Recopila registros de TeamViewer

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de TeamViewer a Google Security Operations con Google Cloud Storage. El analizador extrae los eventos de auditoría de los registros con formato JSON. Itera los detalles del evento, asigna propiedades específicas a los campos del Modelo de datos unificado (UDM), controla la información del participante y del presentador, y categoriza los eventos según la actividad del usuario. El analizador también realiza transformaciones de datos, como combinar etiquetas y convertir marcas de tiempo a un formato estandarizado.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Un proyecto de GCP con la API de Cloud Storage habilitada
Permisos para crear y administrar buckets de GCS
Permisos para administrar políticas de IAM en buckets de GCS
Permisos para crear servicios de Cloud Run, temas de Pub/Sub y trabajos de Cloud Scheduler
Acceso con privilegios a la consola de administración de TeamViewer
Licencia de TeamViewer Business, Premium, Corporate o Tensor (obligatoria para acceder a la API)

Crea un bucket de Google Cloud Storage

Ve a Google Cloud Console.
Selecciona tu proyecto o crea uno nuevo.
En el menú de navegación, ve a Cloud Storage > Buckets.
Haz clic en Crear bucket.

Proporciona los siguientes detalles de configuración:

Configuración	Valor
Asigna un nombre a tu bucket	Ingresa un nombre global único (por ejemplo, `teamviewer-logs`).
Tipo de ubicación	Elige según tus necesidades (región, birregional, multirregional)
Ubicación	Selecciona la ubicación (por ejemplo, `us-central1`).
Clase de almacenamiento	Estándar (recomendado para los registros a los que se accede con frecuencia)
Control de acceso	Uniforme (recomendado)
Herramientas de protección	Opcional: Habilita el control de versiones de objetos o la política de retención

Haz clic en Crear.

Obtén los requisitos previos de TeamViewer

Accede a TeamViewer Management Console en https://login.teamviewer.com/.
Haz clic en el ícono de usuario en la esquina superior derecha y selecciona Editar perfil.
Selecciona Apps.
Haz clic en Crear token de secuencia de comandos.
Proporciona los siguientes detalles de configuración:
- Nombre del token: Ingresa un nombre descriptivo (por ejemplo, Google SecOps Integration).
- Permisos: Selecciona los siguientes permisos:
  - Administración de la cuenta > Ver datos de la cuenta
  - Administración de sesiones > Ver datos de la sesión
  - Informes de conexión > Ver informes de conexión
Haz clic en Crear.
Copia y guarda el token de la secuencia de comandos generada en una ubicación segura.

Nota: El token de la secuencia de comandos solo se mostrará una vez. Si lo pierdes, deberás crear uno nuevo. El token de la secuencia de comandos debe incluir el permiso de Connection reporting correspondiente al alcance de Connections.Read que requiere /api/v1/reports/connections.
Registra la URL base de la API de TeamViewer: https://webapi.teamviewer.com/api/v1

Verifica los permisos

Para verificar que la cuenta tenga los permisos necesarios, sigue estos pasos:

Accede a la Consola de administración de TeamViewer.
Ve a Editar perfil > Apps.
Ubica el token de tu secuencia de comandos en la lista.
Verifica que Informes de conexión > Ver informes de conexión esté habilitado.
Si este permiso no está habilitado, edita el token y agrega el permiso requerido.

Prueba el acceso a la API

Prueba tus credenciales antes de continuar con la integración:

# Replace with your actual script token
SCRIPT_TOKEN="your-script-token"
API_BASE="https://webapi.teamviewer.com/api/v1"

# Test API access
curl -v -H "Authorization: Bearer ${SCRIPT_TOKEN}" \
  -H "Accept: application/json" \
  "${API_BASE}/reports/connections?from_date=2024-01-01T00:00:00Z&to_date=2024-01-01T01:00:00Z"

Si recibes una respuesta 200 con datos JSON, tus credenciales están configuradas correctamente.

Crea una cuenta de servicio para la Cloud Run Function

La Cloud Run Function necesita una cuenta de servicio con permisos para escribir en el bucket de GCS y ser invocada por Pub/Sub.

Crear cuenta de servicio

En GCP Console, ve a IAM y administración > Cuentas de servicio.
Haz clic en Crear cuenta de servicio.
Proporciona los siguientes detalles de configuración:
- Nombre de la cuenta de servicio: Ingresa teamviewer-collector-sa.
- Descripción de la cuenta de servicio: Ingresa Service account for Cloud Run function to collect TeamViewer logs.
Haz clic en Crear y continuar.
En la sección Otorga a esta cuenta de servicio acceso al proyecto, agrega los siguientes roles:
1. Haz clic en Selecciona un rol.
2. Busca y selecciona Administrador de objetos de almacenamiento.
3. Haz clic en + Agregar otra función.
4. Busca y selecciona Invocador de Cloud Run.
5. Haz clic en + Agregar otra función.
6. Busca y selecciona Cloud Functions Invoker.
Haz clic en Continuar.
Haz clic en Listo.

Estos roles son necesarios para lo siguiente: - Administrador de objetos de Storage: Escribe registros en el bucket de GCS y administra archivos de estado - Invocador de Cloud Run: Permite que Pub/Sub invoque la función - Invocador de Cloud Functions: Permite la invocación de la función

Otorga permisos de IAM en el bucket de GCS

Otorga permisos de escritura a la cuenta de servicio en el bucket de GCS:

Ve a Cloud Storage > Buckets.
Haz clic en el nombre de tu bucket (por ejemplo, teamviewer-logs).
Ve a la pestaña Permisos.
Haz clic en Otorgar acceso.
Proporciona los siguientes detalles de configuración:
- Agregar principales: Ingresa el correo electrónico de la cuenta de servicio (por ejemplo, teamviewer-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Asignar roles: Selecciona Administrador de objetos de Storage.
Haz clic en Guardar.

Crear tema de Pub/Sub

Crea un tema de Pub/Sub en el que Cloud Scheduler publicará y al que se suscribirá la función de Cloud Run.

En GCP Console, ve a Pub/Sub > Temas.
Haz clic en Crear un tema.
Proporciona los siguientes detalles de configuración:
- ID del tema: Ingresa teamviewer-logs-trigger.
- Deja el resto de la configuración con sus valores predeterminados.
Haz clic en Crear.

Crea una función de Cloud Run para recopilar registros

La función de Cloud Run se activa con los mensajes de Pub/Sub de Cloud Scheduler para recuperar los registros de la API de TeamViewer y escribirlos en GCS.

En GCP Console, ve a Cloud Run.
Haz clic en Crear servicio.
Selecciona Función (usa un editor intercalado para crear una función).

En la sección Configurar, proporciona los siguientes detalles de configuración:

Configuración	Valor
Nombre del servicio	`teamviewer-logs-collector`
Región	Selecciona la región que coincida con tu bucket de GCS (por ejemplo, `us-central1`).
Tiempo de ejecución	Selecciona Python 3.12 o una versión posterior.

En la sección Activador (opcional), haz lo siguiente:
1. Haz clic en + Agregar activador.
2. Selecciona Cloud Pub/Sub.
3. En Selecciona un tema de Cloud Pub/Sub, elige el tema de Pub/Sub (teamviewer-logs-trigger).
4. Haz clic en Guardar.
En la sección Autenticación, haz lo siguiente:
1. Selecciona Solicitar autenticación.
2. Verifica Identity and Access Management (IAM).
Nota: Pub/Sub controla automáticamente la autenticación cuando invoca la función.
Desplázate hacia abajo y expande Contenedores, redes y seguridad.
Ve a la pestaña Seguridad:
- Cuenta de servicio: Selecciona la cuenta de servicio (teamviewer-collector-sa).

Ve a la pestaña Contenedores:

Haz clic en Variables y secretos.
Haz clic en + Agregar variable para cada variable de entorno:

Nombre de la variable	Valor de ejemplo
`GCS_BUCKET`	`teamviewer-logs`
`GCS_PREFIX`	`teamviewer/audit/`
`STATE_KEY`	`teamviewer/audit/state.json`
`WINDOW_SECONDS`	`3600`
`HTTP_TIMEOUT`	`60`
`MAX_RETRIES`	`3`
`USER_AGENT`	`teamviewer-to-gcs/1.0`
`SCRIPT_TOKEN`	`your-script-token` (de los requisitos previos de TeamViewer)
`API_BASE_URL`	`https://webapi.teamviewer.com/api/v1`

En la sección Variables y Secrets, desplázate hacia abajo hasta Solicitudes:
- Tiempo de espera de la solicitud: Ingresa 600 segundos (10 minutos).
Ve a la pestaña Configuración:
- En la sección Recursos, haz lo siguiente:
  - Memoria: Selecciona 512 MiB o más.
  - CPU: Selecciona 1.
En la sección Ajuste de escala de revisión, haz lo siguiente:
- Cantidad mínima de instancias: Ingresa 0.
- Cantidad máxima de instancias: Ingresa 100 (o ajusta según la carga esperada).
Haz clic en Crear.
Espera a que se cree el servicio (de 1 a 2 minutos).
Después de crear el servicio, se abrirá automáticamente el editor de código intercalado.

Agregar el código de función

Ingresa main en Punto de entrada de la función.

En el editor de código intercalado, crea dos archivos:

Primer archivo: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib.request
import urllib.parse
import urllib.error
from datetime import datetime, timezone
import time
import uuid

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch TeamViewer audit logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'teamviewer/audit/')
    state_key = os.environ.get('STATE_KEY', 'teamviewer/audit/state.json')
    window_sec = int(os.environ.get('WINDOW_SECONDS', '3600'))
    http_timeout = int(os.environ.get('HTTP_TIMEOUT', '60'))
    max_retries = int(os.environ.get('MAX_RETRIES', '3'))
    user_agent = os.environ.get('USER_AGENT', 'teamviewer-to-gcs/1.0')

    # TeamViewer API credentials
    api_base_url = os.environ.get('API_BASE_URL')
    script_token = os.environ.get('SCRIPT_TOKEN')

    if not all([bucket_name, api_base_url, script_token]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (last processed timestamp)
        state = load_state(bucket, state_key)
        now = time.time()
        from_ts = float(state.get('last_to_ts') or (now - window_sec))
        to_ts = now

        print(f'Fetching TeamViewer audit data from {iso_format(from_ts)} to {iso_format(to_ts)}')

        # Build audit API URL
        url = build_audit_url(api_base_url, from_ts, to_ts)

        print(f'Fetching TeamViewer audit data from: {url}')

        # Fetch audit data with retries and pagination
        all_records = []
        offset_id = None

        while True:
            blob_data, content_type, next_offset = fetch_audit_data(
                url, script_token, user_agent, http_timeout, max_retries, offset_id
            )

            # Validate JSON data
            try:
                audit_data = json.loads(blob_data)
                records = audit_data.get('records', [])
                all_records.extend(records)
                print(f"Retrieved {len(records)} audit records (total: {len(all_records)})")

                # Check for pagination
                if next_offset and len(records) == 1000:
                    offset_id = next_offset
                    print(f"Fetching next page with offset_id: {offset_id}")
                else:
                    break

            except json.JSONDecodeError as e:
                print(f"Warning: Invalid JSON received: {e}")
                break

        if all_records:
            # Write to GCS
            key = put_audit_data(bucket, prefix, json.dumps({'records': all_records}), 
                               'application/json', from_ts, to_ts)
            print(f'Successfully wrote {len(all_records)} audit records to {key}')
        else:
            print('No audit records found')

        # Update state
        state['last_to_ts'] = to_ts
        state['last_successful_run'] = now
        save_state(bucket, state_key, state)

    except Exception as e:
        print(f'Error processing TeamViewer logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, separators=(',', ':')),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def iso_format(ts):
    """Convert Unix timestamp to ISO 8601 format."""
    return time.strftime('%Y-%m-%dT%H:%M:%SZ', time.gmtime(ts))

def build_audit_url(api_base_url, from_ts, to_ts):
    """Build URL for TeamViewer audit API endpoint."""
    base_endpoint = f"{api_base_url.rstrip('/')}/reports/connections"
    params = {
        'from_date': iso_format(from_ts),
        'to_date': iso_format(to_ts)
    }
    query_string = urllib.parse.urlencode(params)
    return f"{base_endpoint}?{query_string}"

def fetch_audit_data(url, script_token, user_agent, http_timeout, max_retries, offset_id=None):
    """Fetch audit data from TeamViewer API with retries and pagination support."""
    # Add offset_id parameter if provided
    if offset_id:
        separator = '&' if '?' in url else '?'
        url = f"{url}{separator}offset_id={offset_id}"

    attempt = 0
    while True:
        req = urllib.request.Request(url, method='GET')
        req.add_header('User-Agent', user_agent)
        req.add_header('Authorization', f'Bearer {script_token}')
        req.add_header('Accept', 'application/json')

        try:
            with urllib.request.urlopen(req, timeout=http_timeout) as r:
                response_data = r.read()
                content_type = r.headers.get('Content-Type') or 'application/json'

                # Extract next_offset from response if present
                try:
                    data = json.loads(response_data)
                    next_offset = data.get('next_offset')
                except:
                    next_offset = None

                return response_data, content_type, next_offset

        except urllib.error.HTTPError as e:
            if e.code == 429:
                attempt += 1
                print(f'Rate limited (429) on attempt {attempt}')
                if attempt > max_retries:
                    raise
                time.sleep(min(60, 2 ** attempt) + (time.time() % 1))
            else:
                print(f'HTTP error {e.code}: {e.reason}')
                raise
        except urllib.error.URLError as e:
            attempt += 1
            print(f'URL error on attempt {attempt}: {e}')
            if attempt > max_retries:
                raise
            time.sleep(min(60, 2 ** attempt) + (time.time() % 1))

def put_audit_data(bucket, prefix, blob_data, content_type, from_ts, to_ts):
    """Write audit data to GCS."""
    ts_path = time.strftime('%Y/%m/%d', time.gmtime(to_ts))
    uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}"
    key = f"{prefix}{ts_path}/teamviewer_audit_{int(from_ts)}_{int(to_ts)}_{uniq}.json"

    blob = bucket.blob(key)
    blob.metadata = {
        'source': 'teamviewer-audit',
        'from_timestamp': str(int(from_ts)),
        'to_timestamp': str(int(to_ts))
    }
    blob.upload_from_string(blob_data, content_type=content_type)

    return key

Segundo archivo: requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*

Haz clic en Implementar para guardar y, luego, implementar la función.
Espera a que se complete la implementación (de 2 a 3 minutos).

Nota: El extremo /api/v1/reports/connections está limitado a 1,000 registros por llamada. La implementación lee next_offset de la respuesta y realiza un bucle con offset_id hasta que se recuperan todos los registros.

Crea un trabajo de Cloud Scheduler

Cloud Scheduler publica mensajes en el tema de Pub/Sub a intervalos regulares, lo que activa la función de Cloud Run.

En GCP Console, ve a Cloud Scheduler.
Haz clic en Crear trabajo.

Proporciona los siguientes detalles de configuración:

Configuración	Valor
Nombre	`teamviewer-logs-collector-hourly`
Región	Selecciona la misma región que la función de Cloud Run
Frecuencia	`0 * * * *` (cada hora, en punto)
Zona horaria	Selecciona la zona horaria (se recomienda UTC)
Tipo de orientación	Pub/Sub
Tema	Selecciona el tema de Pub/Sub (`teamviewer-logs-trigger`).
Cuerpo del mensaje	`{}` (objeto JSON vacío)

Haz clic en Crear.

Opciones de frecuencia de programación

Elige la frecuencia según los requisitos de latencia y volumen de registros:

Frecuencia	Expresión cron	Caso de uso
Cada 5 minutos	`/5 * * *`	Alto volumen y baja latencia
Cada 15 minutos	`/15 * * *`	Volumen medio
Cada 1 hora	`0 * * * *`	Estándar (opción recomendada)
Cada 6 horas	`0 /6 * *`	Procesamiento por lotes y volumen bajo
Diario	`0 0 * * *`	Recopilación de datos históricos

Prueba la integración

En la consola de Cloud Scheduler, busca tu trabajo (teamviewer-logs-collector-hourly).
Haz clic en Forzar ejecución para activar el trabajo de forma manual.
Espera unos segundos.
Ve a Cloud Run > Servicios.
Haz clic en el nombre de la función (teamviewer-logs-collector).
Haz clic en la pestaña Registros.

Verifica que la función se haya ejecutado correctamente. Busca lo siguiente:

Fetching TeamViewer audit data from YYYY-MM-DDTHH:MM:SSZ to YYYY-MM-DDTHH:MM:SSZ
Retrieved X audit records (total: X)
Successfully wrote X audit records to teamviewer/audit/YYYY/MM/DD/teamviewer_audit_...json

Ve a Cloud Storage > Buckets.
Haz clic en el nombre de tu bucket (teamviewer-logs).
Navega a la carpeta del prefijo (teamviewer/audit/).
Verifica que se haya creado un archivo .json nuevo con la marca de tiempo actual.

Si ves errores en los registros, haz lo siguiente:

HTTP 401: Verifica que la variable de entorno SCRIPT_TOKEN coincida con el token de la secuencia de comandos de TeamViewer.
HTTP 403: Verifica que el token de la secuencia de comandos tenga permiso de Informes de conexión > Ver informes de conexión.
HTTP 429: Limitación de frecuencia. La función volverá a intentarlo automáticamente con una espera exponencial.
Faltan variables de entorno: Verifica que estén configuradas todas las variables obligatorias (GCS_BUCKET, API_BASE_URL, SCRIPT_TOKEN).

Recupera la cuenta de servicio de Google SecOps

Las Operaciones de seguridad de Google usan una cuenta de servicio única para leer datos de tu bucket de GCS. Debes otorgar acceso a tu bucket a esta cuenta de servicio.

Obtén el correo electrónico de la cuenta de servicio

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
Haz clic en Configura un feed único.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, TeamViewer logs).
Selecciona Google Cloud Storage V2 como el Tipo de fuente.
Selecciona TeamViewer como el Tipo de registro.
Haz clic en Obtener cuenta de servicio. Se muestra un correo electrónico único de la cuenta de servicio, por ejemplo:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia esta dirección de correo electrónico para usarla en el siguiente paso.

Nota: Cada instancia de Google SecOps tiene una cuenta de servicio única. No uses cuentas de servicio de otros ejemplos o documentación.

Otorga permisos de IAM a la cuenta de servicio de Google SecOps

La cuenta de servicio de Google SecOps necesita el rol de visualizador de objetos de almacenamiento en tu bucket de GCS.

Ve a Cloud Storage > Buckets.
Haz clic en el nombre de tu bucket (teamviewer-logs).
Ve a la pestaña Permisos.
Haz clic en Otorgar acceso.
Proporciona los siguientes detalles de configuración:
- Agregar principales: Pega el correo electrónico de la cuenta de servicio de Google SecOps.
- Asignar roles: Selecciona Visualizador de objetos de Storage.
Haz clic en Guardar.

Nota: Si planeas usar la opción de eliminación "Borrar archivos transferidos" o "Borrar archivos transferidos y directorios vacíos", otorga el rol de Administrador de objetos de Storage en lugar del rol de Visualizador de objetos de Storage.

Configura un feed en Google SecOps para transferir registros de TeamViewer

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
Haz clic en Configura un feed único.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, TeamViewer logs).
Selecciona Google Cloud Storage V2 como el Tipo de fuente.
Selecciona TeamViewer como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URL del bucket de almacenamiento: Ingresa el URI del bucket de GCS con la ruta de acceso del prefijo:
```
gs://teamviewer-logs/teamviewer/audit/
```
  - Reemplaza lo siguiente:
    - teamviewer-logs: Es el nombre de tu bucket de GCS.
    - teamviewer/audit/: Es el prefijo o la ruta de acceso a la carpeta en la que se almacenan los registros.
  Nota: Siempre incluye la barra diagonal final (/) al final del URI.
- Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:
  - Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
  - Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.
  - Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.
    
    Nota: Si seleccionas una opción de eliminación, la cuenta de servicio debe tener el rol de administrador de objetos de Storage en lugar del rol de visualizador de objetos de Storage. Actualiza los permisos de IAM según corresponda.
- Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
AffectedItem	metadata.product_log_id	El valor de AffectedItem del registro sin procesar se asigna directamente a este campo de UDM.
EventDetails.NewValue	principal.resource.attribute.labels.value	Si PropertyName contiene (servidor), NewValue se usa como el valor de una etiqueta en principal.resource.attribute.labels.
EventDetails.NewValue	principal.user.user_display_name	Si PropertyName es Name of participant, NewValue se usa como el nombre visible del usuario para el principal.
EventDetails.NewValue	principal.user.userid	Si PropertyName es el ID del participante, NewValue se usa como el ID de usuario de la principal.
EventDetails.NewValue	security_result.about.labels.value	Para todos los demás valores de PropertyName (excepto los que se controlan con condiciones específicas), se usa NewValue como el valor de una etiqueta dentro del array security_result.about.labels.
EventDetails.NewValue	target.file.full_path	Si PropertyName es Source file, NewValue se usa como la ruta de acceso completa del archivo de destino.
EventDetails.NewValue	target.resource.attribute.labels.value	Si PropertyName contiene (client), se usa NewValue como el valor de una etiqueta en target.resource.attribute.labels.
EventDetails.NewValue	target.user.user_display_name	Si PropertyName es Name of presenter, se analiza NewValue. Si es un número entero, se descarta. De lo contrario, se usa como el nombre visible del usuario para el destino.
EventDetails.NewValue	target.user.userid	Si PropertyName es el ID del presentador, NewValue se usa como el ID de usuario del objetivo.
EventDetails.PropertyName	principal.resource.attribute.labels.key	Si PropertyName contiene (servidor), se usa como clave de una etiqueta en principal.resource.attribute.labels.
EventDetails.PropertyName	security_result.about.labels.key	Para todos los demás valores de PropertyName (excepto los que se controlan con condiciones específicas), PropertyName se usa como la clave de una etiqueta dentro del array security_result.about.labels.
EventDetails.PropertyName	target.resource.attribute.labels.key	Si PropertyName contiene (client), se usa como clave de una etiqueta en target.resource.attribute.labels.
EventName	metadata.product_event_type	El valor de EventName del registro sin procesar se asigna directamente a este campo de UDM.
Marca de tiempo	metadata.event_timestamp	El valor de Timestamp del registro sin procesar se analiza y se usa como la marca de tiempo del evento en los metadatos.
metadata.event_type		Se establece en USER_UNCATEGORIZED si src_user (derivado del ID del participante) no está vacío; de lo contrario, se establece en USER_RESOURCE_ACCESS.
metadata.vendor_name		Está codificado como TEAMVIEWER.
metadata.product_name		Está codificado como TEAMVIEWER.
network.application_protocol		Está codificado como TEAMVIEWER.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.