本頁面由 Cloud Translation API 翻譯而成。

收集 General Dynamics Fidelis XPS 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Google Security Operations 轉送器收集 General Dynamics Fidelis XPS 記錄。

詳情請參閱「將資料擷取至 Google Security Operations 總覽」。

擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 FIDELIS_NETWORK 攝入標籤的剖析器。

設定 General Dynamics Fidelis XPS

登入 CommandPost，管理 Fidelis XPS 設備。
選取「系統」> 匯出」。
按一下「新增」分頁標籤。
在「Export method」(匯出方法) 清單中，選取「ArcSight」。
在「目的地」欄位中，輸入 Google Security Operations 轉送伺服器的 IP 位址和通訊埠編號，例如 514。
在「匯出快訊」部分，選取「全部」核取方塊。
在「匯出頻率」部分，選取「每次收到快訊時」核取方塊。
在「傳輸」部分中，選取「UDP」或「TCP」核取方塊。
在「另存為」欄位中，輸入匯出設定的名稱。
在「資料欄清單」方塊中移動項目，讓項目依下列順序顯示：
- 時間
- 動作
- ALERTUUID
- APPLICATION_USER
- 元件
- COMPR
- DSTADDR
- DSTPORT
- FILENAME
- FROM
- GROUP
- 惡意軟體名稱
- 惡意軟體類型
- MD5
- 政策
- PROTO
- REQUEST_METHOD
- REQUEST_AGENT
- REQUEST_URL
- 規則
- SENIP
- 嚴重程度
- SRCADDR
- SRCPORT
- 摘要
- 目標
- TO
- VIOLATION_INFO
- VLAN_ID
Fidelis XPS 8.1 版新增了可設定的資料，方便您匯出新資料。新欄位包括 REQUEST_METHOD、REQUEST_AGENT、REQUEST_URL、VIOLATION_INFO 和 VLAN_ID。

VIOLATION_INFO 包含「快訊詳細資料」頁面「違規資訊」部分的所有資料。這類資料包括產生快訊的相符資料。如果資料相符，也會包含動態饋給資料中的任何額外資訊。VIOLATION_INFO 可能很大。在 Syslog 匯出作業中使用這項功能時，必須啟用 TCP。
依序選取「系統」>「惡意軟體」>「惡意軟體偵測」。
勾選「惡意軟體偵測引擎」和「自動惡意軟體政策」核取方塊。
按一下 [儲存]。

設定 Google Security Operations 轉送器，以便擷取 Fidelis Network 記錄

依序選取「SIEM 設定」>「轉送器」。
按一下「新增轉寄者」。
在「轉寄者名稱」欄位中輸入專屬名稱。
依序點選「提交」和「確認」。轉送器新增完成後，系統會顯示「新增收集器設定」視窗。
在「Collector name」(收集器名稱) 欄位中，輸入收集器的專屬名稱。
選取「Fidelis Network」做為「記錄類型」。
選取「Syslog」做為「收集器類型」。
設定下列輸入參數：
- 通訊協定：指定收集器用來監聽系統記錄資料的連線通訊協定。
- 地址：指定收集器所在位置的目標 IP 位址或主機名稱，並監聽系統記錄資料。
- 通訊埠：指定收集器所在位置的目標通訊埠，並監聽系統記錄檔資料。
按一下「提交」。

如要進一步瞭解 Google Security Operations 轉送器，請參閱「透過 Google Security Operations 使用者介面管理轉送器設定」。

如果在建立轉寄者時遇到問題，請與 Google Security Operations 支援團隊聯絡。

欄位對應參考資料

這個剖析器會處理 SYSLOG、鍵/值組合和 JSON 格式的 Fidelis Network 記錄，並將其轉換為 UDM。並擷取欄位、處理各種記錄結構，以及對應至 UDM 欄位。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`aaction`	`event.idm.read_only_udm.security_result.action_details`	如果不是「none」或空字串，則直接對應。
`alert_threat_score`	`event.idm.read_only_udm.security_result.detection_fields[].key`：「alert_threat_score」，`event.idm.read_only_udm.security_result.detection_fields[].value`：`alert_threat_score` 的值	直接對應為偵測欄位。
`alert_type`	`event.idm.read_only_udm.security_result.detection_fields[].key`：「alert_type」，`event.idm.read_only_udm.security_result.detection_fields[].value`：`alert_type` 的值	直接對應為偵測欄位。
`answers`	`event.idm.read_only_udm.network.dns.answers[].data`	直接對應 DNS 事件。
`application_user`	`event.idm.read_only_udm.principal.user.userid`	直接對應。
`asset_os`	`event.idm.read_only_udm.target.platform`	已正規化為 WINDOWS、LINUX、MAC 或 UNKNOWN_PLATFORM。
`certificate.end_date`	`event.idm.read_only_udm.network.tls.client.certificate.not_after`	已剖析並轉換為時間戳記。
`certificate.extended_key_usage`	`event.idm.read_only_udm.additional.fields[].key`：「Extended Key Usage」(擴展金鑰用途)，`event.idm.read_only_udm.additional.fields[].value.string_value`：`certificate.extended_key_usage` 的值	對應為額外欄位。
`certificate.issuer_name`	`event.idm.read_only_udm.network.tls.server.certificate.issuer`	直接對應。
`certificate.key_length`	`event.idm.read_only_udm.additional.fields[].key`：「金鑰長度」，`event.idm.read_only_udm.additional.fields[].value.string_value`：`certificate.key_length` 的值	對應為額外欄位。
`certificate.key_usage`	`event.idm.read_only_udm.additional.fields[].key`: "Key Usage", `event.idm.read_only_udm.additional.fields[].value.string_value`: value of `certificate.key_usage`	對應為額外欄位。
`certificate.start_date`	`event.idm.read_only_udm.network.tls.client.certificate.not_before`	已剖析並轉換為時間戳記。
`certificate.subject_altname`	`event.idm.read_only_udm.additional.fields[].key`: "Certificate Alternate Name", `event.idm.read_only_udm.additional.fields[].value.string_value`: value of `certificate.subject_altname`	對應為額外欄位。
`certificate.subject_name`	`event.idm.read_only_udm.network.tls.server.certificate.subject`	直接對應。
`certificate.type`	`event.idm.read_only_udm.additional.fields[].key`: "Certificate_Type", `event.idm.read_only_udm.additional.fields[].value.string_value`: `certificate.type` 的值	對應為額外欄位。
`cipher`	`event.idm.read_only_udm.network.tls.cipher`	直接對應。
`client_asset_name`	`event.idm.read_only_udm.principal.application`	直接對應。
`client_asset_subnet`	`event.idm.read_only_udm.additional.fields[].key`: "client_asset_subnet", `event.idm.read_only_udm.additional.fields[].value.string_value`: value of `client_asset_subnet`	對應為額外欄位。
`client_ip`	`event.idm.read_only_udm.principal.ip`	直接對應。
`client_port`	`event.idm.read_only_udm.principal.port`	直接對應並轉換為整數。
`ClientIP`	`event.idm.read_only_udm.principal.ip`	直接對應。
`ClientPort`	`event.idm.read_only_udm.principal.port`	直接對應並轉換為整數。
`ClientCountry`	`event.idm.read_only_udm.principal.location.country_or_region`	如果不是「UNKNOWN」或空字串，則直接對應。
`ClientAssetID`	`event.idm.read_only_udm.principal.asset_id`	如果不是「0」或空白字串，則會加上「資產：」前置字串。
`ClientAssetName`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key`: "ClientAssetName", `event.idm.read_only_udm.principal.resource.attribute.labels[].value`: `ClientAssetName` 的值	對應為主要資源標籤。
`ClientAssetRole`	`event.idm.read_only_udm.principal.asset.attribute.roles[].name`	直接對應。
`ClientAssetServices`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key`: "ClientAssetServices", `event.idm.read_only_udm.principal.resource.attribute.labels[].value`: value of `ClientAssetServices`	對應為主要資源標籤。
`Client`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key`：「Client」，`event.idm.read_only_udm.principal.resource.attribute.labels[].value`：`Client` 的值	對應為主要資源標籤。
`Collector`	`event.idm.read_only_udm.security_result.detection_fields[].key`: "Collector", `event.idm.read_only_udm.security_result.detection_fields[].value`: `Collector` 的值	對應為偵測欄位。
`command`	`event.idm.read_only_udm.network.http.method`	直接對應 HTTP 事件。
`Command`	`event.idm.read_only_udm.security_result.detection_fields[].key`: "Command", `event.idm.read_only_udm.security_result.detection_fields[].value`: `Command` 的值	對應為偵測欄位。
`Connection`	`event.idm.read_only_udm.security_result.detection_fields[].key`:「Connection」(連線)，`event.idm.read_only_udm.security_result.detection_fields[].value`：`Connection` 的值	對應為偵測欄位。
`DecodingPath`	`event.idm.read_only_udm.security_result.detection_fields[].key`: "DecodingPath", `event.idm.read_only_udm.security_result.detection_fields[].value`: `DecodingPath` 的值	對應為偵測欄位。
`dest_country`	`event.idm.read_only_udm.target.location.country_or_region`	直接對應。
`dest_domain`	`event.idm.read_only_udm.target.hostname`	直接對應。
`dest_ip`	`event.idm.read_only_udm.target.ip`	直接對應。
`dest_port`	`event.idm.read_only_udm.target.port`	直接對應並轉換為整數。
`Direction`	`event.idm.read_only_udm.security_result.detection_fields[].key`：「Direction」，`event.idm.read_only_udm.security_result.detection_fields[].value`：`Direction` 的值	對應為偵測欄位。
`dns.host`	`event.idm.read_only_udm.network.dns.questions[].name`	直接對應 DNS 事件。
`DomainName`	`event.idm.read_only_udm.target.administrative_domain`	直接對應。
`DomainAlexaRank`	`event.idm.read_only_udm.security_result.detection_fields[].key`：「DomainAlexaRank」，`event.idm.read_only_udm.security_result.detection_fields[].value`：`DomainAlexaRank` 的值	對應為偵測欄位。
`dport`	`event.idm.read_only_udm.target.port`	直接對應並轉換為整數。
`dnsresolution.server_fqdn`	`event.idm.read_only_udm.target.hostname`	直接對應。
`Duration`	`event.idm.read_only_udm.security_result.detection_fields[].key`: "Duration", `event.idm.read_only_udm.security_result.detection_fields[].value`: `Duration` 的值	對應為偵測欄位。
`Encrypted`	`event.idm.read_only_udm.security_result.detection_fields[].key`：「已加密」，`event.idm.read_only_udm.security_result.detection_fields[].value`：`Encrypted` 的值	對應為偵測欄位。
`Entropy`	`event.idm.read_only_udm.security_result.detection_fields[].key`: "Entropy"，`event.idm.read_only_udm.security_result.detection_fields[].value`：`Entropy` 的值	對應為偵測欄位。
`event.idm.read_only_udm.additional.fields`	`event.idm.read_only_udm.additional.fields`	根據剖析器邏輯包含各種額外欄位。
`event.idm.read_only_udm.metadata.description`	`event.idm.read_only_udm.metadata.description`	直接對應 `summary` 欄位。
`event.idm.read_only_udm.metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	根據各種記錄檔欄位和剖析器邏輯判斷。可以是 GENERIC_EVENT、NETWORK_CONNECTION、NETWORK_HTTP、NETWORK_SMTP、NETWORK_DNS、STATUS_UPDATE、NETWORK_FLOW。
`event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	設為「FIDELIS_NETWORK」。
`event.idm.read_only_udm.metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	設為「FIDELIS_NETWORK」。
`event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	設為「FIDELIS_NETWORK」。
`event.idm.read_only_udm.network.application_protocol`	`event.idm.read_only_udm.network.application_protocol`	根據 `server_port` 或 `protocol` 欄位決定。可以是 HTTP、HTTPS、SMTP、SSH、RPC、DNS、NFS、AOLMAIL。
`event.idm.read_only_udm.network.direction`	`event.idm.read_only_udm.network.direction`	根據 `direction` 欄位或 `summary` 中的關鍵字判斷。可以是 INBOUND 或 OUTBOUND。
`event.idm.read_only_udm.network.dns.answers`	`event.idm.read_only_udm.network.dns.answers`	系統會針對 DNS 事件填入資料。
`event.idm.read_only_udm.network.dns.id`	`event.idm.read_only_udm.network.dns.id`	從 DNS 事件的 `number` 欄位對應。
`event.idm.read_only_udm.network.dns.questions`	`event.idm.read_only_udm.network.dns.questions`	系統會針對 DNS 事件填入資料。
`event.idm.read_only_udm.network.email.from`	`event.idm.read_only_udm.network.email.from`	如果 `From` 是有效的電子郵件地址，則直接對應。
`event.idm.read_only_udm.network.email.subject`	`event.idm.read_only_udm.network.email.subject`	直接對應自 `Subject`。
`event.idm.read_only_udm.network.email.to`	`event.idm.read_only_udm.network.email.to`	直接對應自 `To`。
`event.idm.read_only_udm.network.ftp.command`	`event.idm.read_only_udm.network.ftp.command`	直接對應自 `ftp.command`。
`event.idm.read_only_udm.network.http.method`	`event.idm.read_only_udm.network.http.method`	直接從 `http.command` 或 `Command` 對應。
`event.idm.read_only_udm.network.http.referral_url`	`event.idm.read_only_udm.network.http.referral_url`	直接對應自 `Referer`。
`event.idm.read_only_udm.network.http.response_code`	`event.idm.read_only_udm.network.http.response_code`	直接從 `http.status_code` 或 `StatusCode` 對應，並轉換為整數。
`event.idm.read_only_udm.network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	直接從 `http.useragent` 或 `UserAgent` 對應。
`event.idm.read_only_udm.network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	如果是 TCP 或 UDP，則直接從 `tproto` 對應。
`event.idm.read_only_udm.network.received_bytes`	`event.idm.read_only_udm.network.received_bytes`	已從 `event1.server_packet_count` 重新命名，並轉換為無正負號整數。
`event.idm.read_only_udm.network.sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	已從 `event1.client_packet_count` 重新命名，並轉換為無正負號整數。
`event.idm.read_only_udm.network.session_duration.seconds`	`event.idm.read_only_udm.network.session_duration.seconds`	已從 `event1.session_size` 重新命名，並轉換為整數。
`event.idm.read_only_udm.network.session_id`	`event.idm.read_only_udm.network.session_id`	直接從 `event1.rel_sesid` 或 `UserSessionID` 對應。
`event.idm.read_only_udm.network.tls.client.certificate.issuer`	`event.idm.read_only_udm.network.tls.client.certificate.issuer`	直接對應自 `event1.certificate_issuer_name`。
`event.idm.read_only_udm.network.tls.client.certificate.not_after`	`event.idm.read_only_udm.network.tls.client.certificate.not_after`	從 `event1.certificate_end_date` 剖析並轉換為時間戳記。
`event.idm.read_only_udm.network.tls.client.certificate.not_before`	`event.idm.read_only_udm.network.tls.client.certificate.not_before`	從 `event1.certificate_start_date` 剖析並轉換為時間戳記。
`event.idm.read_only_udm.network.tls.client.certificate.subject`	`event.idm.read_only_udm.network.tls.client.certificate.subject`	直接對應自 `event1.certificate_subject_name`。
`event.idm.read_only_udm.network.tls.client.ja3`	`event.idm.read_only_udm.network.tls.client.ja3`	直接從 `event1.ja3digest` 對應並轉換為字串。
`event.idm.read_only_udm.network.tls.cipher`	`event.idm.read_only_udm.network.tls.cipher`	直接從 `event1.cipher`、`CipherSuite`、`cipher` 或 `event1.tls_ciphersuite` 對應。
`event.idm.read_only_udm.network.tls.server.certificate.issuer`	`event.idm.read_only_udm.network.tls.server.certificate.issuer`	直接對應自 `certificate_issuer_name`。
`event.idm.read_only_udm.network.tls.server.certificate.subject`	`event.idm.read_only_udm.network.tls.server.certificate.subject`	直接對應自 `certificate_subject_name`。
`event.idm.read_only_udm.network.tls.server.ja3s`	`event.idm.read_only_udm.network.tls.server.ja3s`	直接從 `event1.ja3sdigest` 對應並轉換為字串。
`event.idm.read_only_udm.network.tls.version`	`event.idm.read_only_udm.network.tls.version`	直接對應自 `event1.version`。
`event.idm.read_only_udm.principal.application`	`event.idm.read_only_udm.principal.application`	直接對應自 `event1.client_asset_name`。
`event.idm.read_only_udm.principal.asset.attribute.roles[].name`	`event.idm.read_only_udm.principal.asset.attribute.roles[].name`	直接對應自 `ClientAssetRole`。
`event.idm.read_only_udm.principal.asset_id`	`event.idm.read_only_udm.principal.asset_id`	直接從 `ClientAssetID` 或 `ServerAssetID` 對應 (前置字串為「Asset:」)。
`event.idm.read_only_udm.principal.hostname`	`event.idm.read_only_udm.principal.hostname`	直接從 `event1.sld` 或 `src_domain` 對應。
`event.idm.read_only_udm.principal.ip`	`event.idm.read_only_udm.principal.ip`	直接從 `event1.src_ip6`、`client_ip` 或 `ClientIP` 對應。
`event.idm.read_only_udm.principal.location.country_or_region`	`event.idm.read_only_udm.principal.location.country_or_region`	如果不是「UNKNOWN」或空字串，則直接從 `ClientCountry` 或 `src_country` 對應。
`event.idm.read_only_udm.principal.port`	`event.idm.read_only_udm.principal.port`	直接從 `event1.sport` 或 `client_port` 對應，並轉換為整數。
`event.idm.read_only_udm.principal.resource.attribute.labels`	`event.idm.read_only_udm.principal.resource.attribute.labels`	根據剖析器邏輯包含各種標籤。
`event.idm.read_only_udm.principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	直接從 `ftp.user` 或 `AppUser` 對應。
`event.idm.read_only_udm.security_result.action`	`event.idm.read_only_udm.security_result.action`	系統會根據 `severity` 判斷。可以是 ALLOW、BLOCK 或 UNKNOWN_ACTION。
`event.idm.read_only_udm.security_result.action_details`	`event.idm.read_only_udm.security_result.action_details`	如果不是「none」或空字串，則直接從 `Action` 對應。
`event.idm.read_only_udm.security_result.category`	`event.idm.read_only_udm.security_result.category`	如果存在 `malware_type`，請設為 NETWORK_SUSPICIOUS。
`event.idm.read_only_udm.security_result.detection_fields`	`event.idm.read_only_udm.security_result.detection_fields`	包含根據剖析器邏輯的各種偵測欄位。
`event.idm.read_only_udm.security_result.rule_name`	`event.idm.read_only_udm.security_result.rule_name`	直接對應自 `rule_name`。
`event.idm.read_only_udm.security_result.severity`	`event.idm.read_only_udm.security_result.severity`	系統會根據 `severity` 判斷。可以是 INFORMATIONAL、MEDIUM、ERROR 或 CRITICAL。
`event.idm.read_only_udm.security_result.summary`	`event.idm.read_only_udm.security_result.summary`	直接對應自 `label`。
`event.idm.read_only_udm.security_result.threat_name`	`event.idm.read_only_udm.security_result.threat_name`	直接從 `malware_type` 對應，或從 `summary` 剖析 (如果包含「CVE-」)。
`event.idm.read_only_udm.target.administrative_domain`	`event.idm.read_only_udm.target.administrative_domain`	直接對應自 `DomainName`。
`event.idm.read_only_udm.target.asset.attribute.roles[].name`	`event.idm.read_only_udm.target.asset.attribute.roles[].name`	直接對應自 `ServerAssetRole`。
`event.idm.read_only_udm.target.file.full_path`	`event.idm.read_only_udm.target.file.full_path`	直接從 `ftp.filename` 或 `Filename` 對應。
`event.idm.read_only_udm.target.file.md5`	`event.idm.read_only_udm.target.file.md5`	直接從 `event1.md5` 或 `md5` 對應。
`event.idm.read_only_udm.target.file.mime_type`	`event.idm.read_only_udm.target.file.mime_type`	直接對應自 `event1.filetype`。
`event.idm.read_only_udm.target.file.sha1`	`event.idm.read_only_udm.target.file.sha1`	直接對應自 `event1.srvcerthash`。
`event.idm.read_only_udm.target.file.sha256`	`event.idm.read_only_udm.target.file.sha256`	直接從 `event1.sha256` 或 `sha256` 對應。
`event.idm.read_only_udm.target.file.size`	`event.idm.read_only_udm.target.file.size`	已從 `event1.filesize` 重新命名，並在不為 0 時轉換為無正負號整數。
`event.idm.read_only_udm.target.hostname`	`event.idm.read_only_udm.target.hostname`	直接從 `event1.sni`、`dest_domain` 或 `Host` 對應。
`event.idm.read_only_udm.target.ip`	`event.idm.read_only_udm.target.ip`	直接從 `event1.dst_ip6`、`server_ip` 或 `ServerIP` 對應。
`event.idm.read_only_udm.target.location.country_or_region`	`event.idm.read_only_udm.target.location.country_or_region`	直接從 `dest_country` 或 `ServerCountry` 對應。
`event.idm.read_only_udm.target.platform`	`event.idm.read_only_udm.target.platform`	經過標準化後，從 `asset_os`對應。
`event.idm.read_only_udm.target.platform_version`	`event.idm.read_only_udm.target.platform_version`	直接對應自 `os_version`。
`event.idm.read_only_udm.target.port`	`event.idm.read_only_udm.target.port`	直接從 `event1.dport` 或 `server_port` 對應，並轉換為整數。
`event.idm.read_only_udm.target.resource.attribute.labels`	`event.idm.read_only_udm.target.resource.attribute.labels`	根據剖析器邏輯包含各種標籤。
`event.idm.read_only_udm.target.url`	`event.idm.read_only_udm.target.url`	直接從 `url` 或 `URL` 對應。
`event.idm.read_only_udm.target.user.product_object_id`	`event.idm.read_only_udm.target.user.product_object_id`	直接對應自 `uuid`。
`event1.certificate_end_date`	`event.idm.read_only_udm.network.tls.client.certificate.not_after`	已剖析並轉換為時間戳記。
`event1.certificate_extended_key_usage`	`event.idm.read_only_udm.additional.fields[].key`：「Extended Key Usage」(擴展金鑰用途)，`event.idm.read_only_udm.additional.fields[].value.string_value`：`event1.certificate_extended_key_usage` 的值	對應為額外欄位。
`event1.certificate_issuer_name`	`event.idm.read_only_udm.network.tls.client.certificate.issuer`	直接對應。
`event1.certificate_key_length`	`event.idm.read_only_udm.additional.fields[].key`：「金鑰長度」，`event.idm.read_only_udm.additional.fields[].value.string_value`：`event1.certificate_key_length` 的值	對應為額外欄位。
`event1.certificate_key_usage`	`event.idm.read_only_udm.additional.fields[].key`: "Key Usage", `event.idm.read_only_udm.additional.fields[].value.string_value`: value of `event1.certificate_key_usage`	對應為額外欄位。
`event1.certificate_start_date`	`event.idm.read_only_udm.network.tls.client.certificate.not_before`	已剖析並轉換為時間戳記。
`event1.certificate_subject_altname`	`event.idm.read_only_udm.additional.fields[].key`: "Certificate Alternate Name", `event.idm.read_only_udm.additional.fields[].value.string_value`: value of `event1.certificate_subject_altname`	對應為額外欄位。
`event1.certificate_subject_name`	`event.idm.read_only_udm.network.tls.client.certificate.subject`	直接對應。
`event1.client_asset_name`	`event.idm.read_only_udm.principal.application`	直接對應。
`event1.client_asset_subnet`	`event.idm.read_only_udm.additional.fields[].key`: "client_asset_subnet", `event.idm.read_only_udm.additional.fields[].value.string_value`: value of `event1.client_asset_subnet`	對應為額外欄位。
`event1.client_packet_count`	`event.idm.read_only_udm.network.sent_bytes`	轉換為無正負號整數並重新命名。
`event1.cipher`	`event.idm.read_only_udm.network.tls.cipher`	直接對應。
`event1.direction`	`event.idm.read_only_udm.network.direction`	如果為「s2c」，則對應至「INBOUND」；如果為「c2s」，則對應至「OUTBOUND」。
`event1.d`

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。