Diese Seite wurde von der Cloud Translation API übersetzt.

Cisco Meraki-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Cisco Meraki-Logs mit einem Google Security Operations-Forwarder erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahme-Label CISCO_MERAKI.

Cisco Meraki konfigurieren

Melden Sie sich im Cisco Meraki-Dashboard an.
Wählen Sie im Cisco Meraki-Dashboard Configure > Alerts & administration aus.
Führen Sie im Abschnitt Logging folgende Schritte aus:
1. Geben Sie im Feld Server-IP die IP-Adresse des Google Security Operations-Forwarders an.
2. Geben Sie im Feld Port den Portwert an, z. B. 514.
3. Wählen Sie im Feld Rollen die vier verfügbaren Optionen aus, um alle Logs zu erhalten, oder eine beliebige Kombination nach Bedarf.
Klicken Sie auf Änderungen speichern.

Google Security Operations-Forwarder und Syslog für die Aufnahme von Cisco Meraki-Logs konfigurieren

Rufen Sie die SIEM-Einstellungen > Weiterleitungen auf.
Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
Geben Sie im Feld Name des Forwarders einen eindeutigen Namen für den Forwarder ein.
Klicken Sie auf Senden. Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
Geben Sie im Feld Name des Collectors einen Namen ein.
Wählen Sie Cisco Meraki als Logtyp aus.
Wählen Sie Syslog als Collector-Typ aus.
Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Protokoll an.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, auf dem sich der Collector befindet und auf Syslog-Daten wartet.
- Port: Geben Sie den Zielport an, an dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
Klicken Sie auf Senden.

Weitere Informationen zu Google Security Operations-Weiterleitungen finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungen.

Informationen zu den Anforderungen für die einzelnen Forwarder-Typen finden Sie unter Forwarder-Konfiguration nach Typ.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz zur Feldzuordnung

Dieser Parser verarbeitet Cisco Meraki-Logs (als Cisco/Meraki identifiziert) im SYSLOG- oder JSON-Format und normalisiert sie in UDM. Es werden Grok-Muster verwendet, um Syslog-Nachrichten zu parsen, und bedingte Logik basierend auf dem Feld eventType, um relevante Informationen zu extrahieren. Dabei werden verschiedene Ereignistypen wie Netzwerkflüsse, URL-Anfragen, Firewall-Ereignisse und generische Ereignisse verarbeitet, die entsprechenden UDM-Feldern zugeordnet und mit zusätzlichem Kontext angereichert. Wenn die Eingabe kein Syslog ist, wird versucht, sie als JSON zu parsen und die relevanten Felder UDM zuzuordnen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`action`	`security_result.action`	Der Wert wird in Großbuchstaben umgewandelt. Wenn der Wert „deny“ ist, wird er durch „BLOCK“ ersetzt. Wenn `sc_action` „allow“ enthält, wird der Wert durch „ALLOW“ ersetzt. Andernfalls wird der Wert durch „BLOCK“ ersetzt, wenn `decision` „block“ enthält. Andernfalls wird es auf „ALLOW“ gesetzt, wenn `authorization` „success“ ist, und auf „BLOCK“, wenn `authorization` „failure“ ist. Andernfalls wird `pattern` auf „BLOCK“ gesetzt, wenn es „1 all“, „deny all“ oder „Group Policy Deny“ ist. Wenn `pattern` auf „allow all“ (alle zulassen), „Group Policy Allow“ (Gruppenrichtlinie zulassen) oder „0 all“ (0 alle) festgelegt ist, wird es auf „ALLOW“ (ZULASSEN) gesetzt. Andernfalls wird er auf „UNKNOWN_ACTION“ gesetzt. Wenn `decision` „block“ enthält, wird „BLOCK“ festgelegt.
`adId`	`principal.user.user_display_name`	Direkt aus dem Feld `adId` in JSON-Logs zugeordnet.
`agent`	`network.http.user_agent`	Apostrophe werden entfernt. Direkt aus dem Feld `agent` zugeordnet. Außerdem wurde sie mit dem Filter `parseduseragent` in `network.http.parsed_user_agent` umgerechnet.
`aid`	`network.session_id`	Direkt aus dem Feld `aid` zugeordnet.
`appProtocol`	`network.application_protocol`	In Großbuchstaben umgewandelt. Direkt aus dem Feld `appProtocol` zugeordnet.
`attr`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „attr“ dem Array `additional.fields` hinzugefügt.
`authorization`	`security_result.action_details`	Direkt aus dem Feld `authorization` in JSON-Logs zugeordnet.
`band`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „band“ dem `additional.fields`-Array hinzugefügt.
`bssids.bssid`	`principal.mac`	In Kleinbuchstaben umgewandelt. In das Array `principal.mac` zusammengeführt.
`bssids.detectedBy.device`	`intermediary.asset.asset_id`	Formatiert als „Geräte-ID: “.
`bssids.detectedBy.rssi`	`intermediary.asset.product_object_id`	In einen String konvertiert.
`Channel`	`about.resource.attribute.labels`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „Channel“ dem `about.resource.attribute.labels`-Array hinzugefügt.
`clientDescription`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „clientDescription“ dem `additional.fields`-Array hinzugefügt.
`clientId`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „clientId“ dem Array `additional.fields` hinzugefügt.
`clientIp`	`principal.ip`, `principal.asset.ip`	Direkt aus dem Feld `clientIp` zugeordnet.
`clientMac`	`principal.mac`	In Kleinbuchstaben umgewandelt. Direkt aus dem Feld `clientMac` in JSON-Logs zugeordnet.
`client_ip`	`principal.ip`, `principal.asset.ip`	Direkt aus dem Feld `client_ip` zugeordnet.
`client_mac`	`principal.mac`	In Kleinbuchstaben umgewandelt. Direkt aus dem Feld `client_mac` zugeordnet.
`code`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „code“ dem Array `additional.fields` hinzugefügt.
`collection_time`	`metadata.event_timestamp`	Die Felder „seconds“ und „nanos“ werden kombiniert, um einen Zeitstempel zu erstellen.
`Conditions`	`security_result.about.resource.attribute.labels`	Zeilenumbrüche, Zeilenvorschübe und Tabulatoren werden durch Leerzeichen ersetzt und bestimmte Werte werden ersetzt. Der geänderte Wert wird als Schlüssel/Wert-Paar mit dem Schlüssel „Conditions“ dem `security_result.about.resource.attribute.labels`-Array hinzugefügt.
`decision`	`security_result.action`	Wenn der Wert „blocked“ ist, wird er auf „BLOCK“ gesetzt.
`desc`	`metadata.description`	Direkt aus dem Feld `desc` zugeordnet.
`description`	`security_result.description`	Direkt aus dem Feld `description` in JSON-Logs zugeordnet.
`DestAddress`	`target.ip`, `target.asset.ip`	Direkt aus dem Feld `DestAddress` zugeordnet.
`DestPort`	`target.port`	In eine Ganzzahl konvertiert. Direkt aus dem Feld `DestPort` zugeordnet.
`deviceIp`	`target.ip`	Direkt aus dem Feld `deviceIp` zugeordnet.
`deviceMac`	`target.mac`	In Kleinbuchstaben umgewandelt. Direkt aus dem Feld `deviceMac` zugeordnet.
`deviceName`	`target.hostname`, `target.asset.hostname`	Direkt aus dem Feld `deviceName` in JSON-Logs zugeordnet.
`deviceSerial`	`target.asset.hardware.serial_number`	Direkt aus dem Feld `deviceSerial` in JSON-Logs zugeordnet.
`Direction`	`network.direction`	Sonderzeichen werden entfernt und der Wert wird `network.direction` zugeordnet.
`DisabledPrivilegeList`	`target.user.attribute`	Wagenrückläufe, Zeilenumbrüche und Tabulatoren werden ersetzt. Der geänderte Wert wird als JSON geparst und in das `target.user.attribute`-Objekt eingefügt.
`dport`	`target.port`	In eine Ganzzahl konvertiert. Direkt aus dem Feld `dport` zugeordnet.
`dst`	`target.ip`, `target.asset.ip`	Direkt aus dem Feld `dst` zugeordnet.
`dstIp`	`target.ip`, `target.asset.ip`	Direkt aus dem Feld `dstIp` zugeordnet.
`dstPort`	`target.port`	In eine Ganzzahl konvertiert. Direkt aus dem Feld `dstPort` zugeordnet.
`dvc`	`intermediary.hostname`	Direkt aus dem Feld `dvc` zugeordnet.
`EnabledPrivilegeList`	`target.user.attribute`	Wagenrückläufe, Zeilenumbrüche und Tabulatoren werden ersetzt. Der geänderte Wert wird als JSON geparst und in das `target.user.attribute`-Objekt eingefügt.
`eventData.aid`	`principal.asset_id`	Formatiert als „ASSET_ID:“.
`eventData.client_ip`	`principal.ip`, `principal.asset.ip`	Direkt aus dem Feld `eventData.client_ip` in JSON-Logs zugeordnet.
`eventData.client_mac`	`principal.mac`	In Kleinbuchstaben umgewandelt. Direkt aus dem Feld `eventData.client_mac` in JSON-Logs zugeordnet.
`eventData.group`	`principal.group.group_display_name`	Direkt aus dem Feld `eventData.group` in JSON-Logs zugeordnet.
`eventData.identity`	`principal.hostname`	Direkt aus dem Feld `eventData.identity` in JSON-Logs zugeordnet.
`eventData.ip`	`principal.ip`, `principal.asset.ip`	Direkt aus dem Feld `eventData.ip` in JSON-Logs zugeordnet.
`EventID`	`metadata.product_event_type`, `security_result.rule_name`	In einen String konvertiert. Zugeordnet zu `metadata.product_event_type`. Wird auch verwendet, um `security_result.rule_name` im Format „EventID: “ zu erstellen. Wird verwendet, um `event_type` und `sec_action` zu bestimmen.
`eventSummary`	`security_result.summary`, `metadata.description`	Direkt aus dem Feld `eventSummary` zugeordnet. Wird auch in `security_result.description` für einige Ereignisse verwendet.
`eventType`	`metadata.product_event_type`	Direkt aus dem Feld `eventType` zugeordnet. Wird verwendet, um festzulegen, welche Parsing-Logik angewendet werden soll.
`filename`	`principal.process.file.full_path`	Direkt aus dem Feld `filename` zugeordnet.
`FilterId`	`target.resource.product_object_id`	Direkt aus dem Feld `FilterId` für EventID 5447 zugeordnet.
`FilterName`	`target.resource.name`	Direkt aus dem Feld `FilterName` für EventID 5447 zugeordnet.
`FilterRTID`	`security_result.detection_fields`	Wird als Schlüssel/Wert-Paar dem `security_result.detection_fields`-Array mit dem Schlüssel „FilterRTID“ hinzugefügt.
`firstSeen`	`security_result.detection_fields`	In einen String konvertiert. Wird als Schlüssel/Wert-Paar mit dem Schlüssel „firstSeen“ dem `security_result.detection_fields`-Array hinzugefügt.
`gatewayDeviceMac`	`target.mac`	In Kleinbuchstaben umgewandelt. In das Array `target.mac` zusammengeführt.
`group`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „group“ dem `additional.fields`-Array hinzugefügt.
`GroupMembership`	`target.user`	Zeilenumbrüche, Zeilenvorschübe, Tabulatoren und Sonderzeichen werden entfernt. Der geänderte Wert wird als JSON geparst und in das `target.user`-Objekt eingefügt.
`Hostname`	`principal.hostname`, `principal.asset.hostname`	Direkt aus dem Feld `Hostname` zugeordnet.
`identity`	`target.user.userid`	Direkt aus dem Feld `identity` zugeordnet.
`instigator`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „instigator“ dem Array `additional.fields` hinzugefügt.
`int_ip`	`intermediary.ip`	Direkt aus dem Feld `int_ip` zugeordnet.
`ip_msg`	`principal.resource.attribute.labels`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „IPs“ dem `principal.resource.attribute.labels`-Array hinzugefügt.
`is_8021x`	`additional.fields`	Wird als Schlüssel/Wert-Paar dem `additional.fields`-Array mit dem Schlüssel „is_8021x“ hinzugefügt.
`KeyName`	`target.resource.name`	Direkt aus dem Feld `KeyName` zugeordnet.
`KeyFilePath`	`target.file.full_path`	Direkt aus dem Feld `KeyFilePath` zugeordnet.
`lastSeen`	`security_result.detection_fields`	In einen String konvertiert. Wird als Schlüssel/Wert-Paar mit dem Schlüssel „lastSeen“ dem `security_result.detection_fields`-Array hinzugefügt.
`last_known_client_ip`	`principal.ip`, `principal.asset.ip`	Direkt aus dem Feld `last_known_client_ip` zugeordnet.
`LayerName`	`security_result.detection_fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „Layer Name“ dem Array `security_result.detection_fields` hinzugefügt.
`LayerRTID`	`security_result.detection_fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „LayerRTID“ dem `security_result.detection_fields`-Array hinzugefügt.
`localIp`	`principal.ip`, `principal.asset.ip`	Direkt aus dem Feld `localIp` zugeordnet.
`login`	`principal.user.email_addresses`	Direkt aus dem Feld `login` in JSON-Logs zugeordnet, wenn es einem E-Mail-Adressformat entspricht.
`LogonGuid`	`additional.fields`	Wird als Schlüssel/Wert-Paar dem `additional.fields`-Array mit dem Schlüssel „LogonGuid“ hinzugefügt.
`LogonType`	`extensions.auth.mechanism`	Wird anhand des Werts einem bestimmten Authentifizierungsmechanismus zugeordnet. Wenn `PreAuthType` vorhanden ist, wird `LogonType` überschrieben. Die Werte werden so zugeordnet: 2 –> USERNAME_PASSWORD, 3 –> NETWORK, 4 –> BATCH, 5 –> SERVICE, 7 –> UNLOCK, 8 –> NETWORK_CLEAR_TEXT, 9 –> NEW_CREDENTIALS, 10 –> REMOTE_INTERACTIVE, 11 –> CACHED_INTERACTIVE, 12 –> CACHED_REMOTE_INTERACTIVE, 13 –> CACHED_UNLOCK, other –> MECHANISM_UNSPECIFIED.
`mac`	`principal.mac`	In Kleinbuchstaben umgewandelt. In das Array `principal.mac` zusammengeführt.
`MandatoryLabel`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „MandatoryLabel“ dem `additional.fields`-Array hinzugefügt.
`Message`	`security_result.description`, `security_result.summary`	Wenn `AccessReason` vorhanden ist, wird `Message` `security_result.summary` und `AccessReason` `security_result.description` zugeordnet. Andernfalls wird `Message` auf `security_result.description` abgebildet.
`method`	`network.http.method`	Direkt aus dem Feld `method` zugeordnet.
`msg`	`security_result.description`	Direkt aus dem Feld `msg` zugeordnet.
`name`	`principal.user.user_display_name`	Direkt aus dem Feld `name` in JSON-Logs zugeordnet.
`natsrcIp`	`principal.nat_ip`	Direkt aus dem Feld `natsrcIp` zugeordnet.
`natsrcport`	`principal.nat_port`	In eine Ganzzahl konvertiert. Direkt aus dem Feld `natsrcport` zugeordnet.
`network_id`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „Network ID“ dem `additional.fields`-Array hinzugefügt.
`NewProcessId`	`target.process.pid`	Direkt aus dem Feld `NewProcessId` zugeordnet.
`NewProcessName`	`target.process.file.full_path`	Direkt aus dem Feld `NewProcessName` zugeordnet.
`NewSd`	`target.resource.attribute.labels`	Wird als Schlüssel/Wert-Paar dem `target.resource.attribute.labels`-Array mit dem Schlüssel „New Security Descriptor“ hinzugefügt.
`occurredAt`	`metadata.event_timestamp`	Wird als Zeitstempel im ISO8601-Format geparst.
`ObjectName`	`target.file.full_path`, `target.registry.registry_key`, `target.process.file.full_path`, `additional.fields`	Wenn `EventID` 4663 und `ObjectType` „Process“ ist, wird sie `target.process.file.full_path` zugeordnet. Wenn `ObjectType` „Key“ ist, wird es `target.registry.registry_key` zugeordnet. Andernfalls wird sie `target.file.full_path` zugeordnet. Bei anderen Ereignissen wird es als Schlüssel/Wert-Paar mit dem Schlüssel „ObjectName“ dem `additional.fields`-Array hinzugefügt.
`ObjectType`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „ObjectType“ dem `additional.fields`-Array hinzugefügt. Wird zur Bestimmung von `event_type` verwendet.
`OldSd`	`target.resource.attribute.labels`	Wird als Schlüssel/Wert-Paar dem `target.resource.attribute.labels`-Array mit dem Schlüssel „Original Security Descriptor“ hinzugefügt.
`organizationId`	`principal.resource.id`	Direkt aus dem Feld `organizationId` in JSON-Logs zugeordnet.
`ParentProcessName`	`target.process.parent_process.file.full_path`	Direkt aus dem Feld `ParentProcessName` zugeordnet.
`pattern`	`security_result.description`	Direkt `security_result.description` zugeordnet. Wird zur Bestimmung von `security_result.action` verwendet.
`peer_ident`	`target.user.userid`	Direkt aus dem Feld `peer_ident` zugeordnet.
`PreAuthType`	`extensions.auth.mechanism`	Wird verwendet, um das Authentifizierungsverfahren zu ermitteln, falls vorhanden. Überschreibt `LogonType`.
`principalIp`	`principal.ip`, `principal.asset.ip`	Direkt aus dem Feld `principalIp` zugeordnet.
`principalMac`	`principal.mac`	In Kleinbuchstaben umgewandelt. In das Array `principal.mac` zusammengeführt.
`principalPort`	`principal.port`	In eine Ganzzahl konvertiert. Direkt aus dem Feld `principalPort` zugeordnet.
`prin_ip2`	`principal.ip`, `principal.asset.ip`	Direkt aus dem Feld `prin_ip2` zugeordnet.
`prin_url`	`principal.url`	Direkt aus dem Feld `prin_url` zugeordnet.
`priority`	`security_result.priority`	Wird basierend auf dem Wert einer Prioritätsstufe zugeordnet: 1 –> HIGH_PRIORITY, 2 –> MEDIUM_PRIORITY, 3 –> LOW_PRIORITY, andere –> UNKNOWN_PRIORITY.
`ProcessID`	`principal.process.pid`	In einen String konvertiert. Direkt aus dem Feld `ProcessID` zugeordnet.
`ProcessName`	`principal.process.file.full_path`, `target.process.file.full_path`	Wenn `EventID` 4689 ist, wird es `target.process.file.full_path` zugeordnet. Andernfalls wird sie `principal.process.file.full_path` zugeordnet.
`prod_log_id`	`metadata.product_log_id`	Direkt aus dem Feld `prod_log_id` zugeordnet.
`protocol`	`network.ip_protocol`	In Großbuchstaben umgewandelt. Wenn es sich um eine Zahl handelt, wird sie in den entsprechenden IP-Protokollnamen konvertiert. Wenn es „ICMP6“ ist, wird es durch „ICMP“ ersetzt. Direkt aus dem Feld `protocol` zugeordnet.
`ProviderGuid`	`metadata.product_deployment_id`	Direkt aus dem Feld `ProviderGuid` zugeordnet.
`query`	`network.dns.questions.name`	Direkt aus dem Feld `query` zugeordnet.
`query_type`	`network.dns.questions.type`	In `question.type` umbenannt und in das `network.dns.questions`-Array eingefügt. Wird basierend auf dem DHCP-Abfragetyp einem numerischen Wert zugeordnet.
`radio`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „radio“ dem Array `additional.fields` hinzugefügt.
`reason`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „reason“ dem Array `additional.fields` hinzugefügt.
`rec_bytes`	`network.received_bytes`	In eine vorzeichenlose Ganzzahl konvertiert. Direkt aus dem Feld `rec_bytes` zugeordnet.
`RecordNumber`	`metadata.product_log_id`	In einen String konvertiert. Direkt aus dem Feld `RecordNumber` zugeordnet.
`RelativeTargetName`	`target.process.file.full_path`	Direkt aus dem Feld `RelativeTargetName` zugeordnet.
`response_ip`	`principal.ip`, `principal.asset.ip`	Direkt aus dem Feld `response_ip` zugeordnet.
`rssi`	`intermediary.asset.product_object_id`	Direkt aus dem Feld `rssi` zugeordnet.
`sc_action`	`security_result.action_details`	Direkt aus dem Feld `sc_action` zugeordnet.
`sec_action`	`security_result.action`	In das Array `security_result.action` zusammengeführt.
`server_ip`	`client_ip`	Direkt dem Feld `client_ip` zugeordnet.
`Severity`	`security_result.severity`	Wird anhand des Werts einem Schweregrad zugeordnet: „Info“ –> INFORMATIONAL, „Error“ –> ERROR, „Warning“ –> MEDIUM, andere –> UNKNOWN_SEVERITY.
`sha256`	`target.file.sha256`	Direkt aus dem Feld `sha256` zugeordnet.
`signature`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „signature“ dem `additional.fields`-Array hinzugefügt.
`SourceAddress`	`principal.ip`, `principal.asset.ip`	Direkt aus dem Feld `SourceAddress` zugeordnet.
`SourceHandleId`	`src.resource.id`	Direkt aus dem Feld `SourceHandleId` zugeordnet.
`SourceModuleName`	`observer.labels`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „SourceModuleName“ dem `observer.labels`-Array hinzugefügt.
`SourceModuleType`	`observer.application`	Direkt aus dem Feld `SourceModuleType` zugeordnet.
`SourcePort`	`principal.port`	In eine Ganzzahl konvertiert. Direkt aus dem Feld `SourcePort` zugeordnet.
`SourceProcessId`	`src.process.pid`	Direkt aus dem Feld `SourceProcessId` zugeordnet.
`source_client_ip`	`client_ip`	Direkt dem Feld `client_ip` zugeordnet.
`sport`	`principal.port`	In eine Ganzzahl konvertiert. Direkt aus dem Feld `sport` zugeordnet.
`src`	`principal.ip`, `principal.asset.ip`	Direkt aus dem Feld `src` zugeordnet.
`ssid`	`network.session_id`	Direkt aus dem Feld `ssid` in JSON-Logs zugeordnet.
`ssidName`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „ssidName“ dem `additional.fields`-Array hinzugefügt.
`state`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „state“ dem Array `additional.fields` hinzugefügt.
`Status`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „Status“ dem `additional.fields`-Array hinzugefügt.
`status_code`	`network.http.response_code`	In eine Ganzzahl konvertiert. Direkt aus dem Feld `status_code` zugeordnet.
`SubjectDomainName`	`principal.administrative_domain`	Direkt aus dem Feld `SubjectDomainName` zugeordnet.
`SubjectLogonId`	`principal.resource.attribute.labels`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „SubjectLogonId“ dem `principal.resource.attribute.labels`-Array hinzugefügt.
`SubjectUserName`	`principal.user.userid`	Direkt aus dem Feld `SubjectUserName` zugeordnet.
`SubjectUserSid`	`principal.user.windows_sid`	Direkt aus dem Feld `SubjectUserSid` zugeordnet.
`targetHost`	`target.hostname`, `target.asset.hostname`	Wenn möglich, in eine IP-Adresse umgewandelt. Andernfalls wird der Hostname extrahiert und `target.hostname` und `target.asset.hostname` zugeordnet.
`TargetHandleId`	`target.resource.id`	Direkt aus dem Feld `TargetHandleId` zugeordnet.
`TargetLogonId`	`principal.resource.attribute.labels`	Wird als Schlüssel/Wert-Paar dem `principal.resource.attribute.labels`-Array mit dem Schlüssel „TargetLogonId“ hinzugefügt, wenn es sich von `SubjectLogonId` unterscheidet.
`TargetProcessId`	`target.process.pid`	Direkt aus dem Feld `TargetProcessId` zugeordnet.
`TargetUserName`	`target.user.userid`	Direkt aus dem Feld `TargetUserName` zugeordnet.
`TargetUserSid`	`target.user.windows_sid`	Direkt aus dem Feld `TargetUserSid` zugeordnet.
`Task`	`additional.fields`	In einen String konvertiert. Wird als Schlüssel/Wert-Paar mit dem Schlüssel „Task“ dem `additional.fields`-Array hinzugefügt.
`timestamp`	`metadata.event_timestamp`	Das Feld „seconds“ wird verwendet, um einen Zeitstempel zu erstellen.
`ts`	`metadata.event_timestamp`	Wenn `ts` leer ist, wird es durch Kombinieren von `tsDate`, `tsTime` und `tsTZ` erstellt. Wenn sie „“ enthält, wird sie geparst, um den Ganzzahlwert zu extrahieren. Anschließend wird er mit verschiedenen Formaten als Zeitstempel geparst.
`type`	`security_result.summary`, `metadata.product_event_type`	Direkt aus dem Feld `type` in JSON-Logs zugeordnet. Wird in einigen Fällen auch als `eventSummary` und `metadata.product_event_type` verwendet.
`url`	`target.url`, `principal.url`	Direkt aus dem Feld `url` zugeordnet.
`url1`	`target.url`	Direkt aus dem Feld `url1` zugeordnet.
`user`	`target.user.group_identifiers`	In das Array `target.user.group_identifiers` zusammengeführt.
`user_id`	`target.user.userid`	Direkt aus dem Feld `user_id` zugeordnet.
`UserID`	`principal.user.windows_sid`	Direkt aus dem Feld `UserID` zugeordnet.
`UserName`	`principal.user.userid`	Direkt aus dem Feld `UserName` zugeordnet.
`user_agent`	`network.http.user_agent`	Direkt aus dem Feld `user_agent` zugeordnet.
`userId`	`target.user.userid`	Direkt aus dem Feld `userId` zugeordnet.
`vap`	`additional.fields`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „vap“ dem Array `additional.fields` hinzugefügt.
`VirtualAccount`	`security_result.about.labels`	Wird als Schlüssel/Wert-Paar mit dem Schlüssel „VirtualAccount“ dem `security_result.about.labels`-Array hinzugefügt.
`wiredLastSeen`	`security_result.detection_fields`	In einen String konvertiert. Wird als Schlüssel/Wert-Paar mit dem Schlüssel „wiredLastSeen“ dem `security_result.detection_fields`-Array hinzugefügt.
`wiredMacs`	`intermediary.mac`	In Kleinbuchstaben umgewandelt. In das Array `intermediary.mac` zusammengeführt.
`WorkstationName`	`principal.hostname`, `principal.asset.hostname`	Direkt aus dem Feld `WorkstationName` zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten