收集 Symantec Web Security Service (WSS) 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Google Cloud Storage，將 Symantec Web Security Service (WSS) 記錄檔擷取至 Google Security Operations。剖析器會先嘗試將記錄訊息剖析為 JSON。如果失敗，系統會使用一系列越來越具體的 grok 模式，從原始文字中擷取欄位，最終將擷取的資料對應至統合式資料模型 (UDM)。Symantec Web Security Service (WSS) 是一項雲端網路安全解決方案，可即時防範網路威脅，包括惡意軟體、網路釣魚和資料遺失。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
已啟用 Cloud Storage API 的 GCP 專案
建立及管理 GCS 值區的權限
管理 Google Cloud Storage 值區 IAM 政策的權限
建立 Cloud Run 服務、Pub/Sub 主題和 Cloud Scheduler 工作的權限
Symantec Web Security Service 入口網站的特殊存取權

收集 Symantec WSS API 憑證

取得 Symantec WSS 網站網址

登入 Symantec Web Security Service 入口網站。
記下瀏覽器網址列中的入口網站網址。
- 格式：https://portal.threatpulse.com 或貴機構專屬網址
- 範例：如果您在 https://portal.threatpulse.com/reportpod 存取 WSS，網站網址為 https://portal.threatpulse.com

建立 API 憑證

以管理員身分登入 Symantec Web Security Service Portal。
依序前往「帳戶」>「API 憑證」。
按一下「新增 API 憑證」。
入口網站會顯示「Add API Credential」(新增 API 憑證) 對話方塊，並自動產生「Username」(使用者名稱) 和「Password」(密碼)。
複製並妥善儲存「使用者名稱」和「密碼」。

注意： 這些憑證只會顯示一次。如果您未在這裡記下憑證，之後就必須產生新憑證。
選取「API 效期」選項：
- 以時間為準：定義這個權杖的到期日期和時間。
- 永不過期：權杖會無限期保持有效 (建議用於正式環境)。
在「存取權」選項中，選取「報表存取記錄」。
按一下 [儲存]。

驗證權限

如要確認帳戶是否具備必要權限，請按照下列步驟操作：

登入 Symantec Web Security Service 入口網站。
依序前往「帳戶」>「API 憑證」。
如果能看到您建立的 API 憑證，且「存取權」設為「報表存取記錄」，表示您具備必要權限。
如果沒有看到這個選項，請與管理員聯絡，要求授予「報表存取記錄」權限。

測試 API 存取權

請先測試憑證，再繼續進行整合：

# Replace with your actual credentials
WSS_USERNAME="your-api-username"
WSS_PASSWORD="your-api-password"
WSS_SYNC_URL="https://portal.threatpulse.com/reportpod/logs/sync"

# Test API access (note: sync endpoint requires time parameters)
curl -v -H "X-APIUsername: ${WSS_USERNAME}" \
  -H "X-APIPassword: ${WSS_PASSWORD}" \
  "${WSS_SYNC_URL}?startDate=0&endDate=1000&token=none"

預期回應：HTTP 200 (含記錄資料)，或如果時間範圍內沒有記錄，則為空白回應。

建立 Google Cloud Storage 值區

前往 Google Cloud 控制台。
選取專案或建立新專案。
在導覽選單中，依序前往「Cloud Storage」>「Bucket」。
按一下「建立值區」。

請提供下列設定詳細資料：

設定	值
為 bucket 命名	輸入全域不重複的名稱 (例如 `symantec-wss-logs`)
位置類型	根據需求選擇 (區域、雙區域、多區域)
位置	選取位置 (例如 `us-central1`)
儲存空間級別	標準 (建議用於經常存取的記錄)
存取控管	統一 (建議)
保護工具	選用：啟用物件版本管理或保留政策

點選「建立」。

為 Cloud Run 函式建立服務帳戶

Cloud Run 函式需要具備 GCS bucket 寫入權限的服務帳戶，並由 Pub/Sub 叫用。

建立服務帳戶

在 GCP 主控台中，依序前往「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
按一下 [Create Service Account] (建立服務帳戶)。
請提供下列設定詳細資料：
- 服務帳戶名稱：輸入 symantec-wss-collector-sa。
- 服務帳戶說明：輸入 Service account for Cloud Run function to collect Symantec WSS logs。
按一下「建立並繼續」。
在「將專案存取權授予這個服務帳戶」部分，新增下列角色：
1. 按一下「選擇角色」。
2. 搜尋並選取「Storage 物件管理員」。
3. 點選「+ 新增其他角色」。
4. 搜尋並選取「Cloud Run Invoker」。
5. 點選「+ 新增其他角色」。
6. 搜尋並選取「Cloud Functions Invoker」(Cloud Functions 叫用者)。
按一下「繼續」。
按一下 [完成]。

這些角色適用於：

Storage 物件管理員：將記錄檔寫入 GCS 值區，並管理狀態檔案
Cloud Run 叫用者：允許 Pub/Sub 叫用函式
Cloud Functions 叫用者：允許函式叫用

授予 GCS 值區的 IAM 權限

授予服務帳戶 GCS bucket 的寫入權限：

依序前往「Cloud Storage」>「Buckets」。
按一下 bucket 名稱。
前往「權限」分頁標籤。
按一下「授予存取權」。
請提供下列設定詳細資料：
- 新增主體：輸入服務帳戶電子郵件地址 (例如 symantec-wss-collector-sa@PROJECT_ID.iam.gserviceaccount.com)。
- 指派角色：選取「Storage 物件管理員」。
按一下 [儲存]。

建立 Pub/Sub 主題

建立 Pub/Sub 主題，Cloud Scheduler 會將訊息發布至該主題，而 Cloud Run 函式會訂閱該主題。

在 GCP Console 中，前往「Pub/Sub」>「Topics」(主題)。
按一下「建立主題」。
請提供下列設定詳細資料：
- 主題 ID：輸入 symantec-wss-trigger。
- 其他設定保留預設值。
點選「建立」。

建立 Cloud Run 函式來收集記錄

Cloud Run 函式會由 Cloud Scheduler 的 Pub/Sub 訊息觸發，從 Symantec WSS Sync API 擷取記錄，並將記錄寫入 GCS。

前往 GCP Console 的「Cloud Run」。
按一下「Create service」(建立服務)。
選取「函式」 (使用內嵌編輯器建立函式)。
在「設定」部分，提供下列設定詳細資料：

設定值

服務名稱 symantec-wss-collector

區域選取與 GCS bucket 相符的區域 (例如 us-central1)

執行階段 選取「Python 3.12」以上版本
在「Trigger (optional)」(觸發條件 (選用)) 專區：
1. 按一下「+ 新增觸發條件」。
2. 選取「Cloud Pub/Sub」。
3. 在「選取 Cloud Pub/Sub 主題」中，選擇 Pub/Sub 主題 (symantec-wss-trigger)。
4. 按一下 [儲存]。
在「Authentication」(驗證) 部分：
1. 選取「需要驗證」。
2. 檢查 Identity and Access Management (IAM)。
注意： 叫用函式時，Pub/Sub 會自動處理驗證。
向下捲動並展開「Containers, Networking, Security」。
前往「安全性」分頁：
- 服務帳戶：選取服務帳戶 (symantec-wss-collector-sa)。

設定	值
服務名稱	`symantec-wss-collector`
區域	選取與 GCS bucket 相符的區域 (例如 `us-central1`)
執行階段	選取「Python 3.12」以上版本

前往「容器」分頁：

按一下「變數與密鑰」。
針對每個環境變數，按一下「+ 新增變數」：

變數名稱	範例值	說明
`GCS_BUCKET`	`symantec-wss-logs`	GCS bucket 名稱
`GCS_PREFIX`	`symantec/wss/`	記錄檔的前置字串
`STATE_KEY`	`symantec/wss/state.json`	狀態檔案路徑
`WINDOW_SECONDS`	`3600`	時間範圍 (以秒為單位，1 小時)
`HTTP_TIMEOUT`	`60`	HTTP 要求逾時時間 (以秒為單位)
`MAX_RETRIES`	`3`	重試次數上限
`USER_AGENT`	`symantec-wss-to-gcs/1.0`	使用者代理程式字串
`WSS_SYNC_URL`	`https://portal.threatpulse.com/reportpod/logs/sync`	WSS Sync API 端點
`WSS_API_USERNAME`	`your-api-username` (來自 API 憑證)	WSS API 使用者名稱
`WSS_API_PASSWORD`	`your-api-password` (來自 API 憑證)	WSS API 密碼
`WSS_TOKEN_PARAM`	`none`	同步 API 的權杖參數

在「變數與 Secret」部分，捲動至「要求」：
- 要求逾時：輸入 600 秒 (10 分鐘)。
前往「設定」分頁：
- 在「資源」部分：
  - 記憶體：選取 512 MiB 以上。
  - CPU：選取 1。
在「修訂版本資源調度」部分：
- 執行個體數量下限：輸入 0。
- 「Maximum number of instances」(執行個體數量上限)：輸入 100 (或根據預期負載調整)。
點選「建立」。
等待服務建立完成 (1 到 2 分鐘)。
服務建立完成後，系統會自動開啟內嵌程式碼編輯器。

新增函式程式碼

在「Function entry point」(函式進入點) 中輸入 main

在內嵌程式碼編輯器中建立兩個檔案：

第一個檔案：main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import uuid
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=60.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch logs from Symantec WSS Sync API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'symantec/wss/')
    state_key = os.environ.get('STATE_KEY', 'symantec/wss/state.json')
    window_sec = int(os.environ.get('WINDOW_SECONDS', '3600'))
    http_timeout = int(os.environ.get('HTTP_TIMEOUT', '60'))
    max_retries = int(os.environ.get('MAX_RETRIES', '3'))
    user_agent = os.environ.get('USER_AGENT', 'symantec-wss-to-gcs/1.0')
    wss_sync_url = os.environ.get('WSS_SYNC_URL', 'https://portal.threatpulse.com/reportpod/logs/sync')
    api_username = os.environ.get('WSS_API_USERNAME')
    api_password = os.environ.get('WSS_API_PASSWORD')
    token_param = os.environ.get('WSS_TOKEN_PARAM', 'none')

    if not all([bucket_name, api_username, api_password]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (last processed timestamp)
        state = load_state(bucket, state_key)
        now = datetime.now(timezone.utc).timestamp()
        from_ts = float(state.get('last_to_ts', now - window_sec))
        to_ts = now

        # Convert to milliseconds for WSS API
        start_ms = int(from_ts * 1000)
        end_ms = int(to_ts * 1000)

        print(f'Fetching Symantec WSS logs from {start_ms} to {end_ms}')

        # Fetch logs from WSS Sync API
        blob_data, content_type, content_encoding = fetch_wss_logs(
            wss_sync_url, api_username, api_password, token_param,
            start_ms, end_ms, user_agent, http_timeout, max_retries
        )

        print(f'Retrieved {len(blob_data)} bytes with content-type: {content_type}')
        if content_encoding:
            print(f'Content encoding: {content_encoding}')

        # Write to GCS
        if blob_data:
            blob_name = write_wss_data(
                bucket, prefix, blob_data, content_type, content_encoding, from_ts, to_ts
            )
            print(f'Wrote logs to {blob_name}')

        # Update state
        save_state(bucket, state_key, {
            'last_to_ts': to_ts,
            'last_successful_run': now
        })

        print(f'Successfully processed logs up to {to_ts}')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, separators=(',', ':')),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def fetch_wss_logs(sync_url, username, password, token, start_ms, end_ms, user_agent, timeout, max_retries):
    """Fetch logs from WSS Sync API with retry logic using custom HTTP headers."""
    params = f"startDate={start_ms}&endDate={end_ms}&token={token}"
    url = f"{sync_url}?{params}"

    attempt = 0
    backoff = 1.0

    while True:
        try:
            headers = {
                'User-Agent': user_agent,
                'X-APIUsername': username,
                'X-APIPassword': password
            }

            response = http.request('GET', url, headers=headers, timeout=timeout)

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f'Rate limited (429). Retrying after {retry_after}s...')
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status == 200:
                content_type = response.headers.get('Content-Type', 'application/octet-stream')
                content_encoding = response.headers.get('Content-Encoding', '')
                return response.data, content_type, content_encoding
            else:
                raise Exception(f'HTTP {response.status}: {response.data.decode("utf-8", errors="ignore")}')

        except Exception as e:
            attempt += 1
            print(f'HTTP error on attempt {attempt}: {e}')
            if attempt > max_retries:
                raise
            # Exponential backoff with jitter
            time.sleep(min(60, 2 ** attempt) + (time.time() % 1))

def determine_extension(content_type, content_encoding):
    """Determine file extension based on content type and encoding."""
    if 'zip' in content_type.lower():
        return '.zip'
    if 'gzip' in content_type.lower() or content_encoding.lower() == 'gzip':
        return '.gz'
    if 'json' in content_type.lower():
        return '.json'
    if 'csv' in content_type.lower():
        return '.csv'
    return '.bin'

def write_wss_data(bucket, prefix, blob_data, content_type, content_encoding, from_ts, to_ts):
    """Write WSS data to GCS with unique key."""
    ts_path = datetime.fromtimestamp(to_ts, tz=timezone.utc).strftime('%Y/%m/%d')
    uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}"
    ext = determine_extension(content_type, content_encoding)
    blob_name = f"{prefix}{ts_path}/symantec_wss_{int(from_ts)}_{int(to_ts)}_{uniq}{ext}"

    blob = bucket.blob(blob_name)
    blob.upload_from_string(
        blob_data,
        content_type=content_type
    )

    # Set metadata
    blob.metadata = {
        'source': 'symantec-wss',
        'from_timestamp': str(int(from_ts)),
        'to_timestamp': str(int(to_ts)),
        'content_encoding': content_encoding
    }
    blob.patch()

    return blob_name

第二個檔案：requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

點選「部署」來儲存並部署函式。
等待部署作業完成 (2 到 3 分鐘)。

注意： Pub/Sub 觸發條件設定會自動建立必要的訂閱項目和權限。

建立 Cloud Scheduler 工作

Cloud Scheduler 會定期將訊息發布至 Pub/Sub 主題，觸發 Cloud Run 函式。

前往 GCP 主控台的「Cloud Scheduler」。
點選「建立工作」。

請提供下列設定詳細資料：

設定	值
名稱	`symantec-wss-collector-hourly`
區域	選取與 Cloud Run 函式相同的區域
頻率	`0 * * * *` (每小時整點)
時區	選取時區 (建議使用世界標準時間)
目標類型	Pub/Sub
主題	選取 Pub/Sub 主題 (`symantec-wss-trigger`)
郵件內文	`{}` (空白 JSON 物件)

點選「建立」。

排程頻率選項

根據記錄檔量和延遲時間要求選擇頻率：

頻率	Cron 運算式	用途
每 5 分鐘	`/5 * * *`	高容量、低延遲
每 15 分鐘檢查一次	`/15 * * *`	普通量
每小時	`0 * * * *`	標準 (建議採用)
每 6 小時	`0 /6 * *`	少量、批次處理
每日	`0 0 * * *`	歷來資料集合

測試整合項目

在 Cloud Scheduler 控制台中找出您的工作。
按一下「強制執行」，手動觸發工作。
稍等幾秒鐘。
前往「Cloud Run」>「Services」。
按一下函式名稱 (symantec-wss-collector)。
按一下 [Logs] (記錄) 分頁標籤。

確認函式是否已順利執行。請找出以下項目：

Fetching Symantec WSS logs from [start_ms] to [end_ms]
Retrieved X bytes with content-type: [type]
Wrote logs to symantec/wss/YYYY/MM/DD/symantec_wss_[timestamps].[ext]
Successfully processed logs up to [timestamp]

依序前往「Cloud Storage」>「Buckets」。
按一下 bucket 名稱。
前往前置字元資料夾 (symantec/wss/)。
確認是否已建立含有目前時間戳記的新檔案。

如果在記錄中發現錯誤：

HTTP 401：檢查環境變數中的 API 憑證。確認使用者名稱和密碼正確無誤。
HTTP 403：確認 API 憑證已在 WSS 入口網站中啟用「Reporting Access Logs」權限。
HTTP 429：頻率限制 - 函式會自動重試，並延遲一段時間。
缺少環境變數：檢查 Cloud Run 函式設定中是否已設定所有必要變數。

擷取 Google SecOps 服務帳戶

Google SecOps 會使用專屬服務帳戶，從 GCS bucket 讀取資料。您必須授予這個服務帳戶值區存取權。

取得服務帳戶電子郵件地址

依序前往「SIEM 設定」>「動態饋給」。
按一下「新增動態消息」。
按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Symantec WSS logs)。
選取「Google Cloud Storage V2」做為「來源類型」。
選取「Symantec WSS」做為「記錄類型」。
按一下「取得服務帳戶」。系統會顯示專屬的服務帳戶電子郵件地址，例如：
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
複製這個電子郵件地址，以便在下一步中使用。

注意： 每個 Google SecOps 執行個體都有專屬的服務帳戶。請勿使用其他說明文件或範例中的服務帳戶。

將 IAM 權限授予 Google SecOps 服務帳戶

Google SecOps 服務帳戶需要 GCS bucket 的「Storage 物件檢視者」角色。

依序前往「Cloud Storage」>「Buckets」。
按一下 bucket 名稱。
前往「權限」分頁標籤。
按一下「授予存取權」。
請提供下列設定詳細資料：
- 新增主體：貼上 Google SecOps 服務帳戶電子郵件地址。
- 指派角色：選取「Storage 物件檢視者」。
按一下 [儲存]。

注意： 如果打算使用「刪除已轉移的檔案」或「刪除已轉移的檔案並清空目錄」刪除選項，請授予「Storage 物件管理員」角色，而非「Storage 物件檢視者」角色。

在 Google SecOps 中設定動態饋給，擷取 Symantec WSS 記錄

依序前往「SIEM 設定」>「動態饋給」。
按一下「新增動態消息」。
按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Symantec WSS logs)。
選取「Google Cloud Storage V2」做為「來源類型」。
選取「Symantec WSS」做為「記錄類型」。
點選 [下一步]。
指定下列輸入參數的值：
- 儲存空間 bucket URL：輸入 GCS bucket URI，並加上前置路徑：
```
gs://symantec-wss-logs/symantec/wss/
```
  - 取代：
    - symantec-wss-logs：您的 GCS bucket 名稱。
    - symantec/wss/：儲存記錄的選用前置字元/資料夾路徑 (如為根目錄，請留空)。
  - 範例：
    - 根層級 bucket：gs://company-logs/
    - 前置字串：gs://company-logs/symantec-wss/
    - 有子資料夾：gs://company-logs/symantec/wss/
    注意： URI 結尾一律要加上尾端斜線 (/)。
- 來源刪除選項：根據偏好設定選取刪除選項：
  - 永不：移轉後一律不刪除任何檔案 (建議用於測試)。
  - 刪除已轉移的檔案：成功轉移檔案後刪除檔案。
  - 刪除已轉移的檔案和空白目錄：成功轉移後刪除檔案和空白目錄。
    
    注意： 如果選取刪除選項，服務帳戶必須具備「Storage 物件管理員」角色，而非「Storage 物件檢視者」角色。請據此更新 IAM 權限。
- 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。
- 資產命名空間：資產命名空間。
- 擷取標籤：要套用至這個動態饋給事件的標籤。
點選 [下一步]。
在「Finalize」(完成) 畫面中檢查新的動態饋給設定，然後按一下「Submit」(提交)。

UDM 對應表

記錄欄位	UDM 對應	邏輯
category_id	read_only_udm.metadata.product_event_type	如果 category_id 為 1，則 read_only_udm.metadata.product_event_type 會設為 Security。如果 category_id 為 5，則 read_only_udm.metadata.product_event_type 會設為 Policy
collector_device_ip	read_only_udm.principal.ip、read_only_udm.principal.asset.ip	collector_device_ip 欄位的值
connection.bytes_download	read_only_udm.network.received_bytes	connection.bytes_download 欄位的值已轉換為整數
connection.bytes_upload	read_only_udm.network.sent_bytes	connection.bytes_upload 欄位的值已轉換為整數
connection.dst_ip	read_only_udm.target.ip	connection.dst_ip 欄位的值
connection.dst_location.country	read_only_udm.target.location.country_or_region	connection.dst_location.country 欄位的值
connection.dst_name	read_only_udm.target.hostname	connection.dst_name 欄位的值
connection.dst_port	read_only_udm.target.port	connection.dst_port 欄位的值已轉換為整數
connection.http_status	read_only_udm.network.http.response_code	connection.http_status 欄位的值已轉換為整數
connection.http_user_agent	read_only_udm.network.http.user_agent	connection.http_user_agent 欄位的值
connection.src_ip	read_only_udm.principal.ip、read_only_udm.src.ip	connection.src_ip 欄位的值。如果 src_ip 或 collector_device_ip 不是空白，則會對應至 read_only_udm.src.ip
connection.tls.version	read_only_udm.network.tls.version_protocol	connection.tls.version 欄位的值
connection.url.host	read_only_udm.target.hostname	connection.url.host 欄位的值
connection.url.method	read_only_udm.network.http.method	connection.url.method 欄位的值
connection.url.path	read_only_udm.target.url	connection.url.path 欄位的值
connection.url.text	read_only_udm.target.url	connection.url.text 欄位的值
cs_connection_negotiated_cipher	read_only_udm.network.tls.cipher	cs_connection_negotiated_cipher 欄位的值
cs_icap_status	read_only_udm.security_result.description	cs_icap_status 欄位的值
device_id	read_only_udm.target.resource.id、read_only_udm.target.resource.product_object_id	device_id 欄位的值
device_ip	read_only_udm.intermediary.ip、read_only_udm.intermediary.asset.ip	device_ip 欄位的值
device_time	read_only_udm.metadata.collected_timestamp、read_only_udm.metadata.event_timestamp	device_time 欄位的值會轉換為字串。如果 when 為空，則會對應至 read_only_udm.metadata.event_timestamp
主機名稱	read_only_udm.principal.hostname、read_only_udm.principal.asset.hostname	主機名稱欄位的值
log_time	read_only_udm.metadata.event_timestamp	log_time 欄位的值已轉換為時間戳記。如果 when 和 device_time 為空，則會對應至 read_only_udm.metadata.event_timestamp
msg_desc	read_only_udm.metadata.description	msg_desc 欄位的值
os_details	read_only_udm.target.asset.platform_software.platform、read_only_udm.target.asset.platform_software.platform_version	os_details 欄位的值。如果 os_details 不為空白，系統會剖析該值，擷取 os_name 和 os_ver。如果 os_name 包含 Windows，read_only_udm.target.asset.platform_software.platform 會設為 WINDOWS。os_ver 會對應至 read_only_udm.target.asset.platform_software.platform_version
product_data.cs(Referer)	read_only_udm.network.http.referral_url	product_data.cs(Referer) 欄位的值
product_data.r-supplier-country	read_only_udm.principal.location.country_or_region	product_data.r-supplier-country 欄位的值
product_data.s-supplier-ip	read_only_udm.intermediary.ip、read_only_udm.intermediary.asset.ip	product_data.s-supplier-ip 欄位的值
product_data.x-bluecoat-application-name	read_only_udm.target.application	product_data.x-bluecoat-application-name 欄位的值
product_data.x-bluecoat-transaction-uuid	read_only_udm.metadata.product_log_id	product_data.x-bluecoat-transaction-uuid 欄位的值
product_data.x-client-agent-sw	read_only_udm.observer.platform_version	product_data.x-client-agent-sw 欄位的值
product_data.x-client-agent-type	read_only_udm.observer.application	product_data.x-client-agent-type 欄位的值
product_data.x-client-device-id	read_only_udm.target.resource.type、read_only_udm.target.resource.id、read_only_udm.target.resource.product_object_id	如果不是空白，read_only_udm.target.resource.type 會設為 DEVICE。product_data.x-client-device-id 欄位的值會對應至 read_only_udm.target.resource.id 和 read_only_udm.target.resource.product_object_id
product_data.x-client-device-name	read_only_udm.src.hostname、read_only_udm.src.asset.hostname	product_data.x-client-device-name 欄位的值
product_data.x-cs-client-ip-country	read_only_udm.target.location.country_or_region	product_data.x-cs-client-ip-country 欄位的值
product_data.x-cs-connection-negotiated-cipher	read_only_udm.network.tls.cipher	product_data.x-cs-connection-negotiated-cipher 欄位的值
product_data.x-cs-connection-negotiated-ssl-version	read_only_udm.network.tls.version_protocol	product_data.x-cs-connection-negotiated-ssl-version 欄位的值
product_data.x-exception-id	read_only_udm.security_result.summary	product_data.x-exception-id 欄位的值
product_data.x-rs-certificate-hostname	read_only_udm.network.tls.client.server_name	product_data.x-rs-certificate-hostname 欄位的值
product_data.x-rs-certificate-hostname-categories	read_only_udm.security_result.category_details	product_data.x-rs-certificate-hostname-categories 欄位的值
product_data.x-rs-certificate-observed-errors	read_only_udm.network.tls.server.certificate.issuer	product_data.x-rs-certificate-observed-errors 欄位的值
product_data.x-rs-certificate-validate-status	read_only_udm.network.tls.server.certificate.subject	product_data.x-rs-certificate-validate-status 欄位的值
product_name	read_only_udm.metadata.product_name	product_name 欄位的值
product_ver	read_only_udm.metadata.product_version	product_ver 欄位的值
proxy_connection.src_ip	read_only_udm.intermediary.ip、read_only_udm.intermediary.asset.ip	proxy_connection.src_ip 欄位的值
received_bytes	read_only_udm.network.received_bytes	received_bytes 欄位的值已轉換為整數
ref_uid	read_only_udm.metadata.product_log_id	ref_uid 欄位的值
s_action	read_only_udm.metadata.description	s_action 欄位的值
sent_bytes	read_only_udm.network.sent_bytes	sent_bytes 欄位的值已轉換為整數
severity_id	read_only_udm.security_result.severity	如果 severity_id 為 1 或 2，則 read_only_udm.security_result.severity 會設為 LOW。如果 severity_id 為 3 或 4，read_only_udm.security_result.severity 會設為 MEDIUM。如果 severity_id 為 5 或 6，read_only_udm.security_result.severity 會設為 HIGH
supplier_country	read_only_udm.principal.location.country_or_region	supplier_country 欄位的值
target_ip	read_only_udm.target.ip、read_only_udm.target.asset.ip	target_ip 欄位的值
user.full_name	read_only_udm.principal.user.user_display_name	user.full_name 欄位的值
user.name	read_only_udm.principal.user.user_display_name	user.name 欄位的值
user_name	read_only_udm.principal.user.user_display_name	user_name 欄位的值
uuid	read_only_udm.metadata.product_log_id	uuid 欄位的值
時段	read_only_udm.metadata.event_timestamp	欄位轉換為時間戳記時的值
read_only_udm.metadata.event_type		如果主機名稱為空白，且 connection.dst_ip 不為空白，則設為 NETWORK_UNCATEGORIZED。如果主機名稱不為空白，請設為 SCAN_NETWORK。如果 has_principal 和 has_target 均為 true，請設為 NETWORK_CONNECTION。如果 has_principal 為 true 且 has_target 為 false，請設為 STATUS_UPDATE。如果 has_principal 和 has_target 均為 false，請設為 GENERIC_EVENT
read_only_udm.metadata.log_type		一律設為 SYMANTEC_WSS
read_only_udm.metadata.vendor_name		一律設為 SYMANTEC
read_only_udm.security_result.action		如果 product_data.sc-filter_result 為 OBSERVED 或 PROXIED，請設為 ALLOW。如果 product_data.sc-filter_result 為 DENIED，則設為 BLOCK
read_only_udm.security_result.action_details		product_data.sc-filter_result 欄位的值
read_only_udm.target.resource.type		如果 product_data.x-client-device-id 不為空，請設為 DEVICE

需要其他協助嗎？向社群成員和 Google SecOps 專業人員尋求答案。