Erste Schritte: YARA-L 2.0 in SecOps

Unterstützt in:

YARA-L 2.0 ist die einzigartige, hochstrukturierte Abfragesprache, die Google Security Operations für alle Suchvorgänge, Dashboards und regelbasierte Bedrohungserkennung unterstützt. In diesem Dokument wird die grundlegende YARA-L-Struktur erläutert und es werden praktische Schritte für die Verwendung beschrieben. Dies ist unabhängig davon, ob Sie als Sicherheitsanalyst nach Bedrohungen suchen oder als Detection Engineer robuste neue Logik entwickeln.

Hinweise

YARA-L-Struktur

Jede YARA-L-Abfrage ist in verschiedene benannte Abschnitte unterteilt, die das Verhalten der Abfrage bestimmen.

Diese Struktur ermöglicht die mehrstufige Analyse und Korrelation.

Befehl Aktion Optional | Erforderlich
meta Legt beschreibende Metadaten für die Regel fest, z. B. Autor, Beschreibung und Schweregrad. Optional für die Suche und Dashboards. Nur für Regeln erforderlich.
events Definiert und filtert Ereignisse. Deklariert alle zu berücksichtigenden Datenquellen (hauptsächlich Ereignisse) und filtert sie mithilfe von UDM-Feldern. Erforderlich (Kernlogik der Abfrage) für die Suche, Dashboards und Regeln.
match Gruppiert nach Ereignissen und ermöglicht es Ihnen, den unterstützten Zeitraum anzugeben (z. B. by 5m). In einigen Fällen für statistische Suchanfragen erforderlich, bei denen eine Aggregation erfolgt. Erforderlich für Abfragen zur Korrelation mehrerer Ereignisse. Die Zeitangabe ist in der match für Regeln erforderlich und für die Suche und Dashboards optional.
outcome Berechnet wichtige Messwerte und ruft Statistiken ab (z. B. count(), avg()). Optional.
condition Definiert die Logik, die erfüllt sein muss, um entweder Ergebnisse zurückzugeben (bei der Suche) oder eine Benachrichtigung auszulösen (in einer Regel). Bewertet die Kriterien der Abfragevariablen, um festzustellen, ob ein Ergebnis zutrifft (z. B. $event >5). Optional in der Suche und in Dashboards. Nur für Regeln erforderlich.
dedup Entfernt doppelte Ereignisse, indem sie anhand von Schlüsselvariablen oder Ereignispfaden gruppiert werden (z. B. target.user.userid, target.ip, principal.hostname oder Variablen wie $host, $user). Weitere Informationen zu Ereignisvariablen Optional. In Regeln nicht verfügbar.
order Sortiert Ergebnisse, die durch bestimmte Felder definiert werden (z. B. asc). Optional (gilt nur, wenn match verwendet wird). In Regeln nicht verfügbar.
limit Beschränkt die maximale Anzahl der von der Abfrage zurückgegebenen Ereignisse. Optional. In Regeln nicht verfügbar.
select Gibt die Liste der UDM-Felder an, die in die Abfrageergebnisse einbezogen werden sollen. Optional. In Regeln nicht verfügbar.
unselect Gibt die Liste der UDM-Felder an, die aus den Abfrageergebnissen ausgeschlossen werden sollen. Optional. In Regeln nicht verfügbar.

Verfügbarkeit von YARA-L-Datenquellen

Je nachdem, wo Sie sich auf der Plattform befinden, hat YARA-L Zugriff auf verschiedene Datenquellen. Ereignisse, Entitäten (ECG) und Datentabellen sind in der Suche, in Dashboards und in Regeln vollständig verfügbar.

In der folgenden Tabelle sind die in YARA-L verfügbaren Funktionen aufgeführt:

Funktion Verfügbar in
Fälle und Fallverlauf Dashboards
Datentabellen Suche, Dashboards, Regeln
Entitäten (EKG) Suche, Dashboards, Regeln
Messwerte für die Aufnahme Dashboards
IOC-Übereinstimmungen Dashboards
Regelerkennungen Dashboards, Regeln
Regelsätze Dashboards
Ereignisse Suche, Dashboards, Regeln
UEBA-Messwerte Suche, Dashboards

Alle Daten in Google SecOps werden anhand von zwei primären Methoden durchsucht, die auf Ihren Zielen basieren: Filtersuche und statistische Suche (Aggregationen).

Mit der Methode filter search können Sie bestimmte Ereignisse aus dem breiteren Telemetriestrom isolieren, ohne dass der Aufwand der statistischen Aggregation erforderlich ist. Bei dieser Methode werden Kriterien verwendet, um große Mengen an Sicherheitsdaten wie Protokolle oder Netzwerkverkehr in ein gezieltes Ergebnis-Set einzugrenzen. Für die Logik müssen Sie nur Ereignisse im Abschnitt events angeben.

So erstellen Sie Ihre erste YARA-L-Filtersuche, um nach Nutzern mit fehlgeschlagenen Anmeldungen zu suchen:

  1. Rufen Sie in Google SecOps die Seite Suche auf.
  2. Nach Anmeldeereignissen filtern:
    metadata.event_type = "USER_LOGIN"

    Tipp: Sie können die Abschnittsüberschrift events: in Ihren Suchanfragen weglassen. Standardmäßig ist dieser Abschnitt in der Suchsyntax enthalten.

  3. Fügen Sie event-Aktionen für fehlgeschlagene Anmeldungen von Nutzern hinzu, die keine leere userid haben. 
    metadata.event_type = "USER_LOGIN"
security_result.action = "FAIL"
principal.user.userid != ""
  4. Führen Sie diese Suche aus, um die Ergebnisse zu sehen.

Platzhaltervariablen verwenden

Mit Platzhaltervariablen können Sie bestimmte Werte aus Ihren Ereignissen extrahieren, z. B. einen Nutzernamen oder eine IP-Adresse. Diese Variablen dienen als temporäre Anker, mit denen Sie Daten für verschiedene Ereignisse vergleichen oder diese Werte in der endgültigen Ausgabe anzeigen können.

Sie verwenden Platzhaltervariablen für folgende Zwecke:

  • Daten überbrücken: Verwenden Sie Platzhalter wie $userid oder $ip, um Übereinstimmungen zwischen verschiedenen Ereignisvariablen zu finden. Mit $userid können Sie beispielsweise die Nutzer-ID für Anmelde- und Abmeldeereignisse verknüpfen.
  • Ergebnisse gruppieren: Verwenden Sie im Abschnitt match Platzhaltervariablen, um das Fenster der Abfrageausgabe zu definieren, z. B. match: $userid over 1h.
  • Ergebnisse erstellen: Mit Platzhaltern können Sie bestimmte Datenpunkte in der Ausgabe Ihrer Anfrage erfassen und anzeigen.

Wenn Sie beispielsweise $user = principal.user.userid zuweisen, enthält die Variable $user jetzt den spezifischen Wert, der aus dem Ereignis extrahiert wurde. Anschließend verwenden Sie $user im Bereich match, um alle Aktivitäten zu gruppieren, die mit diesem bestimmten Nutzer in Verbindung stehen.

Mit der Methode Statistische Suche können Sie Statistiken, Trends oder Anomalien ermitteln, indem Sie Berechnungen für Gruppen von Ereignissen durchführen. Statt einer Liste mit einzelnen Logs werden aggregierte Zusammenfassungen Ihrer Daten zurückgegeben. Die Logik verwendet den Bereich match (für die Gruppierung) und den Bereich outcome (für die Berechnungen). Im Abschnitt outcome werden Aggregationsfunktionen wie count(), sum(), avg(), max(), min() und stddev() unterstützt.

Im folgenden Beispiel wird die folgende Abfragelogik verwendet:

  • events: Filtert die Rohdaten nach fehlgeschlagenen Anmeldeversuchen.
  • match: Definiert die Gruppierungsereignisse (nach userid).
  • outcome: Führt die statistische Aggregation (Ereignisanzahl pro Nutzer) aus.

Beispiel: Fehlgeschlagene Anmeldeaktivitäten mit outcome-Funktionen zusammenfassen

Im folgenden Beispiel werden die Aggregationsfunktionen des outcome-Abschnitts (z. B. count() oder sum()) verwendet, um fehlgeschlagene Anmeldeversuche zusammenzufassen.

  1. Verwenden Sie den Abschnitt match, um die fehlgeschlagenen Anmeldeversuche nach userid zu gruppieren:

    metadata.event_type = "USER_LOGIN"
security_result.action = "FAIL"
principal.user.userid != ""

match:
  principal.user.userid

  2. Verwenden Sie die count fehlgeschlagener Anmeldungen für jeden Nutzer ($failed_login_count), die durch die Variable outcome definiert wird:

    metadata.event_type = "USER_LOGIN"
security_result.action = "FAIL"
principal.user.userid != ""

match:
  principal.$user.userid

outcome:
  $failed_login_count = count(metadata.id)

  3. Führen Sie diese Suche aus, um die Ergebnisse zu sehen.

  4. Optional: Fügen Sie dem Abschnitt match ein Zeitelement hinzu (in diesem Fall day). Aktualisieren Sie dann die Variable outcome, damit sie expliziter ist ($daily_failed_login_count):

    metadata.event_type = "USER_LOGIN"
security_result.action = "FAIL"
principal.user.userid != ""
$user =principal.user.userid

match:
  principal.$user.userid by day

outcome:
  $daily_failed_login_count = count(metadata.id)

Dashboard-Widget aus Ihrer Suche erstellen

Sie können ein Dashboard-Widget aus aggregierten Suchanfragen erstellen, wie im Beispiel für die erste Suche gezeigt.

Nachdem die Suche validiert wurde, können Sie sie als Widget speichern und Ihrem Dashboard hinzufügen:

  1. Wenn die Ergebnisse angezeigt werden, klicken Sie auf den Tab Visualisieren > Zum Dashboard hinzufügen.
  2. Widget konfigurieren:
    1. Geben Sie dem Widget einen Namen, z. B. "Daily Failed Login".
    2. Zeitraum auswählen.
    3. Wählen Sie aus, ob Sie sie einem vorhandenen oder neuen Dashboard hinzufügen möchten.
    4. Klicken Sie auf Hinzufügen.
  3. Optional: Sie können Abfragen direkt in Ihre Dashboards einfügen. Alternativ können Sie kuratierte Dashboards kopieren und die Änderungen an den Abfragen darin als Ausgangspunkt verwenden.
  4. Optional: Sie können ein benutzerdefiniertes Dashboard erstellen und mit YARA-L Widgets hinzufügen. Weitere Informationen finden Sie unter Benutzerdefiniertes Dashboard erstellen.

Dashboard konfigurieren

Wenn Sie ein neues Dashboard erstellen, ist der Bereich events ein erforderlicher Ausgangspunkt. Dort können Sie match (zum Gruppieren von Ergebnissen) oder outcome (zum Berechnen von Ausgaben und Aggregationen) verwenden.

Sie können beispielsweise ein Dashboard mit den Abschnitten events und match erstellen, in dem der Schweregrad ($severity) der erkannten Probleme nach by hour-Buckets gruppiert wird.

Beispiel: Zeitreihen nach Schweregrad aggregieren

Sie können ein Dashboard mit den Abschnitten events und match erstellen, um den Schweregrad ($severity) von erkannten Problemen in hour-Buckets gruppiert darzustellen:

detection.detection.severity != "UNKNOWN_SEVERITY"
$severity = detection.detection.severity

match:
  $severity by hour

Beispiel: Gesamte kritische Auswirkungen aggregieren

Sie können auch ein Dashboard mit den Abschnitten events und outcome erstellen, um Erkennungen mit hohem Schweregrad zu verfolgen:

detection.detection.severity = "CRITICAL"
$severity = detection.detection.severity

outcome:
  $detection_count = count_distinct($severity)

Beispiel: Erkennungsvolumen nach Schweregrad im Zeitverlauf visualisieren

Im folgenden Beispiel können Sie kritische Erkennungen zählen und den Zeitraum über die Console angeben. In vielen Fällen verwenden Sie beim Erstellen einer Visualisierung in einem Dashboard sowohl die Abschnitte match als auch outcome:

detection.detection.severity != "UNKNOWN_SEVERITY"
$severity = detection.detection.severity

match:
  $severity by hour

outcome:
  $detection_count = count_distinct(detection.id)

Beispiel: Anmeldehäufigkeit von Nutzern berechnen

Im folgenden Beispiel wird die Berechnung von login_count für bestimmte Nutzer mithilfe der Abschnitte match und outcome veranschaulicht:

events:
  metadata.event_type = "USER_LOGIN"

match:
  target.user.userid

outcome:
  $login_count = count(metadata.id)

Regel erstellen

Eine Regel erfordert die folgenden Abschnitte:

  • meta: Enthält den Namen der Regel und beschreibende Details.
  • events: Definiert Ihre Datenquellen und Filter mithilfe von Ereignisvariablen.
  • condition: Gibt an, welche Ereignisvariablen vorhanden sein müssen, damit die Regel ausgelöst wird.

Ereignisvariablen definieren und verwenden

Ereignisvariablen dienen als logischer Container, in dem Ihre Filter gruppiert werden. So können Sie in Ihrer Suche, Regel oder Ihrem Dashboard auf diese bestimmte Aktivität verweisen.

Wenn Sie Logik im Abschnitt events definieren, können Sie Ereignisvariablen (z. B. $e) verwenden, um ein bestimmtes Ereignis oder eine Gruppe von Ereignissen darzustellen, die Ihren Kriterien entsprechen.

Beispiel: Ereignisvariablen definieren und filtern

Wenn Sie eine Ereignisvariable definieren möchten (z. B. $e), verwenden Sie ein Präfix im events-Abschnitt Ihrer Abfrage. Damit wird festgelegt, dass diese Ereignisse durch die Variable dargestellt werden. Der Ausdruck $e.principal.hostname = "dev" wertet beispielsweise jedes Ereignis aus, um festzustellen, ob der Hostname genau übereinstimmt.

$e.principal.hostname = "dev"
$e.metadata.event_type = "USER_LOGIN"

Anschließend können Sie diese Variable in anderen Abschnitten der Abfrage verwenden, um auf diese bestimmte Gruppe von Ereignissen (in den Abschnitten match, outcome, condition) und ihre Datenfelder zu verweisen.

Regelstruktur und ‑syntax organisieren

Verwenden Sie die folgende Regelstruktur und ‑syntax, um Ihre Variablen, die Gruppierungslogik und die Trigger-Grenzwerte zu definieren:

Element Beschreibung Beispiel
Regelstruktur Die Abfrage wird in einen rule-Block eingeschlossen und der Erkennung wird ein eindeutiger Name zugewiesen. rule DailyFailedLoginAttempts { }
meta-Abschnitt Erforderlich. Enthält beschreibende Metadaten wie „Autor“, „Beschreibung“ und „Schweregrad“, um die Regelverwaltung zu verbessern und Ihrem Team Kontext zu bieten. Empfohlene Best Practice für die Regelverwaltung. author = "Alex"
severity = "Medium"
Ereignisvariable In einer Regeln-Abfrage hat jedes Feld im Abschnitt events das Präfix einer Ereignisvariablen (z. B. $e), um ein bestimmtes Ereignis (oder eine Gruppe von Ereignissen) darzustellen, das Ihren Kriterien entspricht. Sie dienen als logische Gruppierungen von Filtern.

Im Beispiel Convert your search to a YARA-L rule (Suchanfrage in eine YARA-L-Regel umwandeln) steht $e für alle fehlgeschlagenen Nutzeranmeldungen.		 $e.metadata.event_type = "USER_LOGIN"
Platzhaltervariable Weist einem Ereignis einen gemeinsamen Namen zu, auf den Sie später in der Abfrage verweisen können. Weitere Informationen finden Sie unter Platzhaltervariablen verwenden. $userid = $e.principal.user.userid
match-Abschnitt Definiert Ihre Gruppierungen und gibt ein unterstütztes Zeitfenster an. Im Beispiel Suchanfrage in eine YARA-L-Regel umwandeln werden die Ereignisse mit der Gruppierung match: $userid over day innerhalb jedes 24-Stunden-Zeitraums (1d) korrekt nach der Nutzer-ID gruppiert.

Wenn Sie eine Regel schreiben, müssen Sie ein unterstütztes Zeitfenster angeben, um den Rückblickzeitraum zu definieren. Je nach Ihren Logikanforderungen können Sie ein Hop-, Sliding- oder Tumbling-Fenster implementieren. Wenn Sie den over-Operator explizit verwenden, wird ein Hop-Fenster erstellt. 		$userid over 1d
outcome-Abschnitt Führt statistische Aggregationen durch oder erfasst bestimmte Variablen, um die resultierenden Benachrichtigungen informativer zu gestalten.

Verwenden Sie die Funktion count() für $e.metadata.id, um Ereignisse in jeder match-Gruppe zu aggregieren. Sie können auch Variablen wie $userid zuweisen, um bestimmte UDM-Felder zu erfassen und dem resultierenden Erkennungsergebnis mehr Kontext zu geben.		 $failed_count = count($e.metadata.id)
condition-Abschnitt Erforderlich, damit durch eine Regel eine Erkennung generiert wird.

Definiert den Erkennungsschwellenwert im Abschnitt condition. Wenn Sie beispielsweise #e > 5 verwenden, muss die Ereignisanzahl fünf (5) überschreiten, damit eine Benachrichtigung ausgelöst wird. Auch wenn Sie keine Berechnungen durchführen, benötigen Sie einen condition-Abschnitt und müssen die Existenz der Ereignisvariablen angeben (z. B. #e).

Analysieren Sie die Baseline Ihrer Umgebung, um Grenzwerte festzulegen, mit denen verdächtige Aktivitäten erkannt und gleichzeitig Falsch-Positiv-Ergebnisse minimiert werden. Wenn Sie keine Berechnungen durchführen, benötigen Sie trotzdem einen condition-Abschnitt. Geben Sie einfach die Existenz der Ereignisvariablen an, z. B. #e.		 #e > 5 oder $e

Das folgende Beispiel veranschaulicht die Funktionsweise dieser Struktur.

Beispiel: Brute-Force-Angriffe erkennen (mehrere fehlgeschlagene Anmeldungen)

Im folgenden Beispiel werden mehrere fehlgeschlagene Anmeldeversuche für einen einzelnen Nutzer innerhalb eines 24-Stunden-Zeitraums erkannt:

rule DailyFailedLoginAttempts {
  meta:
    author = "Alex"
    description = "Detects multiple failed login attempts for a single user within a day."
    severity = "Medium"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.security_result.action = "FAIL"
    $e.principal.user.userid != ""
    $userid = $e.principal.user.userid

  match:
    $userid over 1d

  outcome:
    $daily_failed_login_count = count($e.metadata.id)

  condition:
    $daily_failed_login_count > 5
}

So wandeln Sie eine endgültige Suchanfrage in eine zuverlässige Regel zum Generieren von erkannten Inhalten um:

  1. Rufen Sie in Google SecOps den Rules Editor auf.
  2. Neue Regel erstellen
  3. Fügen Sie die Suchanfrage ein und passen Sie sie an die Regelstruktur an. Dazu gehört Folgendes:
    • Abschnitt meta: Hier wird die Metadatenregel definiert, einschließlich des Regelnamens, des Autors und des Schweregrads.
    • Abschnitt event: Erforderlich. Anders als bei der Suche muss ein benannter event-Abschnittsheader vorhanden sein.
    • Ereignisvariablen: Deklarieren und referenzieren bestimmte Ereignisse (oder Gruppen von Ereignissen) in Ihrer Logik.
    • Abschnitt match mit unterstützten Zeiträumen: Hier werden die Gruppierungsschlüssel und die Zeitparameter (z. B. 5m oder 1d) angegeben. Hinweis: Wenn Sie in Regeln einen match-Abschnitt verwenden, müssen Sie einen Zeitraum hinzufügen.
    • Abschnitt condition: Hier wird die endgültige Logik oder der Schwellenwert definiert, der erfüllt sein muss, damit eine Regel ausgelöst wird.

Erweitert: Regel mit mehreren Ereignissen erstellen

Mit einer Regel für mehrere Ereignisse können Sie verschiedene Arten von Aktivitäten korrelieren, die innerhalb eines bestimmten Zeitrahmens auftreten. Anstatt sich nur ein einzelnes Ereignis anzusehen, können Sie mehrere Ereignisse miteinander verknüpfen, um komplexe Bedrohungen zu erkennen. Ein Beispiel: Ein Nutzer meldet sich an und führt dann sofort einen ungewöhnlichen Dateidownload durch.

Für eine Regel mit mehreren Ereignissen sind die folgenden Abschnitte erforderlich:

  • meta: Enthält den Namen der Regel und beschreibende Details.
  • events: Definiert Ihre Datenquellen und Filter mithilfe von Ereignisvariablen.
  • match: Legt den Zeitraum und die Platzhaltervariable fest, die zum Überbrücken Ihrer Ereignisse verwendet wird.
  • outcomeErfasst zusätzlichen Kontext für die Benachrichtigung. Für Regeln mit mehreren Ereignissen ist eine Aggregationsfunktion erforderlich.
  • condition: Gibt an, welche Ereignisvariablen vorhanden sein müssen, damit die Regel ausgelöst wird.

So erstellen Sie eine Regel mit mehreren Ereignissen:

  1. Ereignisvariablen definieren: Definieren Sie im Bereich „Ereignisse“ $e1, um "PROCESS_LAUNCH"-Ereignisse zu erfassen, und $e2, um bestimmte Hashes schädlicher Dateien zu erfassen.
  2. Mit Platzhaltern korrelieren: Verwenden Sie die Platzhaltervariable $user, um diese beiden unterschiedlichen Ereignisstreams über eine gemeinsame Haupt-User-ID (z. B. $user = $e1.principal.user.userid and $user = $e2.principal.user.userid) zu verbinden.
  3. Übereinstimmung gruppieren: Im Abschnitt match geben Sie an, dass diese Ereignisse für dieselbe $user innerhalb eines bestimmten Zeitfensters, z. B. 5 Minuten (5m), eintreten müssen.

Beispiel: Regel mit mehreren Ereignissen erstellen

Im folgenden Beispiel steht $e1 für ein PROCESS_LAUNCH-Ereignis und $e2 für ein Ereignis mit einem bestimmten schädlichen Hash. Mit der Platzhaltervariablen $user werden diese Ereignisse anhand derselben primären User-ID korreliert.

rule MultiEventExample {
  meta:
    author = "Alex"
    description = "Detects a bad hash execution or a process launch from a specific IP for the same user."

  events:
    $e1.principal.ip = "1.1.1.1"
    $e1.metadata.event_type = "PROCESS_LAUNCH"
    $e2.target.file.sha256 = "badhash..."
    $user = $e1.principal.user.userid
    $user = $e2.principal.user.userid

  match:
    $user over 5m

  condition:
    $e1 or $e2
}

Die folgenden Regelkomponenten beschreiben die im Beispiel verwendete Logik:

  • Ereignisvariablen: Es wurden zwei Ereignisvariablen definiert: $e1 und $e2. Die Platzhaltervariable $user wurde verwendet, um diese Ereignisse über das gemeinsame Feld userid zu verknüpfen.
  • Abschnitt match: Für diese Regel mit mehreren Ereignissen wurde ein Abschnitt match eingefügt, um die Ereignisse nach Nutzer zu gruppieren und ein Hop-Zeitfenster von fünf Minuten (5m) anzugeben, um die Ereignisse zu korrelieren.
  • Abschnitt condition: Hier wird die Logik zum Auslösen der Benachrichtigung definiert. In diesem Beispiel wird eine Benachrichtigung ausgelöst, wenn das erste oder das zweite Ereignis vorhanden ist.

Andere Tools zum Erstellen der Abfrage verwenden

Diese Tools sind unerlässlich, um YARA-L zu schreiben, zu validieren und die Einführung zu beschleunigen:

  • UDM Lookup Tool: Sie können direkt in der Benutzeroberfläche schnell nach UDM-Feldnamen, ‑Definitionen und ‑Datentypen suchen und darauf verweisen. Wenn die Feld-ID unbekannt ist, sollten Sie zuerst diese Referenz prüfen.
  • Suche mit natürlicher Sprache nach YARA-L: Geben Sie in der Suchleiste Beschreibungen ein, um Ihre erste Abfrage zu erstellen oder entsprechende YARA-L-Vorschläge zu erhalten oder zu übersetzen.
  • SPL → YARA-L Translator (Labs-Tool): Wenn Sie von einer anderen Plattform wechseln, können Sie mit diesem Tool (im Bereich Labs verfügbar) alte Splunk-SPL-Abfragen in YARA-L konvertieren. So wird ein strukturierter Ausgangspunkt geschaffen, der die Migration beschleunigt und die Erkennungslogik optimiert. Wenn Sie das Labs-Tool verwenden möchten, rufen Sie in Google SecOps yourinstancename.chronicle.security/labs auf.

Nächste Schritte

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten