Versa Networks Secure Access Service Edge-Logs (SASE) erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie die Protokolle von Versa Networks Secure Access Service Edge (SASE) erfassen können. Der Parser extrahiert Schlüssel/Wert-Paare nach einem ersten Grok-Filter. Anschließend werden diese Werte dem Unified Data Model (UDM) zugeordnet. Dabei werden verschiedene Logformate wie Firewallereignisse, Anwendungsprotokolle und Alarmprotokolle verarbeitet. Außerdem werden Konvertierungen und Anreicherungen für bestimmte Felder wie IP-Protokoll und Risikobewertung durchgeführt.

Hinweise

  • Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
  • Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
  • Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
  • Prüfen Sie, ob Sie privilegierten Zugriff auf Versa SASE haben.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem der BindPlane-Agent installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

  1. Greifen Sie auf die Konfigurationsdatei zu:

    • Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: `/path/to/ingestion-authentication-file.json`
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: versa_networks_sase
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie unter Linux den folgenden Befehl aus, um den Bindplane-Agent neu zu starten:

    sudo systemctl restart bindplane-agent

  • Unter Windows können Sie den Bindplane-Agent entweder über die Konsole Dienste neu starten oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

SASE von Versa Networks konfigurieren

Administratoren müssen auf jedem Versa Analytics-Knoten Remote-Collector konfigurieren, um Protokolle an Drittanbietersysteme weiterzuleiten.

So konfigurieren Sie die Versa-Analysen-Knoten:

  • Protokollweiterleitung aktivieren
  • Logging von Sitzungs-IDs aktivieren

Protokollweiterleitung aktivieren

  1. Melde dich auf dem Versa-Analytics-Server an.
  2. Rufen Sie die CLI auf, indem Sie den Befehl cli ausführen.
  3. Wechseln Sie mit dem Befehl configure in den Konfigurationsmodus und geben Sie dann load merge terminal ein.

  4. Kopieren Sie die folgenden Befehle und fügen Sie sie ein, um die Logweiterleitung einzurichten:

    • Ersetzen Sie <collector_ip> und <collector_port> durch die IP-Adresse und den Port Ihres Syslog-Collectors (Bindplane).
    set system analytics log-collector-exporter destination-address <collector_ip>
set system analytics log-collector-exporter destination-port <collector_port>
set system analytics log-collector-exporter transport tcp
set system analytics log-collector-exporter log-types firewall-log
set system analytics log-collector-exporter log-types threat-log
commit

  5. Konfiguration speichern:

    save

Logging von Sitzungs-IDs aktivieren

Wenn Sie IP-bezogene Informationen protokollieren möchten, aktivieren Sie die Protokollierung der Sitzungs-ID.

  1. Melden Sie sich in Versa Director an.
  2. Wechseln Sie zur Director View.
  3. Rufen Sie Geräteansicht auf, indem Sie zu Konfiguration > Geräte > Mandant > Gerät gehen.
  4. Wählen Sie Konfiguration > Sonstiges > System > Konfiguration > Konfiguration aus.
  5. Klicken Sie im Bereich Parameter auf Bearbeiten.
  6. Wählen Sie im Fenster Parameter bearbeiten die Option LEF aus.

  7. Klicken Sie im Bereich Firewall das Kästchen Logging von Sitzungs-IDs einschließen an.

  8. Klicken Sie auf OK.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
accCkt additional.fields[].key: „accCkt“
additional.fields[].value.string_value: accCkt		 Wert, der direkt aus dem Feld accCkt übernommen wird.
accCktId additional.fields[].key: "accCktId"
additional.fields[].value.string_value: accCktId		 Wert, der direkt aus dem Feld accCktId übernommen wird.
accCktName additional.fields[].key: „accCktName“
additional.fields[].value.string_value: accCktName		 Wert, der direkt aus dem Feld accCktName übernommen wird.
accessType additional.fields[].key: "accessType"
additional.fields[].value.string_value: accessType		 Wert, der direkt aus dem Feld accessType übernommen wird.
action security_result.action: action Wenn action, type, idpAction, avAction oder urlAction „allow“ ist, dann ALLOW. Wenn action, type, idpAction, avAction oder urlAction „reject“, „drop“, „block“ oder „deny“ sind, dann BLOCK. Wenn idpAction etwas anderes als UNKNOWN_ACTION ist.
alarmCause security_result.detection_fields[].key: "alarmCause"
security_result.detection_fields[].value: alarmCause		 Wert, der direkt aus dem Feld alarmCause übernommen wird.
alarmClass security_result.detection_fields[].key: "alarmClass"
security_result.detection_fields[].value: alarmClass		 Wert, der direkt aus dem Feld alarmClass übernommen wird.
alarmClearable security_result.detection_fields[].key: "alarmClearable"
security_result.detection_fields[].value: alarmClearable		 Wert, der direkt aus dem Feld alarmClearable übernommen wird.
alarmEventType metadata.product_event_type: alarmEventType Wert, der direkt aus dem Feld alarmEventType übernommen wird.
alarmKey security_result.detection_fields[].key: "alarmKey"
security_result.detection_fields[].value: alarmKey		 Wert, der direkt aus dem Feld alarmKey übernommen wird.
alarmKind security_result.detection_fields[].key: "alarmKind"
security_result.detection_fields[].value: alarmKind		 Wert, der direkt aus dem Feld alarmKind übernommen wird.
alarmOwner security_result.detection_fields[].key: "alarmOwner"
security_result.detection_fields[].value: alarmOwner		 Wert, der direkt aus dem Feld alarmOwner übernommen wird.
alarmSeqNo security_result.detection_fields[].key: „alarmSeqNo“
security_result.detection_fields[].value: alarmSeqNo		 Wert, der direkt aus dem Feld alarmSeqNo übernommen wird.
alarmSeverity security_result.severity_details: alarmSeverity Wert, der direkt aus dem Feld alarmSeverity übernommen wird.
alarmText security_result.summary: alarmText Der Wert wird direkt aus dem Feld alarmText übernommen, wobei doppelte Anführungszeichen entfernt werden.
alarmType security_result.description: alarmType Wert, der direkt aus dem Feld alarmType übernommen wird.
appFamily metadata.product_event_type: appFamily
security_result.detection_fields[].key: "appFamily"
security_result.detection_fields[].value: appFamily		 Wert, der direkt aus dem Feld appFamily übernommen wird.
appId security_result.detection_fields[].key: „Application ID“
security_result.detection_fields[].value: appId		 Wert, der direkt aus dem Feld appId übernommen wird.
appIdStr security_result.detection_fields[].key: "appIdStr"
security_result.detection_fields[].value: appIdStr		 Wert, der direkt aus dem Feld appIdStr übernommen wird.
applianceName principal.hostname: applianceName Der Wert wird direkt aus dem Feld applianceName, siteName oder site übernommen.
appProductivity security_result.detection_fields[].key: "appProductivity"
security_result.detection_fields[].value: appProductivity		 Wert, der direkt aus dem Feld appProductivity übernommen wird.
appRisk security_result.severity_details: appRisk Wert, der direkt aus dem Feld appRisk übernommen wird.
appSubFamily security_result.detection_fields[].key: "appSubFamily"
security_result.detection_fields[].value: appSubFamily		 Wert, der direkt aus dem Feld appSubFamily übernommen wird.
avAccuracy additional.fields[].key: „avAccuracy“
additional.fields[].value.string_value: avAccuracy		 Wert, der direkt aus dem Feld avAccuracy übernommen wird.
avAction security_result.action: avAction Die Logik finden Sie unter action.
avMalwareName security_result.threat_name: avMalwareName Wert, der direkt aus dem Feld avMalwareName übernommen wird.
avMalwareType security_result.category_details: avMalwareType Wert, der direkt aus dem Feld avMalwareType übernommen wird.
classMsg security_result.description: classMsg Der Wert wird direkt aus dem Feld classMsg übernommen, wobei doppelte Anführungszeichen entfernt werden.
clientIPv4Address target.ip: clientIPv4Address Wert, der direkt aus dem Feld clientIPv4Address übernommen wird.
destIp target.ip: destIp
destinationIPv4Address: destIp		 Wert, der direkt aus dem Feld destIp übernommen wird.
destinationIPv4Address target.ip: destinationIPv4Address Der Wert wird direkt aus dem Feld destinationIPv4Address übernommen oder aus dem Feld networkPrefix abgeleitet.
destinationIPv6Address target.ip: destinationIPv6Address Wert, der direkt aus dem Feld destinationIPv6Address übernommen wird.
destinationPort target.port: destinationPort Der Wert wird direkt aus dem Feld destinationPort übernommen und in eine Ganzzahl konvertiert.
destinationTransportPort target.port: destinationTransportPort Der Wert wird direkt aus dem Feld destinationTransportPort übernommen und in eine Ganzzahl konvertiert.
deviceKey about.resource.attribute.labels[].key: "deviceKey"
about.resource.attribute.labels[].value: deviceKey		 Der Wert wird direkt aus dem Feld deviceKey übernommen, sofern er nicht „Unbekannt“ lautet.
deviceName about.resource.attribute.labels[].key: „deviceName“
about.resource.attribute.labels[].value: deviceName		 Der Wert wird direkt aus dem Feld deviceName übernommen, sofern er nicht „Unbekannt“ lautet.
duration network.session_duration.seconds: duration Der Wert wird direkt aus dem Feld duration übernommen und in eine Ganzzahl konvertiert.
egressInterfaceName additional.fields[].key: "egressInterfaceName"
additional.fields[].value.string_value: egressInterfaceName		 Wert, der direkt aus dem Feld egressInterfaceName übernommen wird.
event.type metadata.event_type: event.type Wenn sowohl applianceName (oder sourceIPv4Address oder user oder sourceIPv6Address) als auch destinationIPv4Address (oder remoteSite oder destinationIPv6Address oder clientIPv4Address oder hostname) vorhanden sind, dann NETWORK_CONNECTION. Andernfalls STATUS_UPDATE. Wenn applianceName leer ist, dann GENERIC_EVENT.
eventType principal.resource.attribute.labels[].key: "eventType"
principal.resource.attribute.labels[].value: eventType		 Wert, der direkt aus dem Feld eventType übernommen wird.
family security_result.detection_fields[].key: „family“
security_result.detection_fields[].value: family		 Wert, der direkt aus dem Feld family übernommen wird.
fc security_result.detection_fields[].key: "ForwardingClass"
security_result.detection_fields[].value: fc		 Wert, der direkt aus dem Feld fc übernommen wird.
fileTransDir additional.fields[].key: "fileTransDir"
additional.fields[].value.string_value: fileTransDir		 Wert, der direkt aus dem Feld fileTransDir übernommen wird.
filename target.file.names: filename Wert, der direkt aus dem Feld filename übernommen wird.
flowCookie metadata.collected_timestamp: flowCookie Der Wert wird direkt aus dem Feld flowCookie übernommen und mit dem UNIX-Format in einen Zeitstempel konvertiert.
flowId principal.resource.product_object_id: flowId Wert, der direkt aus dem Feld flowId übernommen wird.
forwardForwardingClass security_result.detection_fields[].key: „forwardForwardingClass“
security_result.detection_fields[].value: forwardForwardingClass		 Wert, der direkt aus dem Feld forwardForwardingClass übernommen wird.
fromCountry principal.location.country_or_region: fromCountry
target.location.country_or_region: fromCountry		 Wert, der direkt aus dem Feld fromCountry übernommen wird.
fromUser principal.user.userid: fromUser Der Wert wird direkt aus dem Feld fromUser übernommen, sofern es nicht leer ist oder „unknown“ oder „Unknown“ enthält.
fromZone additional.fields[].key: „fromZone“
additional.fields[].value.string_value: fromZone		 Wert, der direkt aus dem Feld fromZone übernommen wird.
generateTime metadata.collected_timestamp: generateTime Der Wert wird direkt aus dem Feld generateTime übernommen und mit dem UNIX-Format in einen Zeitstempel konvertiert.
hostname target.hostname: hostname Wert, der direkt aus dem Feld hostname übernommen wird.
httpUrl target.url: httpUrl Wert, der direkt aus dem Feld httpUrl übernommen wird.
icmpTypeIPv4 additional.fields[].key: "icmpTypeIPv4"
additional.fields[].value.string_value: icmpTypeIPv4		 Wert, der direkt aus dem Feld icmpTypeIPv4 übernommen wird.
idpAction security_result.action: idpAction Die Logik finden Sie unter action.
ingressInterfaceName additional.fields[].key: "ingressInterfaceName"
additional.fields[].value.string_value: ingressInterfaceName		 Wert, der direkt aus dem Feld ingressInterfaceName übernommen wird.
ipsApplication additional.fields[].key: "ipsApplication"
additional.fields[].value.string_value: ipsApplication		 Wert, der direkt aus dem Feld ipsApplication übernommen wird.
ipsDirection security_result.detection_fields[].key: "ipsDirection"
security_result.detection_fields[].value: ipsDirection		 Wert, der direkt aus dem Feld ipsDirection übernommen wird.
ipsProfile security_result.detection_fields[].key: „ipsProfile“
security_result.detection_fields[].value: ipsProfile		 Wert, der direkt aus dem Feld ipsProfile übernommen wird.
ipsProfileRule security_result.rule_name: ipsProfileRule Wert, der direkt aus dem Feld ipsProfileRule übernommen wird.
ipsProtocol network.ip_protocol: ipsProtocol Wert, der direkt aus dem Feld ipsProtocol übernommen wird.
log_type metadata.description: log_type
metadata.log_type: log_type		 Wert, der direkt aus dem Feld log_type übernommen wird.
mstatsTimeBlock metadata.collected_timestamp: mstatsTimeBlock Der Wert wird direkt aus dem Feld mstatsTimeBlock übernommen und mit dem UNIX-Format in einen Zeitstempel konvertiert.
mstatsTotRecvdOctets network.received_bytes: mstatsTotRecvdOctets Der Wert wird direkt aus dem Feld mstatsTotRecvdOctets übernommen und in eine vorzeichenlose Ganzzahl konvertiert.
mstatsTotSentOctets network.sent_bytes: mstatsTotSentOctets Der Wert wird direkt aus dem Feld mstatsTotSentOctets übernommen und in eine vorzeichenlose Ganzzahl konvertiert.
mstatsTotSessCount additional.fields[].key: "mstatsTotSessCount"
additional.fields[].value.string_value: mstatsTotSessCount		 Wert, der direkt aus dem Feld mstatsTotSessCount übernommen wird.
mstatsTotSessDuration network.session_duration.seconds: mstatsTotSessDuration Der Wert wird direkt aus dem Feld mstatsTotSessDuration übernommen und in eine Ganzzahl konvertiert.
mstatsType security_result.category_details: mstatsType Wert, der direkt aus dem Feld mstatsType übernommen wird.
networkPrefix target.ip: networkPrefix
target.port: networkPrefix		 Die IP-Adresse, die aus dem Feld networkPrefix extrahiert wurde. Der Port wurde aus dem Feld networkPrefix extrahiert und in eine Ganzzahl umgewandelt.
protocolIdentifier network.ip_protocol: protocolIdentifier Der Wert wird direkt aus dem Feld protocolIdentifier übernommen, in eine Ganzzahl umgewandelt und mithilfe einer Suche dem Namen des IP-Protokolls zugeordnet.
recvdOctets network.received_bytes: recvdOctets Der Wert wird direkt aus dem Feld recvdOctets übernommen und in eine vorzeichenlose Ganzzahl konvertiert.
recvdPackets network.received_packets: recvdPackets Der Wert wird direkt aus dem Feld recvdPackets übernommen und in eine Ganzzahl konvertiert.
remoteSite target.hostname: remoteSite Wert, der direkt aus dem Feld remoteSite übernommen wird.
reverseForwardingClass security_result.detection_fields[].key: "reverseForwardingClass"
security_result.detection_fields[].value: reverseForwardingClass		 Wert, der direkt aus dem Feld reverseForwardingClass übernommen wird.
risk security_result.risk_score: risk Der Wert wird direkt aus dem Feld risk übernommen und in einen Gleitkommawert konvertiert.
rule security_result.rule_name: rule Wert, der direkt aus dem Feld rule übernommen wird.
sentOctets network.sent_bytes: sentOctets Der Wert wird direkt aus dem Feld sentOctets übernommen und in eine vorzeichenlose Ganzzahl konvertiert.
sentPackets network.sent_packets: sentPackets Der Wert wird direkt aus dem Feld sentPackets übernommen und in eine Ganzzahl konvertiert.
serialNum security_result.detection_fields[].key: "serialNum"
security_result.detection_fields[].value: serialNum		 Wert, der direkt aus dem Feld serialNum übernommen wird.
signatureId security_result.detection_fields[].key: "signatureID"
security_result.detection_fields[].value: signatureId		 Wert, der direkt aus dem Feld signatureId übernommen wird.
signatureMsg security_result.detection_fields[].key: „signatureMsg“
security_result.detection_fields[].value: signatureMsg		 Wert, der direkt aus dem Feld signatureMsg übernommen wird.
signaturePriority security_result.severity: signaturePriority Wenn signaturePriority „low“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann LOW. Wenn signaturePriority „medium“ ist (unabhängig von der Groß- und Kleinschreibung), dann MEDIUM. Wenn signaturePriority „high“ (ohne Beachtung der Groß- und Kleinschreibung) ist, dann HIGH.
site principal.hostname: site
applianceName: site		 Wert, der direkt aus dem Feld site übernommen wird.
siteId additional.fields[].key: "siteId"
additional.fields[].value.string_value: siteId		 Wert, der direkt aus dem Feld siteId übernommen wird.
siteName principal.hostname: siteName
applianceName: siteName		 Wert, der direkt aus dem Feld siteName übernommen wird.
sourceIPv4Address principal.ip: sourceIPv4Address Wert, der direkt aus dem Feld sourceIPv4Address übernommen wird.
sourceIPv6Address principal.ip: sourceIPv6Address Wert, der direkt aus dem Feld sourceIPv6Address übernommen wird.
sourcePort principal.port: sourcePort Der Wert wird direkt aus dem Feld sourcePort übernommen und in eine Ganzzahl konvertiert.
sourceTransportPort principal.port: sourceTransportPort Der Wert wird direkt aus dem Feld sourceTransportPort übernommen und in eine Ganzzahl konvertiert.
subFamily security_result.detection_fields[].key: "subFamily"
security_result.detection_fields[].value: subFamily		 Wert, der direkt aus dem Feld subFamily übernommen wird.
tcpConnAborted additional.fields[].key: "tcpConnAborted"
additional.fields[].value.string_value: tcpConnAborted		 Der Wert wird direkt aus dem Feld tcpConnAborted übernommen, wenn es nicht leer oder „0“ ist.
tcpConnRefused additional.fields[].key: "tcpConnRefused"
additional.fields[].value.string_value: tcpConnRefused		 Der Wert wird direkt aus dem Feld tcpConnRefused übernommen, wenn es nicht leer oder „0“ ist.
tcpPktsFwd network.sent_packets: tcpPktsFwd Der Wert wird direkt aus dem Feld tcpPktsFwd übernommen und in eine Ganzzahl konvertiert.
tcpPktsRev network.received_packets: tcpPktsRev Der Wert wird direkt aus dem Feld tcpPktsRev übernommen und in eine Ganzzahl konvertiert.
tcpReXmitFwd additional.fields[].key: „tcpReXmitFwd“
additional.fields[].value.string_value: tcpReXmitFwd		 Der Wert wird direkt aus dem Feld tcpReXmitFwd übernommen, wenn es nicht leer oder „0“ ist.
tcpReXmitRev additional.fields[].key: „tcpReXmitRev“
additional.fields[].value.string_value: tcpReXmitRev		 Der Wert wird direkt aus dem Feld tcpReXmitRev übernommen, wenn es nicht leer oder „0“ ist.
tcpSAA additional.fields[].key: „tcpSAA“
additional.fields[].value.string_value: tcpSAA		 Der Wert wird direkt aus dem Feld tcpSAA übernommen, wenn es nicht leer oder „0“ ist.
tcpSSA additional.fields[].key: „tcpSSA“
additional.fields[].value.string_value: tcpSSA		 Der Wert wird direkt aus dem Feld tcpSSA übernommen, wenn es nicht leer oder „0“ ist.
tcpSessCnt additional.fields[].key: "tcpSessCnt"
additional.fields[].value.string_value: tcpSessCnt		 Wert, der direkt aus dem Feld tcpSessCnt übernommen wird.
tcpSessDur network.session_duration.seconds: tcpSessDur Der Wert wird direkt aus dem Feld tcpSessDur übernommen und in eine Ganzzahl konvertiert.
tcpSynAckReXmit additional.fields[].key: "tcpSynAckReXmit"
additional.fields[].value.string_value: tcpSynAckReXmit		 Der Wert wird direkt aus dem Feld tcpSynAckReXmit übernommen, wenn es nicht leer oder „0“ ist.
tcpSynReXmit additional.fields[].key: "tcpSynReXmit"
additional.fields[].value.string_value: tcpSynReXmit		 Der Wert wird direkt aus dem Feld tcpSynReXmit übernommen, wenn es nicht leer oder „0“ ist.
tcpTWHS additional.fields[].key: „tcpTWHS“
additional.fields[].value.string_value: tcpTWHS		 Der Wert wird direkt aus dem Feld tcpTWHS übernommen, wenn es nicht leer oder „0“ ist.
tenantId principal.resource.attribute.labels[].key: "tenantId"
principal.resource.attribute.labels[].value: tenantId		 Wert, der direkt aus dem Feld tenantId übernommen wird.
tenantName observer.hostname: tenantName Wert, der direkt aus dem Feld tenantName übernommen wird.
threatType security_result.detection_fields[].key: „threatType“
security_result.detection_fields[].value: threatType		 Wert, der direkt aus dem Feld threatType übernommen wird.
toCountry target.location.country_or_region: toCountry Wert, der direkt aus dem Feld toCountry übernommen wird.
toZone additional.fields[].key: „toZone“
additional.fields[].value.string_value: toZone		 Wert, der direkt aus dem Feld toZone übernommen wird.
traffType additional.fields[].key: "traffType"
additional.fields[].value.string_value: traffType		 Wert, der direkt aus dem Feld traffType übernommen wird.
ts metadata.event_timestamp: ts Der Wert wird direkt aus dem Feld ts übernommen und in einen Zeitstempel konvertiert.
type security_result.action: type Die Logik finden Sie unter action.
urlAction security_result.action: urlAction Die Logik finden Sie unter action.
urlActionMessage security_result.summary: urlActionMessage Wert, der direkt aus dem Feld urlActionMessage übernommen wird.
urlCategory principal.resource.attribute.labels[].key: „urlCategory“
principal.resource.attribute.labels[].value: urlCategory		 Wert, der direkt aus dem Feld urlCategory übernommen wird.
urlProfile additional.fields[].key: "urlProfile"
additional.fields[].value.string_value: urlProfile		 Wert, der direkt aus dem Feld urlProfile übernommen wird.
urlReputation security_result.severity_details: urlReputation Wert, der direkt aus dem Feld urlReputation übernommen wird.
user principal.ip: user Wert, der direkt aus dem Feld user übernommen wird.
vsnId principal.resource.attribute.labels[].key: „vsnId“
principal.resource.attribute.labels[].value: vsnId		 Wert, der direkt aus dem Feld vsnId übernommen wird. Hartcodierter Wert. Hartcodierter Wert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten