收集 Microsoft Exchange 記錄
支援以下發布途徑:
Google secops
Siem
本文說明如何使用 Bindplane 將 Microsoft Exchange 記錄匯入 Google Security Operations。剖析器會先嘗試將傳入的「message」欄位解讀為 JSON。如果這項作業失敗,系統會套用一系列 Grok 模式和 CSV 剖析技術,從原始訊息字串中擷取欄位,處理各種 Microsoft Exchange 記錄格式,並填入標準化的統一資料模型 (UDM) 結構定義,以便進行安全性分析。
事前準備
請確認您已具備下列必要條件:
- Google SecOps 執行個體
- Windows 2016 以上版本,或搭載
systemd的 Linux 主機 - 如果在 Proxy 後方執行,防火牆通訊埠會開啟
- 已安裝的 Exchange 服務
- Microsoft Windows Exchange 的特殊存取權
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。請在將要安裝 Bindplane 的系統上,安全地儲存檔案。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」部分中的客戶 ID。
安裝 Bindplane 代理程式
Windows 安裝
- 以系統管理員身分開啟命令提示字元或 PowerShell。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有 root 或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
如需其他安裝選項,請參閱安裝指南。
設定 Bindplane 代理程式,以便擷取系統記錄檔並傳送至 Google SecOps
- 存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'EXCHANGE_MAIL' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels視基礎架構需求替換通訊埠和 IP 位址。
將
<customer_id>替換為實際的客戶 ID。在「取得 Google SecOps 攝入驗證檔案」部分,將
/path/to/ingestion-authentication-file.json更新為驗證檔案的儲存路徑。
重新啟動 Bindplane 代理程式以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent如要在 Windows 中重新啟動 Bindplane 代理程式,您可以使用「Services」主控台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
設定 MS Exchange 事件收集和匯出作業
- 登入 MS Exchange 伺服器電腦。
- 在 Windows Server 上下載並安裝 NXlog。
- 前往 NXlog 安裝路徑,然後開啟設定檔。
- 使用文字編輯器開啟位於 conf 目錄 (通常位於
C:\Program Files\nxlog\conf (Default Installation Path) 的nxlog.conf檔案。 加入下列設定程式碼:
<Input eventlog> Module im_msvistalog <QueryXML> <QueryList> <Query Id="0" Path="Application"> <Select Path="Application"> *[System[(Level=1 or Level=2 or Level=3)]] </Select> <Select Path="System"> *[System[(Level=1 or Level=2 or Level=3)]] </Select> <Select Path="MSExchange Management">*</Select> </Query> </QueryList> </QueryXML> </Input> <Output syslog> Module om_udp Host <bindplane-agent-ip> Port <bindplane-agent-port> Exec to_syslog_bsd(); </Output> <Route exchange_to_syslog> Path eventlog => syslog </Route>將
<bindplane-agent-ip>和<bindplane-agent-port>替換為 Bindplane 設定的 IP 位址和通訊埠。啟動 NXLog 服務:
- 在 Windows Server 上開啟「Services」 (services.msc)。
- 在服務清單中找到 NXLog 服務。
- 在 NXLog 上按一下滑鼠右鍵,然後選取「Start」。
選用:自動執行 NXLog 啟動:
- 開啟「服務」 (services.msc)。
- 在清單中找出 NXLog。
- 按一下滑鼠右鍵,然後選取「內容」。
- 將「啟動」類型設為「自動」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| c-ip | read_only_udm.target.asset.ip | 從 c-ip 欄位取得的值 |
| c-ip | read_only_udm.target.ip | 從 c-ip 欄位取得的值 |
| client-hostname | read_only_udm.principal.asset.hostname | 從 client-hostname 欄位取得的值 |
| client-hostname | read_only_udm.principal.hostname | 從 client-hostname 欄位取得的值 |
| client-ip | read_only_udm.principal.asset.ip | 從 client-ip 欄位取得的值 |
| client-ip | read_only_udm.principal.ip | 從 client-ip 欄位取得的值 |
| 第 1 欄 | read_only_udm.metadata.event_timestamp | 從 column1 欄位取得的值 |
| column10 | read_only_udm.intermediary.resource.attribute.labels.value | 從 column10 欄位取得的值 |
| column11 | read_only_udm.network.email.mail_id | 從 column11 欄位取得的值 |
| column12 | read_only_udm.additional.fields.value.string_value | 從 column12 欄位取得的值 |
| column13 | read_only_udm.network.email.to | 從 column13 欄位取得的值 |
| column13 | read_only_udm.target.user.email_addresses | 從 column13 欄位取得的值 |
| column15 | read_only_udm.additional.fields.value.string_value | 從 column15 欄位取得的值 |
| column16 | read_only_udm.target.resource.attribute.labels.value | 從 column16 欄位取得的值 |
| column19 | read_only_udm.network.email.subject | 從 column19 欄位取得的值 |
| 第 2 欄 | read_only_udm.principal.asset.ip | 從 column2 欄位取得的值 |
| 第 2 欄 | read_only_udm.principal.ip | 從 column2 欄位取得的值 |
| column20 | read_only_udm.network.email.from | 從 column20 欄位取得的值 |
| column20 | read_only_udm.principal.user.email_addresses | 從 column20 欄位取得的值 |
| column21 | read_only_udm.security_result.detection_fields.value | 從 column21 欄位取得的值 |
| column22 | read_only_udm.security_result.description | 從 column22 欄位取得的值 |
| column24 | read_only_udm.additional.fields.value.string_value | 從 column24 欄位取得的值 |
| column25 | read_only_udm.principal.asset.ip | 從 column25 欄位取得的值 |
| column25 | read_only_udm.principal.ip | 從 column25 欄位取得的值 |
| column26 | read_only_udm.target.asset.ip | 從 column26 欄位取得的值 |
| column26 | read_only_udm.target.ip | 從 column26 欄位取得的值 |
| column27 | read_only_udm.security_result.detection_fields.value | 從 column27 欄位取得的值 |
| column28 | read_only_udm.additional.fields.value.string_value | 從 column28 欄位取得的值 |
| column29 | read_only_udm.metadata.product_log_id | 從 column29 欄位取得的值 |
| 第 3 欄 | read_only_udm.principal.asset.hostname | 從 column3 欄位取得的值 |
| 第 3 欄 | read_only_udm.principal.hostname | 從 column3 欄位取得的值 |
| column30 | read_only_udm.metadata.product_version | 從 column30 欄位取得的值 |
| column4 | read_only_udm.target.asset.ip | 從 column4 欄位取得的值 |
| column4 | read_only_udm.target.ip | 從 column4 欄位取得的值 |
| column5 | read_only_udm.target.asset.hostname | 從 column5 欄位取得的值 |
| column5 | read_only_udm.target.hostname | 從 column5 欄位取得的值 |
| column6 | read_only_udm.metadata.event_timestamp | 從 column6 欄位取得的值 |
| column6 | read_only_udm.network.http.response_code | 從 column6 欄位取得的值 |
| column6 | read_only_udm.network.session_id | 從 column6 欄位取得的值 |
| column6 | read_only_udm.metadata.description | 從 column6 欄位取得的值 |
| column7 | read_only_udm.additional.fields.value.string_value | 從 column7 欄位取得的值 |
| column8 | read_only_udm.additional.fields.value.string_value | 從 column8 欄位取得的值 |
| column9 | read_only_udm.metadata.product_event_type | 從 column9 欄位取得的值 |
| connector_id | read_only_udm.additional.fields.value.string_value | 從 connector-id 欄位取得的值 |
| cs-method | read_only_udm.network.http.method | 從 cs-method 欄位取得的值 |
| cs-uri-query | read_only_udm.target.url | 從 cs-uri-query 欄位取得的值 |
| cs-uri-stem | read_only_udm.target.url | 從 cs-uri-stem 欄位取得的值 |
| csReferer | read_only_udm.network.http.referral_url | 從 csReferer 欄位取得的值 |
| csUser-Agent | read_only_udm.network.http.user_agent | 從 csUser-Agent 欄位取得的值 |
| cs-username | read_only_udm.principal.user.userid | 從 cs-username 欄位取得的值 |
| custom-data | read_only_udm.security_result.detection_fields.value | 從 custom-data 欄位取得的值 |
| 資料 | read_only_udm.security_result.about.labels.value | 從 data 欄位取得的值 |
| 資料 | read_only_udm.security_result.description | 從 data 欄位取得的值 |
| 資料 | read_only_udm.network.email.from | 從 data 欄位取得的值 |
| 資料 | read_only_udm.network.email.to | 從 data 欄位取得的值 |
| 資料 | read_only_udm.target.hostname | 從 data 欄位取得的值 |
| 資料 | read_only_udm.security_result.description | 從 data 欄位取得的值 |
| 資料 | read_only_udm.network.sent_bytes | 從 data 欄位取得的值 |
| 資料 | read_only_udm.target.user.email_addresses | 從 data 欄位取得的值 |
| 日期 | read_only_udm.metadata.event_timestamp | 從 date 和 time 欄位取得的值 |
| 日期時間 | read_only_udm.metadata.event_timestamp | 從 date-time 欄位取得的值 |
| DeliveryLatency | read_only_udm.security_result.detection_fields.value | 從 custom-data 或 message-info 的 DeliveryLatency 欄位取得的值 |
| DeliveryPriority | read_only_udm.security_result.detection_fields.value | 從 custom-data 或 column21 欄位的 DeliveryPriority 欄位取得的值 |
| DeliveryPriority | read_only_udm.security_result.priority | 如果 DeliveryPriority 為 Low 或 Normal,則為 LOW_PRIORITY;如果 DeliveryPriority 為 Medium,則為 MEDIUM_PRIORITY;如果 DeliveryPriority 為 High,則為 HIGH_PRIORITY |
| 方向 | read_only_udm.network.direction | 如果 directionality 為 Incoming,則為 INBOUND;如果 directionality 為 Originating,則為 OUTBOUND |
| E2ELatency | read_only_udm.security_result.detection_fields.value | 從 custom-data 或 message-info 的 E2ELatency 欄位取得的值 |
| 活動 | read_only_udm.metadata.product_event_type | 如果 event 為 +,則為 Connect;如果 event 為 -,則為 Disconnect;如果 event 為 *,則為 Information;如果 event 為 >,則為 Send;如果 event 為 <,則為 Receive |
| 活動 | read_only_udm.network.direction | 如果 event 為 >,則為 OUTBOUND;如果 event 為 <,則為 INBOUND |
| EventID | read_only_udm.security_result.detection_fields.value | 從 EventID 欄位取得的值 |
| EventReceivedTime | read_only_udm.metadata.collected_timestamp | 從 EventReceivedTime 欄位取得的值 |
| EventReceivedTime | read_only_udm.metadata.event_timestamp | 從 column6 的 EventReceivedTime 欄位取得的值 |
| FirstForestHop | read_only_udm.security_result.detection_fields.value | 從 custom-data 的 FirstForestHop 欄位取得的值 |
| FromEntity | read_only_udm.security_result.detection_fields.value | 從 custom-data 或 message-info 的 FromEntity 欄位取得的值 |
| guid | read_only_udm.metadata.product_log_id | 從 guid 欄位取得的值 |
| 主機名稱 | read_only_udm.principal.asset.hostname | 從 Hostname 欄位取得的值 |
| 主機名稱 | read_only_udm.principal.hostname | 從 Hostname 欄位取得的值 |
| IncludeInSla | read_only_udm.security_result.detection_fields.value | 從 custom-data 或 message-info 的 IncludeInSla 欄位取得的值 |
| internal-message-id | read_only_udm.intermediary.resource.attribute.labels.value | 從 internal-message-id 欄位取得的值 |
| IsProbe | read_only_udm.security_result.detection_fields.value | 從 custom-data 或 column21 欄位的 IsProbe 欄位取得的值 |
| 關鍵字 | read_only_udm.security_result.detection_fields.value | 從 Keywords 欄位取得的值 |
| local-endpoint | read_only_udm.principal.asset.ip | 從 local-endpoint 欄位取得的值 |
| local-endpoint | read_only_udm.principal.ip | 從 local-endpoint 欄位取得的值 |
| local-endpoint | read_only_udm.principal.port | 從 local-endpoint 欄位取得的值 |
| 信箱 | read_only_udm.security_result.detection_fields.value | 從 custom-data 或 message-info 的 Mailboxes 欄位取得的值 |
| MailboxDatabaseGuid | read_only_udm.security_result.detection_fields.value | 從 custom-data 或 message-info 的 MailboxDatabaseGuid 欄位取得的值 |
| MAIL FROM | read_only_udm.network.email.from | 從 data 中的 MAIL FROM 欄位取得的值 |
| MAIL FROM | read_only_udm.principal.user.email_addresses | 從 data 中的 MAIL FROM 欄位取得的值 |
| MAIL From | read_only_udm.network.email.from | 從 data 的 MAIL From 欄位取得的值 |
| MAIL From | read_only_udm.principal.user.email_addresses | 從 data 中的 MAIL From 欄位取得的值 |
| message-id | read_only_udm.network.email.mail_id | 從 message-id 欄位取得的值 |
| message-info | read_only_udm.security_result.detection_fields.value | 從 message-info 欄位取得的值 |
| message-info | read_only_udm.security_result.description | 從 message-info 欄位取得的值 |
| MessageValue | read_only_udm.security_result.detection_fields.value | 從 custom-data 中的 MessageValue 欄位取得的值 |
| message-subject | read_only_udm.network.email.subject | 從 message-subject 欄位取得的值 |
| 方法 | read_only_udm.network.http.method | 從 method 欄位取得的值 |
| Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel | read_only_udm.security_result.detection_fields.value | 從 custom-data 的 Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel 欄位取得的值 |
| MsgRecipCount | read_only_udm.security_result.detection_fields.value | 從 custom-data 或 message-info 的 MsgRecipCount 欄位取得的值 |
| network-message-id | read_only_udm.additional.fields.value.string_value | 從 network-message-id 欄位取得的值 |
| OriginalFromAddress | read_only_udm.principal.user.email_addresses | 從 custom-data 或 column21 欄位的 OriginalFromAddress 欄位取得的值 |
| P2RecipStat | read_only_udm.security_result.detection_fields.value | 從 custom-data 或 message-info 的 P2RecipStat 欄位取得的值 |
| PersistProbeTrace | read_only_udm.security_result.detection_fields.value | 從 custom-data 或 column21 欄位的 PersistProbeTrace 欄位取得的值 |
| PrioritizationReason | read_only_udm.security_result.detection_fields.value | 從 custom-data 中的 PrioritizationReason 欄位取得的值 |
| ProbeType | read_only_udm.security_result.detection_fields.value | 從 custom-data 或 column21 欄位的 ProbeType 欄位取得的值 |
| ProcessID | read_only_udm.principal.process.pid | 從 ProcessID 欄位取得的值 |
| ProxiedClientHostname | read_only_udm.intermediary.hostname | 從 custom-data 的 ProxiedClientHostname 欄位取得的值 |
| ProxiedClientIPAddress | read_only_udm.intermediary.asset.ip | 從 custom-data 的 ProxiedClientIPAddress 欄位取得的值 |
| ProxiedClientIPAddress | read_only_udm.intermediary.ip | 從 custom-data 的 ProxiedClientIPAddress 欄位取得的值 |
| ProxyHop1 | read_only_udm.security_result.detection_fields.value | 從 custom-data 中的 ProxyHop1 欄位取得的值 |
| RCPT TO | read_only_udm.network.email.to | 從 data 的 RCPT TO 欄位取得的值 |
| RCPT TO | read_only_udm.target.user.email_addresses | 從 data 的 RCPT TO 欄位取得的值 |
| RCPT To | read_only_udm.network.email.to | 從 data 的 RCPT To 欄位取得的值 |
| RCPT To | read_only_udm.target.user.email_addresses | 從 data 的 RCPT To 欄位取得的值 |
| recipient-address | read_only_udm.target.user.email_addresses | 從 recipient-address 欄位取得的值 |
| recipient-count | read_only_udm.target.resource.attribute.labels.value | 從 recipient-count 欄位取得的值 |
| recipient-status | read_only_udm.target.resource.attribute.labels.value | 從 recipient-status 欄位取得的值 |
| remote-endpoint | read_only_udm.target.asset.ip | 從 remote-endpoint 欄位取得的值 |
| remote-endpoint | read_only_udm.target.ip | 從 remote-endpoint 欄位取得的值 |
| remote-endpoint | read_only_udm.target.port | 從 remote-endpoint 欄位取得的值 |
| res_code | read_only_udm.network.http.response_code | 從 res_code 欄位取得的值 |
| s-ip | read_only_udm.principal.asset.ip | 從 s-ip 欄位取得的值 |
| s-ip | read_only_udm.principal.ip | 從 s-ip 欄位取得的值 |
| s-port | read_only_udm.principal.port | 從 s-port 欄位取得的值 |
| sc-status | read_only_udm.network.http.response_code | 從 sc-status 欄位取得的值 |
| sc-substatus | read_only_udm.additional.fields.value.string_value | 從 sc-substatus 欄位取得的值 |
| sender-address | read_only_udm.network.email.from | 從 sender-address 欄位取得的值 |
| sender-address | read_only_udm.principal.user.email_addresses | 從 sender-address 欄位取得的值 |
| 序號 | read_only_udm.additional.fields.value.number_value | 從 sequence-number 欄位取得的值 |
| server-hostname | read_only_udm.target.asset.hostname | 從 server-hostname 欄位取得的值 |
| server-hostname | read_only_udm.target.hostname | 從 server-hostname 欄位取得的值 |
| server-ip | read_only_udm.target.asset.ip | 從 server-ip 欄位取得的值 |
| server-ip | read_only_udm.target.ip | 從 server-ip 欄位取得的值 |
| session-id | read_only_udm.network.session_id | 從 session-id 欄位取得的值 |
| sessionid | read_only_udm.network.session_id | 從 sessionid 欄位取得的值 |
| 嚴重性 | read_only_udm.security_result.severity | 如果 Severity 包含 Info,則為 INFORMATIONAL;如果 Severity 包含 Error,則為 ERROR;如果 Severity 包含 Warning,則為 MEDIUM;否則為 UNKNOWN_SEVERITY |
| SeverityValue | read_only_udm.security_result.severity_details | 從 SeverityValue 欄位取得的值 |
| SlaExclusionReason | read_only_udm.security_result.detection_fields.value | 從 custom-data 中的 SlaExclusionReason 欄位擷取的值 |
| 來源 | read_only_udm.additional.fields.value.string_value | 從 source 欄位取得的值 |
| SourceModuleName | read_only_udm.principal.resource.name | 從 SourceModuleName 欄位取得的值 |
| SourceModuleType | read_only_udm.principal.resource.type | 從 SourceModuleType 欄位取得的值 |
| SourceName | read_only_udm.principal.resource.attribute.labels.value | 從 SourceName 欄位取得的值 |
| StoreObjectIds | read_only_udm.security_result.detection_fields.value | 從 custom-data 或 message-info 的 StoreObjectIds 欄位取得的值 |
| 工作 | read_only_udm.security_result.detection_fields.value | 從 Task 欄位取得的值 |
| ThreadID | read_only_udm.security_result.detection_fields.value | 從 ThreadID 欄位取得的值 |
| 時間 | read_only_udm.metadata.event_timestamp | 從 date 和 time 欄位取得的值 |
| ToEntity | read_only_udm.security_result.detection_fields.value | 從 custom-data 或 message-info 的 ToEntity 欄位取得的值 |
| total-bytes | read_only_udm.additional.fields.value.string_value | 從 total-bytes 欄位取得的值 |
| TransportTrafficSubType | read_only_udm.security_result.detection_fields.value | 從 custom-data 的 TransportTrafficSubType 欄位取得的值 |
| TransportTrafficSubType | read_only_udm.metadata.product_version | 從 custom-data 的 TransportTrafficSubType 欄位取得的值 |
| ts | read_only_udm.metadata.event_timestamp | 從 ts 欄位取得的值 |
| u_agent | read_only_udm.network.http.user_agent | 從 u_agent 欄位取得的值 |
| u_param | read_only_udm.target.url | 從 u_param 欄位取得的值 |
| u_path | read_only_udm.target.url | 從 u_path 欄位取得的值 |
| u_path | read_only_udm.target.url | 從 u_path 和 u_param 欄位取得的值 |
| 使用者 | read_only_udm.target.user.userid | 從 user 欄位取得的值 |
| 使用者 | read_only_udm.target.user.email_addresses | 從 user 欄位取得的值 |
| metadata.event_type | read_only_udm.metadata.event_type | 如果 has_principal_email 是 true,而 has_target_email 是 true,則為 EMAIL_TRANSACTION;如果 event_type 是 GENERIC_EVENT,而 principal_hostname 或 s_ip 或 host 非空白,或 has_principal 是 true,則為 STATUS_UPDATE;如果 event_type 是 GENERIC_EVENT,而 has_principal_email 是 true,或 has_target_email 是 true,則為 USER_UNCATEGORIZED;否則,則從 event_type 欄位擷取值 |
| metadata.log_type | read_only_udm.metadata.log_type | 硬式編碼值 EXCHANGE_MAIL |
| metadata.product_name | read_only_udm.metadata.product_name | 硬式編碼值 Exchange Mail |
| metadata.vendor_name | read_only_udm.metadata.vendor_name | 硬式編碼值 Microsoft |
| network.application_protocol | read_only_udm.network.application_protocol | 如果 app_protocol 是 SMTP 或 HTTP 或 HTTPS,則取自 app_protocol 欄位的值;如果 app_protocol 包含 SMTP,則取自 SMTP |
| network.direction | read_only_udm.network.direction | 如果 s_ip 非空白,則 INBOUND |
| network.email.from | read_only_udm.network.email.from | 從 from_mail 欄位取得的值 |
| network.email.mail_id | read_only_udm.network.email.mail_id | 從 msg_id 欄位取得的值 |
| network.email.subject | read_only_udm.network.email.subject | 從 column19 欄位取得的值 |
| network.email.to | read_only_udm.network.email.to | 從 to_mail 欄位取得的值 |
| network.http.method | read_only_udm.network.http.method | 從 method 欄位取得的值 |
| network.http.response_code | read_only_udm.network.http.response_code | 從 res_code 欄位取得的值 |
| network.http.user_agent | read_only_udm.network.http.user_agent | 從 u_agent 欄位取得的值 |
| network.sent_bytes | read_only_udm.network.sent_bytes | 從 sent_bytes 欄位取得的值 |
| network.session_id | read_only_udm.network.session_id | 從 sessionid 欄位取得的值 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 從 principal_hostname 欄位取得的值 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 從 host 欄位取得的值 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 從 column3 欄位取得的值 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 從 column2 欄位取得的值 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 從 column25 欄位取得的值 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 從 s_ip 欄位取得的值 |
| principal.hostname | read_only_udm.principal.hostname | 從 principal_hostname 欄位取得的值 |
| principal.hostname | read_only_udm.principal.hostname | 從 host 欄位取得的值 |
| principal.hostname | read_only_udm.principal.hostname | 從 column3 欄位取得的值 |
| principal.ip | read_only_udm.principal.ip | 從 column2 欄位取得的值 |
| principal.ip | read_only_udm.principal.ip | 從 column25 欄位取得的值 |
| principal.ip | read_only_udm.principal.ip | 從 s_ip 欄位取得的值 |
| principal.port | read_only_udm.principal.port | 從 s-port 欄位取得的值 |
| principal.user.email_addresses | read_only_udm.principal.user.email_addresses | 從 mail 欄位取得的值 |
| principal.user.email_addresses | read_only_udm.principal.user.email_addresses | 從 email_address 欄位取得的值 |
| principal.user.userid | read_only_udm.principal.user.userid | 從 cs-username 欄位取得的值 |
| security_result.about.labels.key | read_only_udm.security_result.about.labels.key | 硬式編碼值 Response Code |
| security_result.description | read_only_udm.security_result.description | 從 context 欄位取得的值 |
| security_result.description | read_only_udm.security_result.description | 從 column22 欄位取得的值 |
| security_result.priority | read_only_udm.security_result.priority | 如果 severity 是 1、2 或 3,則為 LOW;如果 severity 是 4、5 或 6,則為 MEDIUM;如果 severity 是 7、8 或 9,則為 HIGH |
| security_result.severity | read_only_udm.security_result.severity | 如果 Severity 包含 Info,則為 INFORMATIONAL;如果 Severity 包含 Error,則為 ERROR;如果 Severity 包含 Warning,則為 MEDIUM;否則為 UNKNOWN_SEVERITY |
| target.administrative_domain | read_only_udm.target.administrative_domain | 從 domain 欄位取得的值 |
| target.asset.hostname | read_only_udm.target.asset.hostname | 從 column5 欄位取得的值 |
| target.asset.hostname | read_only_udm.target.asset.hostname | 從 target_host 欄位取得的值 |
| target.asset.ip | read_only_udm.target.asset.ip | 從 column4 欄位取得的值 |
| target.asset.ip | read_only_udm.target.asset.ip | 從 column26 欄位取得的值 |
| target.asset.ip | read_only_udm.target.asset.ip | 從 c-ip 欄位取得的值 |
| target.hostname | read_only_udm.target.hostname | 從 column5 欄位取得的值 |
| target.hostname | read_only_udm.target.hostname | 從 target_host 欄位取得的值 |
| target.ip | read_only_udm.target.ip | 從 column4 欄位取得的值 |
| target.ip | read_only_udm.target.ip | 從 column26 欄位取得的值 |
| target.ip | read_only_udm.target.ip | 從 c-ip 欄位取得的值 |
| target.port | read_only_udm.target.port | 從 c_port 欄位取得的值 |
| target.resource.attribute.labels.key | read_only_udm.target.resource.attribute.labels.key | 硬式編碼值 Recipients Count |
| target.user.email_addresses | read_only_udm.target.user.email_addresses | 從 user 欄位取得的值 |
| target.user.user_display_name | read_only_udm.target.user.user_display_name | 從 username 欄位取得的值 |
| target.user.userid | read_only_udm.target.user.userid | 從 user 欄位取得的值 |
| target.url | read_only_udm.target.url | 從 u_path 欄位取得的值 |
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。