Akamai WAF-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Akamai WAF-Logs mit Google Cloud Storage oder AWS S3 in Google Security Operations exportieren und aufnehmen. Der Parser verarbeitet die Logs und unterstützt sowohl das Syslog- als auch das CEF-Format. Sie extrahiert Felder wie IP-Adressen, URLs, HTTP-Methoden, Antwortcodes, User-Agents und Informationen zu Sicherheitsregeln und ordnet sie dem einheitlichen Datenmodell (Unified Data Model, UDM) zu, um eine einheitliche Darstellung zu gewährleisten. Der Parser verarbeitet auch bestimmte Akamai-Felder wie attackData und clientReputation, führt die erforderlichen Datentransformationen durch und erweitert die UDM-Ausgabe.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Privilegierter Zugriff auf Google Cloud oder AWS
  • Privilegierter Zugriff auf Akamai

Akamai WAF-Logs aus Cloud Storage exportieren und aufnehmen

In diesem Abschnitt wird der erste Schritt des Prozesses beschrieben: das Einrichten des erforderlichen Speichers für Ihre Akamai WAF-Logs.

Google Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud -Konsole an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite „Bucket erstellen“ die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      • Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht (z. B. akamai-waf-logs).
      • Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.
      • Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Abschnitt Labels zu maximieren.
      • Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      • Standorttyp auswählen.
      • Wählen Sie im Drop-down-Menü für den Standorttyp einen Standort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.
      • Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      • Wählen Sie unter Datenschutz die gewünschten Optionen für Ihren Bucket aus.
      • Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit dem Label Datenverschlüsselung und wählen Sie eine Datenverschlüsselungsmethode aus.

  5. Klicken Sie auf Erstellen.

Berechtigungen für Cloud Storage konfigurieren

  1. Zur Seite "Dienstkonto erstellen"

    Zur Seite „Dienstkonto erstellen“

  2. Wählen Sie ein Google Cloud-Projekt aus.

  3. Geben Sie einen Dienstkontonamen ein, der in der Google Cloud Console angezeigt werden soll.

  4. Klicken Sie auf Erstellen und fortfahren.

  5. Weisen Sie dem Bucket die Rolle roles/storage.admin zu.

  6. Klicken Sie auf Fertig, um das Erstellen des Dienstkontos abzuschließen.

Dienstkontoschlüsseldatei erstellen und herunterladen Google Cloud

  1. Rufen Sie die Seite Dienstkonten auf.

    Zur Seite „Dienstkonten“

  2. Wählen Sie ein Google Cloud-Projekt aus.

  3. Klicken Sie auf die E-Mail-Adresse des neu erstellten Dienstkontos.

  4. Klicken Sie auf den Tab Schlüssel.

  5. Klicken Sie auf das Menü Schlüssel hinzufügen und wählen Sie Neuen Schlüssel erstellen aus.

  6. Wählen Sie als Schlüsseltyp JSON aus und klicken Sie auf Erstellen.

    • Wenn Sie auf Erstellen klicken, wird eine Dienstkontoschlüsseldatei heruntergeladen. Nachdem Sie die Schlüsseldatei heruntergeladen haben, können Sie sie nicht noch einmal herunterladen.
    • Der heruntergeladene Schlüssel hat das folgende Format, wobei PRIVATE_KEY der private Teil des öffentlichen/privaten Schlüsselpaars ist.

Akamai WAF so konfigurieren, dass Logs an Cloud Storage gesendet werden

  1. Melden Sie sich im Akamai Control Center an.
  2. Gehen Sie zum Abschnitt Sicherheit.
  3. Wählen Sie Logs aus.
  4. Neue Log Delivery konfigurieren:
    • Log Source (Protokollquelle): Wählen Sie Ihre WAF-Konfiguration aus.
    • Ziel:Wählen Sie Google Cloud Storage aus.
    • Anzeigename: Geben Sie einen eindeutigen Namen ein.
    • Bucket:Geben Sie den Namen des Cloud Storage-Bucket an, den Sie erstellt haben (z. B. gs://akamai-waf-logs).
    • Projekt-ID:Geben Sie die eindeutige ID Ihres Google Cloud Projekts ein.
    • Name des Dienstkontos: Geben Sie den Namen des Dienstkontos ein, das Sie zuvor erstellt haben.
    • Privater Schlüssel:Geben Sie den Wert private_key aus dem JSON-Schlüssel ein, den Sie zuvor generiert und heruntergeladen haben. Geben Sie Ihren privaten Schlüssel im PEM-Format mit Zeilenumbruchsymbolen (\n) ein, z. B. -----BEGIN PRIVATE KEY-----\nprivate_key\n-----END PRIVATE KEY-----\n.
    • Logformat:Wählen Sie das gewünschte Logformat aus, z. B. JSON.
    • Push-Häufigkeit:Wählen Sie die Häufigkeit aus, mit der Protokolle bereitgestellt werden sollen (z. B. every 60 seconds).

  5. Klicken Sie auf Validieren und speichern, um die Verbindung zum Ziel zu validieren und die von Ihnen angegebenen Details zu speichern.

  6. Klicken Sie auf Weiter, um den Tab Zusammenfassung aufzurufen.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM Settings“ > „Feeds“ mit Google Cloud Storage einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Akamai WAF Logs (Akamai WAF-Logs).
  5. Wählen Sie Google Cloud Storage als Quelltyp aus.
  6. Wählen Sie Akamai WAF als Logtyp aus.
  7. Klicken Sie auf Dienstkonto abrufen als Chronicle-Dienstkonto.
  8. Klicken Sie auf Weiter.

  9. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URI: Google Cloud Storage-Bucket-URL (z. B. gs://akamai-waf-logs).
    • URI Is A (URI ist ein): Wählen Sie Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen) aus.
    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option zum Löschen aus.

  10. Klicken Sie auf Weiter.

  11. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm „Abschließen“ und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Storage-Bucket-URI: Google Cloud Storage-Bucket-URL (z. B. gs://akamai-waf-logs).
  • URI Is A (URI ist ein): Wählen Sie Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen) aus.

  • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option zum Löschen aus.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Akamai WAF-Logs aus AWS S3 exportieren und aufnehmen

In diesem Abschnitt werden die ersten Schritte zum Einrichten Ihres Amazon S3-Buckets zum Empfangen und Speichern von Akamai WAF-Logs beschrieben.

Amazon S3-Bucket konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu dieser Anleitung: Bucket erstellen.
  2. Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung.
  3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie Drittanbieterdienst als Anwendungsfall aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungstag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die zukünftige Verwendung zu speichern.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess.
  18. Wählen Sie die Richtlinie aus.
  19. Klicken Sie auf Weiter.
  20. Klicken Sie auf Berechtigungen hinzufügen.

Akamai WAF so konfigurieren, dass Logs an Amazon S3 gesendet werden

  1. Melden Sie sich im Akamai Control Center an.
  2. Gehen Sie zum Abschnitt Sicherheit.
  3. Wählen Sie Logs aus.

  4. So konfigurieren Sie eine neue Logübermittlung:

    • Log Source (Protokollquelle): Wählen Sie Ihre WAF-Konfiguration aus.
    • Ziel:Wählen Sie Amazon S3 aus.
    • S3-Bucket:Geben Sie den Namen des S3-Buckets an, den Sie erstellt haben.
    • Region:Wählen Sie die AWS-Region aus, in der sich Ihr S3-Bucket befindet.
    • Zugriffsschlüssel-ID und Secret-Zugriffsschlüssel:Geben Sie die Anmeldedaten ein, die Sie generiert haben.
    • Logformat:Wählen Sie das gewünschte Logformat aus, z. B. JSON.

    • Auslieferungshäufigkeit:Wählen Sie die Häufigkeit aus, mit der Protokolle ausgeliefert werden sollen, z. B. alle 5 Minuten.

  5. Logzustellung bestätigen:

    • Nach der Konfiguration von LDS müssen Sie den S3-Bucket auf eingehende Logdateien überwachen.

Feeds über „SIEM Settings“ > „Feeds“ mit AWS S3 einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Akamai WAF Logs (Akamai WAF-Logs).
  5. Wählen Sie Amazon S3 als Quelltyp aus.
  6. Wählen Sie Akamai WAF als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: Der Bucket-URI. s3:/BUCKET_NAME Ersetzen Sie Folgendes:
      • BUCKET_NAME: der Name des Buckets.
    • URI is a (URI ist ein): Wählen Sie den URI-TYP entsprechend der Logstream-Konfiguration aus: Single file (Einzelne Datei) | Directory (Verzeichnis) | Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen).
    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.
    • Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Secret Access Key (Geheimer Zugriffsschlüssel): Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm „Abschließen“ und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld (aufsteigend) UDM-Zuordnung Logik
attackData.clientIP principal.ip, principal.asset.ip IP-Adresse des Clients, der die Anfrage initiiert. Aus dem Feld attackData.clientIP in den akamai_siem-Logs extrahiert.
attackData.configId metadata.product_log_id ID der Sicherheitskonfiguration. Aus dem Feld attackData.configId in den akamai_siem-Logs extrahiert. Wird auch als „detection_field“ im Objekt „security_result“ hinzugefügt.
attackData.policyId Wird in der Parserlogik verwendet, um security_result.summary mit dem Wert PolicyId:[value] zu füllen.
attackData.ruleActions security_result.action, security_result.action_details Aktionen, die auf Grundlage der ausgelösten Regel ausgeführt wurden. Aus dem Feld attackData.ruleActions in den akamai_siem-Logs extrahiert. „deny“ wird BLOCK zugeordnet, andere Werte („alert“, „monitor“, „allow“, „tarpit“) werden ALLOW zugeordnet. Der ursprüngliche Wert wird auch in action_details gespeichert.
attackData.ruleData security_result.detection_fields Daten, die mit der ausgelösten Regel verknüpft sind. Aus dem Feld attackData.ruleData in den akamai_siem-Logs extrahiert. Der Liste security_result.detection_fields wurde mit dem Schlüssel „RuleData“ ein Element hinzugefügt.
attackData.ruleMessages security_result.threat_name Nachrichten, die mit der ausgelösten Regel verknüpft sind. Aus dem Feld attackData.ruleMessages in den akamai_siem-Logs extrahiert.
attackData.ruleSelectors security_result.detection_fields Mit der ausgelösten Regel verknüpfte Selektoren. Aus dem Feld attackData.ruleSelectors in den akamai_siem-Logs extrahiert. Dem security_result.detection_fields mit dem Schlüssel „RuleSelector“ hinzugefügt.
attackData.ruleTags security_result.category_details Tags, die der ausgelösten Regel zugeordnet sind. Aus dem Feld attackData.ruleTags in den akamai_siem-Logs extrahiert.
attackData.ruleVersions security_result.detection_fields Versionen der ausgelösten Regeln. Aus dem Feld attackData.ruleVersions in den akamai_siem-Logs extrahiert. Dem security_result.detection_fields mit dem Schlüssel „Rule Version“ hinzugefügt.
clientReputation principal.labels Informationen zum Ruf des Kunden. Aus dem Feld clientReputation in den akamai_siem-Logs extrahiert. Wurde als Label für das Rechtssubjekt mit dem Schlüssel „reputation“ hinzugefügt.
cliIP, cli_ip, principal_ip principal.ip, principal.asset.ip IP-Adresse des Clients. Je nach Logformat aus cliIP, cli_ip oder principal_ip extrahiert.
cp additional.fields CP-Code. Aus dem Feld „cp“ extrahiert. Dem additional.fields mit dem Schlüssel „cp“ hinzugefügt.
eventId metadata.product_log_id Ereignis-ID Aus dem Feld „eventId“ extrahiert.
eventTime, log_date metadata.event_timestamp Zeitstempel des Ereignisses. Je nach Log-Format aus eventTime extrahiert oder aus log_date geparst.
eventType.eventDefinition.eventDefinitionId target.resource.product_object_id ID der Ereignisdefinition. Extrahierte Daten aus eventType.eventDefinition.eventDefinitionId.
eventType.eventDefinition.eventDescription metadata.description Terminbeschreibung. Extrahierte Daten aus eventType.eventDefinition.eventDescription.
eventType.eventDefinition.eventName metadata.product_event_type Ereignisname Extrahierte Daten aus eventType.eventDefinition.eventName.
eventType.eventTypeId additional.fields Ereignistyp-ID. Extrahierte Daten aus eventType.eventTypeId. Wurde additional.fields mit dem Schlüssel „eventTypeId“ hinzugefügt.
eventType.eventTypeName additional.fields Name des Ereignistyps. Extrahierte Daten aus eventType.eventTypeName. Dem additional.fields wurde der Schlüssel „eventTypeName“ hinzugefügt.
format Wird vom Parser verwendet, um das Logformat zu bestimmen.
geo.asn principal.location.name Autonome Systemnummer (ASN). Wird je nach Logformat aus geo.asn oder AkamaiSiemASN extrahiert. Dem Wert wird „ASN “ vorangestellt.
geo.city principal.location.city Stadt: Wird je nach Logformat aus geo.city oder AkamaiSiemCity extrahiert.
geo.country principal.location.country_or_region Land. Wird je nach Logformat aus geo.country oder AkamaiSiemContinent extrahiert.
httpMessage.bytes network.sent_bytes Anzahl der in der HTTP-Nachricht gesendeten Bytes. Extrahierte Daten aus httpMessage.bytes.
httpMessage.host target.hostname, target.asset.hostname Hostname Wird je nach Logformat aus httpMessage.host oder reqHost extrahiert.
httpMessage.method network.http.method HTTP-Methode. Je nach Logformat aus httpMessage.method, network_http_method oder reqMethod extrahiert. In Großbuchstaben umgewandelt.
httpMessage.path target.url Anfragepfad. Je nach Logformat aus httpMessage.path, target_url oder reqPath extrahiert. Wenn httpMessage.query vorhanden ist, wird es mit dem Trennzeichen „?“ an den Pfad angehängt.
httpMessage.port target.port Port. Wird je nach Logformat aus httpMessage.port oder reqPort extrahiert.
httpMessage.protocol Wird vom Parser verwendet, um das Protokoll zu bestimmen.
httpMessage.query Wird in der Parserlogik verwendet, um httpMessage.path anzuhängen, falls vorhanden.
httpMessage.requestId network.session_id Anfrage-ID. Wird je nach Logformat aus httpMessage.requestId oder reqId extrahiert.
httpMessage.requestHeaders, AkamaiSiemRequestHeaders additional.fields Anfrageheader. Wird je nach Logformat aus httpMessage.requestHeaders oder AkamaiSiemRequestHeaders extrahiert. Zu additional.fields mit dem Schlüssel „AkamaiSiemRequestHeaders“ hinzugefügt.
httpMessage.responseHeaders, AkamaiSiemResponseHeaders additional.fields Antwortheader. Wird je nach Logformat aus httpMessage.responseHeaders oder AkamaiSiemResponseHeaders extrahiert. Wurde additional.fields mit dem Schlüssel „AkamaiSiemResponseHeaders“ hinzugefügt.
httpMessage.status, AkamaiSiemResponseStatus, network_http_response_code, statusCode network.http.response_code HTTP-Antwortcode. Wird je nach Logformat aus httpMessage.status, AkamaiSiemResponseStatus, network_http_response_code oder statusCode extrahiert.
httpMessage.tls, AkamaiSiemTLSVersion, tlsVersion network.tls.version TLS-Version. Je nach Logformat aus httpMessage.tls, AkamaiSiemTLSVersion oder tlsVersion extrahiert.
httpMessage.useragent, network_http_user_agent, UA, useragent network.http.user_agent User-Agent Wird je nach Logformat aus httpMessage.useragent, network_http_user_agent, UA oder useragent extrahiert.
log_description metadata.description Logbeschreibung. Extrahierte Daten aus log_description.
log_rule security_result.rule_name Logregel. Extrahierte Daten aus log_rule.
message Die Roh-Lognachricht. Wird vom Parser für verschiedene Extraktionen verwendet.
network_http_referral_url network.http.referral_url HTTP-Verweis-URL Extrahierte Daten aus network_http_referral_url.
proto Wird in der Parserlogik verwendet, um security_result.summary zu befüllen, wenn attackData.policyId nicht vorhanden ist.
reqHost target.hostname, target.asset.hostname Host anfordern. Extrahierte Daten aus reqHost.
reqId metadata.product_log_id, network.session_id Anfrage-ID. Extrahierte Daten aus reqId.
reqMethod network.http.method Anfragemethode. Extrahierte Daten aus reqMethod.
reqPath target.url Anfragepfad. Extrahierte Daten aus reqPath.
reqPort target.port Anfrageport Extrahierte Daten aus reqPort.
rspContentType target.file.mime_type Antwortinhaltstyp. Extrahierte Daten aus rspContentType.
securityRules security_result.rule_name, security_result.about.resource.attribute.labels Sicherheitsregeln. Extrahierte Daten aus securityRules. Der erste Teil wird rule_name zugeordnet und der Rest wird als Labels mit den Schlüsseln „non_deny_rules“ und „deny_rule_format“ hinzugefügt.
statusCode network.http.response_code Status code. Extrahierte Daten aus statusCode.
state principal.location.state, target.user.personal_address.state Bundesstaat: Extrahierte Daten aus state.
tlsVersion network.tls.version TLS-Version. Extrahierte Daten aus tlsVersion.
type metadata.product_event_type Ereignistyp. Extrahierte Daten aus type.
UA network.http.user_agent User-Agent Extrahierte Daten aus UA.
version metadata.product_version, principal.asset.software.version Version Extrahierte Daten aus version.
metadata.event_timestamp Der Ereigniszeitstempel wird aus dem Feld _ts in akamai_lds-Logs, dem Feld httpMessage.start in akamai_siem-Logs oder dem Feld log_date in anderen Formaten abgeleitet.
metadata.vendor_name Fest codiert auf „Akamai“.
metadata.product_name Fest codiert auf „Kona“.
metadata.log_type Fest codiert auf „AKAMAI_WAF“.
network.application_protocol Legen Sie für akamai_siem- und akamai_lds-Logs „HTTP“ und für andere Formate „DNS“ fest.
security_result.severity Legen Sie für die Aktion „alert“ (Warnung) den Wert „MEDIUM“ (Mittel), für die Aktion „deny“ (Verweigern) den Wert „CRITICAL“ (Kritisch) und für andere Aktionen den Wert „HIGH“ (Hoch) fest.
event.idm.read_only_udm.metadata.event_type Legen Sie für die meisten Logformate „NETWORK_HTTP“ fest, für Ereignisse mit den Feldern eventId oder eventData „GENERIC_EVENT“ und für Ereignisse mit cli_ip oder p_ip, aber ohne reqHost „STATUS_UPDATE“.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten