Collecter les journaux TeamViewer

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux TeamViewer dans Google Security Operations à l'aide de Google Cloud Storage. L'analyseur extrait les événements d'audit des journaux au format JSON. Il parcourt les détails des événements, mappe des propriétés spécifiques aux champs UDM (Unified Data Model), gère les informations sur les participants et les présentateurs, et catégorise les événements en fonction de l'activité des utilisateurs. L'analyseur effectue également des transformations de données, comme la fusion des libellés et la conversion des codes temporels dans un format standardisé.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Une instance Google SecOps
Un projet GCP avec l'API Cloud Storage activée
Autorisations pour créer et gérer des buckets GCS
Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
Accès privilégié à la console de gestion TeamViewer
Licence TeamViewer Business, Premium, Corporate ou Tensor (requise pour accéder à l'API)

Créer un bucket Google Cloud Storage

Accédez à la console Google Cloud.
Sélectionnez votre projet ou créez-en un.
Dans le menu de navigation, accédez à Cloud Storage> Buckets.
Cliquez sur Créer un bucket.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nommer votre bucket	Saisissez un nom unique (par exemple, `teamviewer-logs`).
Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
Emplacement	Sélectionnez l'emplacement (par exemple, `us-central1`).
Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
Access control (Contrôle des accès)	Uniforme (recommandé)
Outils de protection	Facultatif : Activer la gestion des versions des objets ou la règle de conservation

Cliquez sur Créer.

Obtenir les conditions préalables de TeamViewer

Connectez-vous à la console de gestion TeamViewer à l'adresse https://login.teamviewer.com/.
Cliquez sur votre icône utilisateur en haut à droite, puis sélectionnez Modifier le profil.
Sélectionnez Applications.
Cliquez sur Créer un jeton de script.
Fournissez les informations de configuration suivantes :
- Nom du jeton : saisissez un nom descriptif (par exemple, Google SecOps Integration).
- Autorisations : sélectionnez les autorisations suivantes :
  - Gestion du compte > Afficher les données du compte
  - Gestion des sessions > Afficher les données de session
  - Rapports sur les connexions > Afficher les rapports sur les connexions
Cliquez sur Créer.
Copiez et enregistrez le jeton de script généré dans un emplacement sécurisé.

Remarque : Le jeton de script ne s'affiche qu'une seule fois. Si vous le perdez, vous devrez en créer un autre. Le jeton de script doit inclure l'autorisation "Rapports sur les connexions" correspondant au champ d'application Connections.Read requis par /api/v1/reports/connections.
Enregistrez l'URL de base de l'API TeamViewer : https://webapi.teamviewer.com/api/v1

Vérifier les autorisations

Pour vérifier que le compte dispose des autorisations requises :

Connectez-vous à la console de gestion TeamViewer.
Accédez à Modifier le profil > Applications.
Localisez votre jeton de script dans la liste.
Vérifiez que l'option Rapports sur les connexions > Afficher les rapports sur les connexions est activée.
Si cette autorisation n'est pas activée, modifiez le jeton et ajoutez l'autorisation requise.

Tester l'accès à l'API

Testez vos identifiants avant de procéder à l'intégration :

# Replace with your actual script token
SCRIPT_TOKEN="your-script-token"
API_BASE="https://webapi.teamviewer.com/api/v1"

# Test API access
curl -v -H "Authorization: Bearer ${SCRIPT_TOKEN}" \
  -H "Accept: application/json" \
  "${API_BASE}/reports/connections?from_date=2024-01-01T00:00:00Z&to_date=2024-01-01T01:00:00Z"

Si vous recevez une réponse 200 avec des données JSON, vos identifiants sont correctement configurés.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

Dans la console GCP, accédez à IAM et administration > Comptes de service.
Cliquez sur Créer un compte de service.
Fournissez les informations de configuration suivantes :
- Nom du compte de service : saisissez teamviewer-collector-sa.
- Description du compte de service : saisissez Service account for Cloud Run function to collect TeamViewer logs.
Cliquez sur Créer et continuer.
Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
1. Cliquez sur Sélectionner un rôle.
2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
3. Cliquez sur + Ajouter un autre rôle.
4. Recherchez et sélectionnez Demandeur Cloud Run.
5. Cliquez sur + Ajouter un autre rôle.
6. Recherchez et sélectionnez Demandeur Cloud Functions.
Cliquez sur Continuer.
Cliquez sur OK.

Ces rôles sont requis pour : - Administrateur d'objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état - Demandeur Cloud Run : autoriser Pub/Sub à appeler la fonction - Demandeur Cloud Functions : autoriser l'appel de la fonction

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket (par exemple, teamviewer-logs).
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, teamviewer-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Attribuer des rôles : sélectionnez Administrateur des objets Storage.
Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

Dans la console GCP, accédez à Pub/Sub > Sujets.
Cliquez sur Create topic (Créer un sujet).
Fournissez les informations de configuration suivantes :
- ID du sujet : saisissez teamviewer-logs-trigger.
- Conservez les valeurs par défaut des autres paramètres.
Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run est déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API TeamViewer et les écrire dans GCS.

Dans la console GCP, accédez à Cloud Run.
Cliquez sur Créer un service.
Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

Dans la section Configurer, fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom du service	`teamviewer-logs-collector`
Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, `us-central1`).
Runtime (durée d'exécution)	Sélectionnez Python 3.12 ou version ultérieure.

Dans la section Déclencheur (facultatif) :
1. Cliquez sur + Ajouter un déclencheur.
2. Sélectionnez Cloud Pub/Sub.
3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet Pub/Sub (teamviewer-logs-trigger).
4. Cliquez sur Enregistrer.
Dans la section Authentification :
1. Sélectionnez Exiger l'authentification.
2. Consultez Identity and Access Management (IAM).
Remarque : Pub/Sub gère automatiquement l'authentification lors de l'appel de la fonction.
Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.
Accédez à l'onglet Sécurité :
- Compte de service : sélectionnez le compte de service (teamviewer-collector-sa).

Accédez à l'onglet Conteneurs :

Cliquez sur Variables et secrets.
Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

Nom de la variable	Exemple de valeur
`GCS_BUCKET`	`teamviewer-logs`
`GCS_PREFIX`	`teamviewer/audit/`
`STATE_KEY`	`teamviewer/audit/state.json`
`WINDOW_SECONDS`	`3600`
`HTTP_TIMEOUT`	`60`
`MAX_RETRIES`	`3`
`USER_AGENT`	`teamviewer-to-gcs/1.0`
`SCRIPT_TOKEN`	`your-script-token` (à partir des prérequis TeamViewer)
`API_BASE_URL`	`https://webapi.teamviewer.com/api/v1`

Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :
- Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).
Accédez à l'onglet Paramètres :
- Dans la section Ressources :
  - Mémoire : sélectionnez 512 Mio ou plus.
  - CPU : sélectionnez 1.
Dans la section Scaling de révision :
- Nombre minimal d'instances : saisissez 0.
- Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).
Cliquez sur Créer.
Attendez que le service soit créé (1 à 2 minutes).
Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

Saisissez main dans Point d'entrée de la fonction.

Dans l'éditeur de code intégré, créez deux fichiers :

Premier fichier : main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib.request
import urllib.parse
import urllib.error
from datetime import datetime, timezone
import time
import uuid

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch TeamViewer audit logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'teamviewer/audit/')
    state_key = os.environ.get('STATE_KEY', 'teamviewer/audit/state.json')
    window_sec = int(os.environ.get('WINDOW_SECONDS', '3600'))
    http_timeout = int(os.environ.get('HTTP_TIMEOUT', '60'))
    max_retries = int(os.environ.get('MAX_RETRIES', '3'))
    user_agent = os.environ.get('USER_AGENT', 'teamviewer-to-gcs/1.0')

    # TeamViewer API credentials
    api_base_url = os.environ.get('API_BASE_URL')
    script_token = os.environ.get('SCRIPT_TOKEN')

    if not all([bucket_name, api_base_url, script_token]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (last processed timestamp)
        state = load_state(bucket, state_key)
        now = time.time()
        from_ts = float(state.get('last_to_ts') or (now - window_sec))
        to_ts = now

        print(f'Fetching TeamViewer audit data from {iso_format(from_ts)} to {iso_format(to_ts)}')

        # Build audit API URL
        url = build_audit_url(api_base_url, from_ts, to_ts)

        print(f'Fetching TeamViewer audit data from: {url}')

        # Fetch audit data with retries and pagination
        all_records = []
        offset_id = None

        while True:
            blob_data, content_type, next_offset = fetch_audit_data(
                url, script_token, user_agent, http_timeout, max_retries, offset_id
            )

            # Validate JSON data
            try:
                audit_data = json.loads(blob_data)
                records = audit_data.get('records', [])
                all_records.extend(records)
                print(f"Retrieved {len(records)} audit records (total: {len(all_records)})")

                # Check for pagination
                if next_offset and len(records) == 1000:
                    offset_id = next_offset
                    print(f"Fetching next page with offset_id: {offset_id}")
                else:
                    break

            except json.JSONDecodeError as e:
                print(f"Warning: Invalid JSON received: {e}")
                break

        if all_records:
            # Write to GCS
            key = put_audit_data(bucket, prefix, json.dumps({'records': all_records}), 
                               'application/json', from_ts, to_ts)
            print(f'Successfully wrote {len(all_records)} audit records to {key}')
        else:
            print('No audit records found')

        # Update state
        state['last_to_ts'] = to_ts
        state['last_successful_run'] = now
        save_state(bucket, state_key, state)

    except Exception as e:
        print(f'Error processing TeamViewer logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, separators=(',', ':')),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def iso_format(ts):
    """Convert Unix timestamp to ISO 8601 format."""
    return time.strftime('%Y-%m-%dT%H:%M:%SZ', time.gmtime(ts))

def build_audit_url(api_base_url, from_ts, to_ts):
    """Build URL for TeamViewer audit API endpoint."""
    base_endpoint = f"{api_base_url.rstrip('/')}/reports/connections"
    params = {
        'from_date': iso_format(from_ts),
        'to_date': iso_format(to_ts)
    }
    query_string = urllib.parse.urlencode(params)
    return f"{base_endpoint}?{query_string}"

def fetch_audit_data(url, script_token, user_agent, http_timeout, max_retries, offset_id=None):
    """Fetch audit data from TeamViewer API with retries and pagination support."""
    # Add offset_id parameter if provided
    if offset_id:
        separator = '&' if '?' in url else '?'
        url = f"{url}{separator}offset_id={offset_id}"

    attempt = 0
    while True:
        req = urllib.request.Request(url, method='GET')
        req.add_header('User-Agent', user_agent)
        req.add_header('Authorization', f'Bearer {script_token}')
        req.add_header('Accept', 'application/json')

        try:
            with urllib.request.urlopen(req, timeout=http_timeout) as r:
                response_data = r.read()
                content_type = r.headers.get('Content-Type') or 'application/json'

                # Extract next_offset from response if present
                try:
                    data = json.loads(response_data)
                    next_offset = data.get('next_offset')
                except:
                    next_offset = None

                return response_data, content_type, next_offset

        except urllib.error.HTTPError as e:
            if e.code == 429:
                attempt += 1
                print(f'Rate limited (429) on attempt {attempt}')
                if attempt > max_retries:
                    raise
                time.sleep(min(60, 2 ** attempt) + (time.time() % 1))
            else:
                print(f'HTTP error {e.code}: {e.reason}')
                raise
        except urllib.error.URLError as e:
            attempt += 1
            print(f'URL error on attempt {attempt}: {e}')
            if attempt > max_retries:
                raise
            time.sleep(min(60, 2 ** attempt) + (time.time() % 1))

def put_audit_data(bucket, prefix, blob_data, content_type, from_ts, to_ts):
    """Write audit data to GCS."""
    ts_path = time.strftime('%Y/%m/%d', time.gmtime(to_ts))
    uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}"
    key = f"{prefix}{ts_path}/teamviewer_audit_{int(from_ts)}_{int(to_ts)}_{uniq}.json"

    blob = bucket.blob(key)
    blob.metadata = {
        'source': 'teamviewer-audit',
        'from_timestamp': str(int(from_ts)),
        'to_timestamp': str(int(to_ts))
    }
    blob.upload_from_string(blob_data, content_type=content_type)

    return key

Deuxième fichier : requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*

Cliquez sur Déployer pour enregistrer et déployer la fonction.
Attendez la fin du déploiement (deux à trois minutes).

Remarque : Le point de terminaison /api/v1/reports/connections est limité à 1 000 enregistrements par appel. L'implémentation lit next_offset à partir de la réponse et effectue une boucle avec offset_id jusqu'à ce que tous les enregistrements soient récupérés.

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

Dans la console GCP, accédez à Cloud Scheduler.
Cliquez sur Créer une tâche.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom	`teamviewer-logs-collector-hourly`
Région	Sélectionnez la même région que la fonction Cloud Run.
Fréquence	`0 * * * *` (toutes les heures)
Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
Type de cible	Pub/Sub
Topic	Sélectionnez le sujet Pub/Sub (`teamviewer-logs-trigger`).
Corps du message	`{}` (objet JSON vide)

Cliquez sur Créer.

Options de fréquence de planification

Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

Fréquence	Expression Cron	Cas d'utilisation
Toutes les 5 minutes	`/5 * * *`	Volume élevé, faible latence
Toutes les 15 minutes	`/15 * * *`	Volume moyen
Toutes les heures	`0 * * * *`	Standard (recommandé)
Toutes les 6 heures	`0 /6 * *`	Traitement par lot à faible volume
Tous les jours	`0 0 * * *`	Collecte de données historiques

Tester l'intégration

Dans la console Cloud Scheduler, recherchez votre job (teamviewer-logs-collector-hourly).
Cliquez sur Exécuter de force pour déclencher le job manuellement.
Patientez pendant quelques secondes.
Accédez à Cloud Run > Services.
Cliquez sur le nom de la fonction (teamviewer-logs-collector).
Cliquez sur l'onglet Journaux.

Vérifiez que la fonction s'est exécutée correctement. Recherchez les éléments suivants :

Fetching TeamViewer audit data from YYYY-MM-DDTHH:MM:SSZ to YYYY-MM-DDTHH:MM:SSZ
Retrieved X audit records (total: X)
Successfully wrote X audit records to teamviewer/audit/YYYY/MM/DD/teamviewer_audit_...json

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket (teamviewer-logs).
Accédez au dossier de préfixe (teamviewer/audit/).
Vérifiez qu'un fichier .json a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

HTTP 401 : vérifiez que la variable d'environnement SCRIPT_TOKEN correspond à votre jeton de script TeamViewer.
HTTP 403 : vérifiez que le jeton de script dispose de l'autorisation Reporting sur les connexions > Afficher les rapports sur les connexions.
HTTP 429 : limitation du débit. La fonction effectuera automatiquement une nouvelle tentative avec un intervalle exponentiel entre les tentatives.
Variables d'environnement manquantes : vérifiez que toutes les variables requises (GCS_BUCKET, API_BASE_URL, SCRIPT_TOKEN) sont définies.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, TeamViewer logs).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez TeamViewer comme Type de journal.
Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Remarque : Chaque instance Google SecOps possède un compte de service unique. N'utilisez pas de comptes de service provenant d'autres documentations ou exemples.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket (teamviewer-logs).
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
- Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
Cliquez sur Enregistrer.

Remarque : Si vous prévoyez d'utiliser l'option de suppression "Supprimer les fichiers transférés" ou "Supprimer les fichiers transférés et les répertoires vides", accordez le rôle Administrateur des objets Storage au lieu de Lecteur des objets Storage.

Configurer un flux dans Google SecOps pour ingérer les journaux TeamViewer

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, TeamViewer logs).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez TeamViewer comme Type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :
```
gs://teamviewer-logs/teamviewer/audit/
```
  - Remplacez :
    - teamviewer-logs : nom de votre bucket GCS.
    - teamviewer/audit/ : préfixe/chemin d'accès au dossier dans lequel les journaux sont stockés.
  Remarque : Incluez toujours la barre oblique (/) à la fin de l'URI.
- Option de suppression de la source : sélectionnez l'option de suppression de votre choix :
  - Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
  - Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
  - Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.
    
    Remarque : Si vous sélectionnez une option de suppression, le compte de service doit disposer du rôle Administrateur des objets Storage au lieu de celui de lecteur. Mettez à jour les autorisations IAM en conséquence.
- Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
AffectedItem	metadata.product_log_id	La valeur AffectedItem du journal brut est directement mappée sur ce champ UDM.
EventDetails.NewValue	principal.resource.attribute.labels.value	Si PropertyName contient (server), NewValue est utilisé comme valeur d'un libellé dans principal.resource.attribute.labels.
EventDetails.NewValue	principal.user.user_display_name	Si PropertyName est "Name of participant", NewValue est utilisé comme nom à afficher de l'utilisateur pour le principal.
EventDetails.NewValue	principal.user.userid	Si PropertyName est l'ID du participant, NewValue est utilisé comme ID utilisateur pour le principal.
EventDetails.NewValue	security_result.about.labels.value	Pour toutes les autres valeurs PropertyName (à l'exception de celles gérées par des conditions spécifiques), NewValue est utilisé comme valeur d'un libellé dans le tableau security_result.about.labels.
EventDetails.NewValue	target.file.full_path	Si PropertyName est "Fichier source", NewValue est utilisé comme chemin d'accès complet au fichier cible.
EventDetails.NewValue	target.resource.attribute.labels.value	Si PropertyName contient (client), NewValue est utilisé comme valeur d'un libellé dans target.resource.attribute.labels.
EventDetails.NewValue	target.user.user_display_name	Si PropertyName est "Name of presenter", NewValue est analysé. Si la valeur est un entier, elle est ignorée. Sinon, il est utilisé comme nom à afficher de l'utilisateur pour la cible.
EventDetails.NewValue	target.user.userid	Si PropertyName est l'ID du présentateur, NewValue est utilisé comme ID utilisateur pour la cible.
EventDetails.PropertyName	principal.resource.attribute.labels.key	Si PropertyName contient (server), PropertyName est utilisé comme clé d'un libellé dans principal.resource.attribute.labels.
EventDetails.PropertyName	security_result.about.labels.key	Pour toutes les autres valeurs PropertyName (à l'exception de celles gérées par des conditions spécifiques), PropertyName est utilisé comme clé d'un libellé dans le tableau security_result.about.labels.
EventDetails.PropertyName	target.resource.attribute.labels.key	Si PropertyName contient (client), PropertyName est utilisé comme clé d'un libellé dans target.resource.attribute.labels.
Nom d'événement	metadata.product_event_type	La valeur de EventName du journal brut est directement mappée à ce champ UDM.
Horodatage	metadata.event_timestamp	La valeur de l'horodatage du journal brut est analysée et utilisée comme horodatage de l'événement dans les métadonnées.
metadata.event_type		Définissez la valeur sur USER_UNCATEGORIZED si src_user (dérivé de l'ID du participant) n'est pas vide, sinon définissez-la sur USER_RESOURCE_ACCESS.
metadata.vendor_name		Codé en dur pour TEAMVIEWER.
metadata.product_name		Codé en dur pour TEAMVIEWER.
network.application_protocol		Codé en dur pour TEAMVIEWER.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.