '3'))
    user_agent = os.environ.get('USER_AGENT', 'symantec-wss-to-gcs/1.0')
    wss_sync_url = os.environ.get('WSS_SYNC_URL', 'https://portal.threatpulse.com/reportpod/logs/sync')
    api_username = os.environ.get('WSS_API_USERNAME')
    api_password = os.environ.get('WSS_API_PASSWORD')
    token_param = os.environ.get('WSS_TOKEN_PARAM', 'none')

    if not all([bucket_name, api_username, api_password]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (last processed timestamp)
        state = load_state(bucket, state_key)
        now = datetime.now(timezone.utc).timestamp()
        from_ts = float(state.get('last_to_ts', now - window_sec))
        to_ts = now

        # Convert to milliseconds for WSS API
        start_ms = int(from_ts * 1000)
        end_ms = int(to_ts * 1000)

        print(f'Fetching Symantec WSS logs from {start_ms} to {end_ms}')

        # Fetch logs from WSS Sync API
        blob_data, content_type, content_encoding = fetch_wss_logs(
            wss_sync_url, api_username, api_password, token_param,
            start_ms, end_ms, user_agent, http_timeout, max_retries
        )

        print(f'Retrieved {len(blob_data)} bytes with content-type: {content_type}')
        if content_encoding:
            print(f'Content encoding: {content_encoding}')

        # Write to GCS
        if blob_data:
            blob_name = write_wss_data(
                bucket, prefix, blob_data, content_type, content_encoding, from_ts, to_ts
            )
            print(f'Wrote logs to {blob_name}')

        # Update state
        save_state(bucket, state_key, {
            'last_to_ts': to_ts,
            'last_successful_run': now
        })

        print(f'Successfully processed logs up to {to_ts}')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, separators=(',', ':')),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def fetch_wss_logs(sync_url, username, password, token, start_ms, end_ms, user_agent, timeout, max_retries):
    """Fetch logs from WSS Sync API with retry logic using custom HTTP headers."""
    params = f"startDate={start_ms}&endDate={end_ms}&token={token}"
    url = f"{sync_url}?{params}"

    attempt = 0
    backoff = 1.0

    while True:
        try:
            headers = {
                'User-Agent': user_agent,
                'X-APIUsername': username,
                'X-APIPassword': password
            }

            response = http.request('GET', url, headers=headers, timeout=timeout)

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f'Rate limited (429). Retrying after {retry_after}s...')
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status == 200:
                content_type = response.headers.get('Content-Type', 'application/octet-stream')
                content_encoding = response.headers.get('Content-Encoding', '')
                return response.data, content_type, content_encoding
            else:
                raise Exception(f'HTTP {response.status}: {response.data.decode("utf-8", errors="ignore")}')

        except Exception as e:
            attempt += 1
            print(f'HTTP error on attempt {attempt}: {e}')
            if attempt > max_retries:
                raise
            # Exponential backoff with jitter
            time.sleep(min(60, 2 ** attempt) + (time.time() % 1))

def determine_extension(content_type, content_encoding):
    """Determine file extension based on content type and encoding."""
    if 'zip' in content_type.lower():
        return '.zip'
    if 'gzip' in content_type.lower() or content_encoding.lower() == 'gzip':
        return '.gz'
    if 'json' in content_type.lower():
        return '.json'
    if 'csv' in content_type.lower():
        return '.csv'
    return '.bin'

def write_wss_data(bucket, prefix, blob_data, content_type, content_encoding, from_ts, to_ts):
    """Write WSS data to GCS with unique key."""
    ts_path = datetime.fromtimestamp(to_ts, tz=timezone.utc).strftime('%Y/%m/%d')
    uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}"
    ext = determine_extension(content_type, content_encoding)
    blob_name = f"{prefix}{ts_path}/symantec_wss_{int(from_ts)}_{int(to_ts)}_{uniq}{ext}"

    blob = bucket.blob(blob_name)
    blob.upload_from_string(
        blob_data,
        content_type=content_type
    )

    # Set metadata
    blob.metadata = {
        'source': 'symantec-wss',
        'from_timestamp': str(int(from_ts)),
        'to_timestamp': str(int(to_ts)),
        'content_encoding': content_encoding
    }
    blob.patch()

    return blob_name

2 つ目のファイル: requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

[デプロイ] をクリックして、関数を保存してデプロイします。
デプロイが完了するまで待ちます（2 ～ 3 分）。

注: Pub/Sub トリガー構成では、必要なサブスクリプションと権限が自動的に作成されます。

Cloud Scheduler ジョブの作成

Cloud Scheduler は、定期的に Pub/Sub トピックにメッセージをパブリッシュし、Cloud Run functions の関数をトリガーします。

GCP Console で、[Cloud Scheduler] に移動します。
[ジョブを作成] をクリックします。

次の構成情報を提供してください。

設定	値
名前	`symantec-wss-collector-hourly`
リージョン	Cloud Run functions と同じリージョンを選択する
周波数	`0 * * * *`（1 時間ごとに正時）
タイムゾーン	タイムゾーンを選択します（UTC を推奨）。
ターゲットタイプ	Pub/Sub
トピック	Pub/Sub トピック（`symantec-wss-trigger`）を選択する
メッセージ本文	`{}`（空の JSON オブジェクト）

[作成] をクリックします。

スケジュールの頻度のオプション

ログの量とレイテンシの要件に基づいて頻度を選択します。

頻度	CRON 式	ユースケース
5 分毎	`/5 * * *`	大容量、低レイテンシ
15 分ごと	`/15 * * *`	検索量が普通
1 時間ごと	`0 * * * *`	標準（推奨）
6 時間ごと	`0 /6 * *`	少量、バッチ処理
毎日	`0 0 * * *`	履歴データの収集

統合をテストする

Cloud Scheduler コンソールで、ジョブを見つけます。
[強制実行] をクリックして、ジョブを手動でトリガーします。
数秒待ちます。
Cloud Run > サービスに移動します。
関数名（symantec-wss-collector）をクリックします。
[Logs] タブをクリックします。

関数が正常に実行されたことを確認します。次の内容を確認します。

Fetching Symantec WSS logs from [start_ms] to [end_ms]
Retrieved X bytes with content-type: [type]
Wrote logs to symantec/wss/YYYY/MM/DD/symantec_wss_[timestamps].[ext]
Successfully processed logs up to [timestamp]

[Cloud Storage] > [バケット] に移動します。
バケット名をクリックします。
プレフィックスフォルダ（symantec/wss/）に移動します。
現在のタイムスタンプで新しいファイルが作成されたことを確認します。

ログにエラーが表示された場合:

HTTP 401: 環境変数の API 認証情報を確認します。ユーザー名とパスワードが正しいことを確認します。
HTTP 403: WSS ポータルで API 認証情報に「レポートアクセスログ」権限が付与されていることを確認します。
HTTP 429: レート制限 - 関数はバックオフで自動的に再試行されます。
環境変数が不足している: 必要な変数がすべて Cloud Run functions の構成で設定されていることを確認します。

Google SecOps サービスアカウントを取得する

Google SecOps は、一意のサービスアカウントを使用して GCS バケットからデータを読み取ります。このサービスアカウントにバケットへのアクセス権を付与する必要があります。

サービスアカウントのメールアドレスを取得する

[SIEM 設定] > [フィード] に移動します。
[Add New Feed] をクリックします。
[単一フィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Symantec WSS logs）。
[ソースタイプ] として [Google Cloud Storage V2] を選択します。
[Log type] として [Symantec WSS] を選択します。
[サービスアカウントを取得する] をクリックします。一意のサービスアカウントメールアドレスが表示されます（例:）。
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
このメールアドレスをコピーして、次のステップで使用します。

注: 各 Google SecOps インスタンスには一意のサービスアカウントがあります。他のドキュメントや例のサービスアカウントは使用しないでください。

Google SecOps サービスアカウントに IAM 権限を付与する

Google SecOps サービスアカウントには、GCS バケットに対する Storage オブジェクト閲覧者ロールが必要です。

[Cloud Storage] > [バケット] に移動します。
バケット名をクリックします。
[権限] タブに移動します。
[アクセス権を付与] をクリックします。
次の構成の詳細を指定します。
- プリンシパルを追加: Google SecOps サービスアカウントのメールアドレスを貼り付けます。
- ロールを割り当てる: [ストレージオブジェクト閲覧者] を選択します。
[保存] をクリックします。

注: 削除オプションの [転送されたファイルを削除] または [転送されたファイルと空のディレクトリを削除] を使用する場合は、Storage オブジェクト閲覧者ではなく、Storage オブジェクト管理者ロールを付与します。

Symantec WSS のログを取り込むように Google SecOps でフィードを構成する

[SIEM 設定] > [フィード] に移動します。
[Add New Feed] をクリックします。
[単一フィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Symantec WSS logs）。
[ソースタイプ] として [Google Cloud Storage V2] を選択します。
[Log type] として [Symantec WSS] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- ストレージバケットの URL: 接頭辞パスを含む GCS バケット URI を入力します。
```
gs://symantec-wss-logs/symantec/wss/
```
  - 次のように置き換えます。
    - symantec-wss-logs: GCS バケット名。
    - symantec/wss/: ログが保存されるオプションの接頭辞/フォルダパス（ルートの場合は空のままにします）。
  - 例:
    - ルートバケット: gs://company-logs/
    - 接頭辞あり: gs://company-logs/symantec-wss/
    - サブフォルダあり: gs://company-logs/symantec/wss/
    注: URI の末尾には常にスラッシュ（/）を付けます。
- Source deletion option: 必要に応じて削除オプションを選択します。
  - なし: 転送後にファイルを削除しません（テストにおすすめ）。
  - 転送されたファイルを削除する: 転送が完了した後にファイルを削除します。
  - 転送されたファイルと空のディレクトリを削除する: 転送が完了した後にファイルと空のディレクトリを削除します。
    
    注: 削除オプションを選択する場合は、サービスアカウントに Storage オブジェクト閲覧者ではなく、Storage オブジェクト管理者のロールが必要です。必要に応じて IAM 権限を更新します。
- ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
category_id	read_only_udm.metadata.product_event_type	category_id が 1 の場合、read_only_udm.metadata.product_event_type は Security に設定されます。category_id が 5 の場合、read_only_udm.metadata.product_event_type は Policy に設定されます。
collector_device_ip	read_only_udm.principal.ip、read_only_udm.principal.asset.ip	collector_device_ip フィールドの値
connection.bytes_download	read_only_udm.network.received_bytes	connection.bytes_download フィールドの値を整数に変換
connection.bytes_upload	read_only_udm.network.sent_bytes	connection.bytes_upload フィールドの値を整数に変換
connection.dst_ip	read_only_udm.target.ip	connection.dst_ip フィールドの値
connection.dst_location.country	read_only_udm.target.location.country_or_region	connection.dst_location.country フィールドの値
connection.dst_name	read_only_udm.target.hostname	connection.dst_name フィールドの値
connection.dst_port	read_only_udm.target.port	connection.dst_port フィールドの値を整数に変換
connection.http_status	read_only_udm.network.http.response_code	connection.http_status フィールドの値を整数に変換
connection.http_user_agent	read_only_udm.network.http.user_agent	connection.http_user_agent フィールドの値
connection.src_ip	read_only_udm.principal.ip、read_only_udm.src.ip	connection.src_ip フィールドの値。src_ip または collector_device_ip が空でない場合は、read_only_udm.src.ip にマッピングされます。
connection.tls.version	read_only_udm.network.tls.version_protocol	connection.tls.version フィールドの値
connection.url.host	read_only_udm.target.hostname	connection.url.host フィールドの値
connection.url.method	read_only_udm.network.http.method	connection.url.method フィールドの値
connection.url.path	read_only_udm.target.url	connection.url.path フィールドの値
connection.url.text	read_only_udm.target.url	connection.url.text フィールドの値
cs_connection_negotiated_cipher	read_only_udm.network.tls.cipher	cs_connection_negotiated_cipher フィールドの値
cs_icap_status	read_only_udm.security_result.description	cs_icap_status フィールドの値
device_id	read_only_udm.target.resource.id、read_only_udm.target.resource.product_object_id	device_id フィールドの値
device_ip	read_only_udm.intermediary.ip、read_only_udm.intermediary.asset.ip	device_ip フィールドの値
device_time	read_only_udm.metadata.collected_timestamp、read_only_udm.metadata.event_timestamp	device_time フィールドの値が文字列に変換されます。when が空の場合、read_only_udm.metadata.event_timestamp にマッピングされます
hostname	read_only_udm.principal.hostname、read_only_udm.principal.asset.hostname	ホスト名フィールドの値
log_time	read_only_udm.metadata.event_timestamp	log_time フィールドの値がタイムスタンプに変換されます。when と device_time が空の場合、read_only_udm.metadata.event_timestamp にマッピングされます。
msg_desc	read_only_udm.metadata.description	msg_desc フィールドの値
os_details	read_only_udm.target.asset.platform_software.platform、read_only_udm.target.asset.platform_software.platform_version	os_details フィールドの値。os_details が空でない場合は、解析されて os_name と os_ver が抽出されます。os_name に Windows が含まれている場合、read_only_udm.target.asset.platform_software.platform は WINDOWS に設定されます。os_ver は read_only_udm.target.asset.platform_software.platform_version にマッピングされます。
product_data.cs(Referer)	read_only_udm.network.http.referral_url	product_data.cs（Referer）フィールドの値
product_data.r-supplier-country	read_only_udm.principal.location.country_or_region	product_data.r-supplier-country フィールドの値
product_data.s-supplier-ip	read_only_udm.intermediary.ip、read_only_udm.intermediary.asset.ip	product_data.s-supplier-ip フィールドの値
product_data.x-bluecoat-application-name	read_only_udm.target.application	product_data.x-bluecoat-application-name フィールドの値
product_data.x-bluecoat-transaction-uuid	read_only_udm.metadata.product_log_id	product_data.x-bluecoat-transaction-uuid フィールドの値
product_data.x-client-agent-sw	read_only_udm.observer.platform_version	product_data.x-client-agent-sw フィールドの値
product_data.x-client-agent-type	read_only_udm.observer.application	product_data.x-client-agent-type フィールドの値
product_data.x-client-device-id	read_only_udm.target.resource.type、read_only_udm.target.resource.id、read_only_udm.target.resource.product_object_id	空でない場合、read_only_udm.target.resource.type は DEVICE に設定されます。product_data.x-client-device-id フィールドの値が read_only_udm.target.resource.id と read_only_udm.target.resource.product_object_id にマッピングされる
product_data.x-client-device-name	read_only_udm.src.hostname、read_only_udm.src.asset.hostname	product_data.x-client-device-name フィールドの値
product_data.x-cs-client-ip-country	read_only_udm.target.location.country_or_region	product_data.x-cs-client-ip-country フィールドの値
product_data.x-cs-connection-negotiated-cipher	read_only_udm.network.tls.cipher	product_data.x-cs-connection-negotiated-cipher フィールドの値
product_data.x-cs-connection-negotiated-ssl-version	read_only_udm.network.tls.version_protocol	product_data.x-cs-connection-negotiated-ssl-version フィールドの値
product_data.x-exception-id	read_only_udm.security_result.summary	product_data.x-exception-id フィールドの値
product_data.x-rs-certificate-hostname	read_only_udm.network.tls.client.server_name	product_data.x-rs-certificate-hostname フィールドの値
product_data.x-rs-certificate-hostname-categories	read_only_udm.security_result.category_details	product_data.x-rs-certificate-hostname-categories フィールドの値
product_data.x-rs-certificate-observed-errors	read_only_udm.network.tls.server.certificate.issuer	product_data.x-rs-certificate-observed-errors フィールドの値
product_data.x-rs-certificate-validate-status	read_only_udm.network.tls.server.certificate.subject	product_data.x-rs-certificate-validate-status フィールドの値
product_name	read_only_udm.metadata.product_name	product_name フィールドの値
product_ver	read_only_udm.metadata.product_version	product_ver フィールドの値
proxy_connection.src_ip	read_only_udm.intermediary.ip、read_only_udm.intermediary.asset.ip	proxy_connection.src_ip フィールドの値
received_bytes	read_only_udm.network.received_bytes	received_bytes フィールドの値が整数に変換された
ref_uid	read_only_udm.metadata.product_log_id	ref_uid フィールドの値
s_action	read_only_udm.metadata.description	s_action フィールドの値
sent_bytes	read_only_udm.network.sent_bytes	sent_bytes フィールドの値が整数に変換されました
severity_id	read_only_udm.security_result.severity	severity_id が 1 または 2 の場合、read_only_udm.security_result.severity は LOW に設定されます。severity_id が 3 または 4 の場合、read_only_udm.security_result.severity は MEDIUM に設定されます。severity_id が 5 または 6 の場合、read_only_udm.security_result.severity は HIGH に設定されます。
supplier_country	read_only_udm.principal.location.country_or_region	supplier_country フィールドの値
target_ip	read_only_udm.target.ip、read_only_udm.target.asset.ip	target_ip フィールドの値
user.full_name	read_only_udm.principal.user.user_display_name	user.full_name フィールドの値
user.name	read_only_udm.principal.user.user_display_name	user.name フィールドの値
user_name	read_only_udm.principal.user.user_display_name	user_name フィールドの値
uuid	read_only_udm.metadata.product_log_id	uuid フィールドの値
いつ	read_only_udm.metadata.event_timestamp	when フィールドの値がタイムスタンプに変換される
read_only_udm.metadata.event_type		ホスト名が空で、connection.dst_ip が空でない場合は、NETWORK_UNCATEGORIZED に設定します。ホスト名が空でない場合は SCAN_NETWORK に設定します。has_principal と has_target が true の場合は、NETWORK_CONNECTION に設定します。has_principal が true で、has_target が false の場合は STATUS_UPDATE に設定します。has_principal と has_target が false の場合は GENERIC_EVENT に設定
read_only_udm.metadata.log_type		常に SYMANTEC_WSS に設定
read_only_udm.metadata.vendor_name		常に SYMANTEC に設定
read_only_udm.security_result.action		product_data.sc-filter_result が OBSERVED または PROXIED の場合は ALLOW に設定します。product_data.sc-filter_result が DENIED の場合、BLOCK に設定します
read_only_udm.security_result.action_details		product_data.sc-filter_result フィールドの値
read_only_udm.target.resource.type		product_data.x-client-device-id が空でない場合は DEVICE に設定

ご不明な点がございましたら、コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。