Imperva WAF のログを収集する

以下でサポートされています。

このドキュメントでは、API(Pull)または Amazon S3(Push)を使用して、Imperva ウェブ アプリケーション ファイアウォール(WAF)から Google Security Operations にログを収集する方法について説明します。パーサーは、SYSLOG+KV、JSON、CEF、LEEF 形式のログを統合データモデル(UDM)に変換します。さまざまなログ構造を処理し、関連するフィールドを抽出して UDM 属性に正規化し、セキュリティ分析を強化するためにコンテキスト情報でデータを拡充します。

始める前に

次の前提条件を満たしていることを確認します。

  • 構成要件に最適な取り込みタイプ(API または Amazon S3)。
  • Google SecOps インスタンス。
  • AWS への特権アクセス。
  • Imperva WAF への特権アクセス。

API を使用して Imperva WAF のログを収集する

Imperva WAF の読み取り専用ユーザーを構成する

  1. 特権アカウントで Imperva Console にログインします。
  2. [設定] > [ユーザーとロール] に移動します。
  3. [ユーザーを追加] をクリックします。
  4. 必須項目に入力します。
    • ユーザー名: 一意のユーザー名を入力します。
    • パスワード: 安全なパスワードを設定します。
    • メール: ユーザーのメールアドレスを入力します。
    • [ロール] セクションで、[読み取り] ロールを選択します。
  5. [保存] をクリックして、読み取り専用アクセス権を持つユーザーを作成します。

省略可: Reader ユーザーを API 専用として構成する

  1. [ユーザー] リストで、新しく作成したユーザーを見つけます。
  2. ユーザー名の横にある [アクション] ボタン(3 つのドット)をクリックします。
  3. [API 専用ユーザーとして設定] を選択します。

API ID と API キーを生成する

  1. [ユーザー] リストで、新しく作成したユーザーを選択します。
  2. [設定] を選択し、[API キー] をクリックします。
  3. [API キーを追加] をクリックします。
  4. 必須項目に入力します。
    • 名前: API キーのわかりやすい名前を入力します。
    • 省略可: 説明: 説明を入力します(任意)。
    • [API key will expire in] リストで、[Never] を選択します。
    • 有効にするには、[ステータス] を選択します。
  5. [保存] をクリックします。

API ID と API キーが表示されます。これらの認証情報は再度表示されないため、コピーして保存します。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

  1. [SIEM Settings] > [Feeds] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一のフィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Imperva Incapsula WAF ログ)。
  5. [ソースタイプ] として [サードパーティ API] を選択します。
  6. [ログタイプ] として [Imperva] を選択します。
  7. [次へ] をクリックします。
  8. 次の入力パラメータの値を指定します。
    • Authentication HTTP header: Imperva API ID とキーを 2 行(apiId:<YOUR_API_ID>apiKey:<YOUR_API_KEY>)で入力します。
  9. [次へ] をクリックします。
  10. [Finalize] 画面でフィードの設定を確認し、[Submit] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • Authentication HTTP header: Imperva API ID とキーを 2 行(apiId:<YOUR_API_ID>apiKey:<YOUR_API_KEY>)で入力します。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • アセットの名前空間: フィードに関連付けられた名前空間。
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

Amazon S3 を使用して Imperva WAF のログを収集する

AWS IAM と S3 を構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
  2. 後で使用するために、バケットの名前リージョンを保存します。
  3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
  4. 作成した [ユーザー] を選択します。
  5. [セキュリティ認証情報] タブを選択します。
  6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
  7. [ユースケース] として [サードパーティ サービス] を選択します。
  8. [次へ] をクリックします。
  9. (省略可)説明タグを追加します。
  10. [アクセスキーを作成] をクリックします。
  11. [.csv ファイルをダウンロード] をクリックし、[アクセスキー] と [シークレット アクセスキー] を保存して、後で使用できるようにします。
  12. [完了] をクリックします。
  13. [権限] タブを選択します。
  14. [権限ポリシー] セクションで、[権限を追加] をクリックします。
  15. [権限を追加] を選択します。
  16. [ポリシーを直接アタッチする] を選択します。
  17. AmazonS3FullAccess ポリシーを検索して選択します。
  18. [次へ] をクリックします。
  19. [権限を追加] をクリックします。

Imperva WAF Amazon S3 接続を構成する

  1. 特権アカウントで Imperva Console にログインします。
  2. [ログ> ログ設定] に移動します。
  3. [Amazon S3] を選択します。
  4. 必須項目に入力します。
    • アクセスキー
    • 秘密鍵
    • パス: <Amazon S3 bucket name>/<log folder> の形式でパスを入力します(例: MyBucket/MyIncapsulaLogFolder)。
  5. [接続をテスト] をクリックして、テストファイルが指定したフォルダに転送される完全なテストサイクルを実行します。
  6. ログファイルの形式として [CEF] を選択します。
  7. デフォルトでは、ログファイルは圧縮されます。ファイルを圧縮しないオプションを設定します。

Amazon S3 から Imperva WAF のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [新しく追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前(例: Imperva WAF Logs)を入力します。
  4. [ソースタイプ] として [Amazon S3] を選択します。
  5. [ログタイプ] として [Imperva] を選択します。
  6. [次へ] をクリックします。

  7. 次の入力パラメータの値を指定します。

    • リージョン: Amazon S3 バケットが配置されているリージョン。
    • S3 URI: バケット URI。
      • s3://your-log-bucket-name/
      • your-log-bucket-name は、バケットの実際の名前に置き換えます。
    • URI is a: [ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。
    • Source deletion options: 必要に応じて削除オプションを選択します。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
    • Asset namespace: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。

  8. [次へ] をクリックします。

  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
account_id target.user.userid JSON オブジェクトのアカウント ID
act security_result.action actallowedalertREQ_PASSED で始まる、または REQ_CACHED で始まる場合は、ALLOW に設定します。actdenyblockedREQ_BLOCKED で始まる、または REQ_CHALLENGE で始まる場合は、BLOCK に設定します。act が正規表現 (?i)REQ_BAD と一致する場合は、FAIL に設定します。それ以外の場合は UNKNOWN_ACTION に設定します。
アプリ network.application_protocol kv.app から名前を変更しました。大文字に変換されました。
calCountryOrRegion principal.location.country_or_region calCountryOrRegion から名前を変更しました。
security_result.action_details catREQ_PASSED または REQ_CACHED で始まる場合は、actionALLOW に設定し、action_detailscat の値に基づく説明に設定します。catREQ_BAD で始まる場合は、actionFAIL に設定し、action_detailscat の値に基づく説明に設定します。catREQ_BLOCKED または REQ_CHALLENGE で始まる場合は、actionBLOCK に設定し、action_detailscat の値に基づく説明に設定します。
cicode principal.location.city cicode から名前を変更しました。
classified_client security_result.detection_fields classified_client が空でない場合は、キーが classified_client で値が classified_client の新しい detection_fields エントリを作成します。
client.domain principal.hostname、principal.asset.hostname client.domain から名前を変更しました。
client.geo.country_iso_code principal.location.country_or_region client.geo.country_iso_code から名前を変更しました。
client.ip principal.ip、principal.asset.ip principal.ipprincipal.asset.ip に統合されました。
cn1 network.http.response_code cn1 から名前を変更しました。整数に変換されます。
context_key target.resource.name context_key から名前を変更しました。
country principal.location.country_or_region country から名前を変更しました。
credentials_leaked security_result.detection_fields 文字列に変換されます。空でない場合は、キーが credentials_leaked で値が credentials_leaked の新しい detection_fields エントリを作成します。
cs1 security_result.detection_fields cs1 が空でない場合は、NA または `, create a newdetection_fieldsentry with keycs1Labeland valuecs1`。
cs1Label security_result.detection_fields cs1 から作成された detection_fields エントリのキーとして使用されます。
cs2 security_result.detection_fields cs2 が空でない場合は、キーが cs2Label で値が cs2 の新しい detection_fields エントリを作成します。
cs2Label security_result.detection_fields cs2 から作成された detection_fields エントリのキーとして使用されます。
cs3 security_result.detection_fields cs3 が空でない場合は、- または `, create a newdetection_fieldsentry with keycs3Labeland valuecs3`。
cs3Label security_result.detection_fields cs3 から作成された detection_fields エントリのキーとして使用されます。
cs4 security_result.detection_fields cs4 が空でない場合は、キーが cs4Label で値が cs4 の新しい detection_fields エントリを作成します。
cs4Label security_result.detection_fields cs4 から作成された detection_fields エントリのキーとして使用されます。
cs5 security_result.detection_fields cs5 が空でない場合は、キーが cs5Label で値が cs5 の新しい detection_fields エントリを作成します。
cs5Label security_result.detection_fields cs5 から作成された detection_fields エントリのキーとして使用されます。
cs6 principal.application cs6 から名前を変更しました。
cs7 principal.location.region_latitude cs7Labellatitude の場合、principal.location.region_latitude に名前変更。浮動小数点数に変換されます。
cs7Label cs7Labellatitude の場合、cs7 のマッピングを決定するために使用されます。
cs8 principal.location.region_longitude cs8Labellongitude の場合、principal.location.region_longitude に名前変更。浮動小数点数に変換されます。
cs8Label cs8Labellongitude の場合、cs8 のマッピングを決定するために使用されます。
cs9 security_result.rule_name, extensions.vulns.vulnerabilities.name cs9 が空でない場合は、security_result.rule_name に設定し、名前 cs9 で新しい vulnerabilities エントリを作成します。
顧客 target.user.user_display_name Customer から名前を変更しました。
declared_client security_result.detection_fields declared_client が空でない場合は、キーが declared_client で値が declared_client の新しい detection_fields エントリを作成します。
説明 security_result.threat_name description から名前を変更しました。
deviceExternalId network.community_id deviceExternalId から名前を変更しました。
deviceReceiptTime metadata.event_timestamp 日付として解析され、metadata.event_timestamp に設定されます。空の場合、代わりに log_timestamp または kv.start が使用されます。
dhost target.hostname kv.dhost から名前を変更しました。
dproc security_result.category_details dproc から名前を変更しました。
dpt target.port kv.dpt から名前を変更しました。整数に変換されます。
dst target.ip、target.asset.ip dst が空でない場合は、target.iptarget.asset.ip に統合されます。
dstPort target.port dstPort から名前を変更しました。整数に変換されます。
duser target.user.userid duser が正規表現 .*?Alert.* と一致せず、空でない場合は、target.user.userid に名前変更されます。
end security_result.detection_fields end が空でない場合は、キーが event_end_time で値が end の新しい detection_fields エントリを作成します。
event.id JSON オブジェクトのイベント ID
event.provider principal.user.user_display_name event.provider から名前を変更しました。
failed_logins_last_24h security_result.detection_fields 文字列に変換されます。空でない場合は、キーが failed_logins_last_24h で値が failed_logins_last_24h の新しい detection_fields エントリを作成します。
fileId network.session_id fileId から名前を変更しました。
filePermission security_result.detection_fields filePermission が空でない場合は、キーが filePermission で値が filePermission の新しい detection_fields エントリを作成します。
fileType security_result.detection_fields fileType が空でない場合は、キーが fileType で値が fileType の新しい detection_fields エントリを作成します。
フィンガープリント security_result.detection_fields fingerprint が空でない場合は、キーが log_imperva_fingerprint で値が fingerprint の新しい detection_fields エントリを作成します。
flexString1 network.http.response_code kv.flexString1 から名前を変更しました。整数に変換されます。
http.request.body.bytes network.sent_bytes 符号なし整数に変換されます。http.request.body.bytes から名前を変更しました。
http.request.method network.http.method http.request.method から名前を変更しました。
imperva.abp.apollo_rule_versions security_result.detection_fields imperva.abp.apollo_rule_versions の各エントリについて、キー apollo_rule_versions_{index} と値がエントリに等しい新しい detection_fields エントリを作成します。
imperva.abp.bot_behaviors security_result.detection_fields imperva.abp.bot_behaviors の各エントリについて、キー bot_behaviors_{index} と値がエントリに等しい新しい detection_fields エントリを作成します。
imperva.abp.bot_deciding_condition_ids security_result.detection_fields imperva.abp.bot_deciding_condition_ids の各エントリについて、キー bot_deciding_condition_ids_{index} と値がエントリに等しい新しい detection_fields エントリを作成します。
imperva.abp.bot_deciding_condition_names security_result.detection_fields imperva.abp.bot_deciding_condition_names の各エントリについて、キー bot_deciding_condition_names_{index} と値がエントリに等しい新しい detection_fields エントリを作成します。
imperva.abp.bot_triggered_condition_ids security_result.detection_fields imperva.abp.bot_triggered_condition_ids の各エントリについて、キー bot_triggered_condition_ids_{index} と値がエントリに等しい新しい detection_fields エントリを作成します。
imperva.abp.bot_triggered_condition_names security_result.detection_fields imperva.abp.bot_triggered_condition_names の各エントリについて、キー bot_triggered_condition_names_{index} と値がエントリに等しい新しい detection_fields エントリを作成します。
imperva.abp.bot_violations security_result.detection_fields imperva.abp.bot_violations の各エントリについて、キー bot_violations_{index} と値がエントリに等しい新しい detection_fields エントリを作成します。
imperva.abp.customer_request_id network.session_id imperva.abp.customer_request_id から名前を変更しました。
imperva.abp.headers_accept_encoding security_result.detection_fields imperva.abp.headers_accept_encoding が空でない場合は、キーが Accept Encoding で値が imperva.abp.headers_accept_encoding の新しい detection_fields エントリを作成します。
imperva.abp.headers_accept_language security_result.detection_fields imperva.abp.headers_accept_language が空でない場合は、キーが Accept Language で値が imperva.abp.headers_accept_language の新しい detection_fields エントリを作成します。
imperva.abp.headers_connection security_result.detection_fields imperva.abp.headers_connection が空でない場合は、キーが headers_connection で値が imperva.abp.headers_connection の新しい detection_fields エントリを作成します。
imperva.abp.headers_referer network.http.referral_url imperva.abp.headers_referer から名前を変更しました。
imperva.abp.hsig security_result.detection_fields imperva.abp.hsig が空でない場合は、キーが hsig で値が imperva.abp.hsig の新しい detection_fields エントリを作成します。
imperva.abp.monitor_action security_result.action、security_result.severity imperva.abp.monitor_action が正規表現 (?i)allow と一致する場合、security_actionALLOW に、severityINFORMATIONAL に設定します。imperva.abp.monitor_action が正規表現 (?i)captcha または (?i)block と一致する場合は、security_actionBLOCK に設定します。
imperva.abp.pid principal.process.pid imperva.abp.pid から名前を変更しました。
imperva.abp.policy_id security_result.detection_fields imperva.abp.policy_id が空でない場合は、キーが Policy Id で値が imperva.abp.policy_id の新しい detection_fields エントリを作成します。
imperva.abp.policy_name security_result.detection_fields imperva.abp.policy_name が空でない場合は、キーが Policy Name で値が imperva.abp.policy_name の新しい detection_fields エントリを作成します。
imperva.abp.random_id additional.fields imperva.abp.random_id が空でない場合は、キーが Random Id で値が imperva.abp.random_id の新しい additional.fields エントリを作成します。
imperva.abp.request_type principal.labels imperva.abp.request_type が空でない場合は、キーが request_type で値が imperva.abp.request_type の新しい principal.labels エントリを作成します。
imperva.abp.selector security_result.detection_fields imperva.abp.selector が空でない場合は、キーが selector で値が imperva.abp.selector の新しい detection_fields エントリを作成します。
imperva.abp.selector_derived_id security_result.detection_fields imperva.abp.selector_derived_id が空でない場合は、キーが selector_derived_id で値が imperva.abp.selector_derived_id の新しい detection_fields エントリを作成します。
imperva.abp.tls_fingerprint security_result.description imperva.abp.tls_fingerprint から名前を変更しました。
imperva.abp.token_id target.resource.product_object_id imperva.abp.token_id から名前を変更しました。
imperva.abp.zuid additional.fields imperva.abp.zuid が空でない場合は、キーが zuid で値が imperva.abp.zuid の新しい additional.fields エントリを作成します。
imperva.additional_factors additional.fields imperva.additional_factors の各エントリについて、キー additional_factors_{index} と値がエントリに等しい新しい additional.fields エントリを作成します。
imperva.audit_trail.event_action security_result.detection_fields imperva.audit_trail.event_action が空でない場合は、キーが imperva.audit_trail.event_action で値が imperva.audit_trail.event_action_description の新しい detection_fields エントリを作成します。
imperva.audit_trail.event_action_description security_result.detection_fields imperva.audit_trail.event_action から作成された detection_fields エントリの値として使用されます。
imperva.audit_trail.event_context security_result.detection_fields imperva.audit_trail.event_context が空でない場合は、キーが imperva.audit_trail.event_context で値が imperva.audit_trail.event_context_description の新しい detection_fields エントリを作成します。
imperva.audit_trail.event_context_description security_result.detection_fields imperva.audit_trail.event_context から作成された detection_fields エントリの値として使用されます。
imperva.country principal.location.country_or_region imperva.country から名前を変更しました。
imperva.declared_client security_result.detection_fields imperva.declared_client が空でない場合は、キーが declared_client で値が imperva.declared_client の新しい detection_fields エントリを作成します。
imperva.device_reputation additional.fields imperva.device_reputation の各エントリについて、キー device_reputation とエントリを含むリスト値を持つ新しい additional.fields エントリを作成します。
imperva.domain_risk security_result.detection_fields imperva.domain_risk が空でない場合は、キーが domain_risk で値が imperva.domain_risk の新しい detection_fields エントリを作成します。
imperva.failed_logins_last_24h security_result.detection_fields 文字列に変換されます。空でない場合は、キーが failed_logins_last_24h で値が failed_logins_last_24h の新しい detection_fields エントリを作成します。
imperva.fingerprint security_result.detection_fields imperva.fingerprint が空でない場合は、キーが log_imperva_fingerprint で値が imperva.fingerprint の新しい detection_fields エントリを作成します。
imperva.ids.account_id metadata.product_log_id imperva.ids.account_id から名前を変更しました。
imperva.ids.account_name metadata.product_event_type imperva.ids.account_name から名前を変更しました。
imperva.ids.site_id additional.fields imperva.ids.site_id が空でない場合は、キーが site_id で値が imperva.ids.site_id の新しい additional.fields エントリを作成します。
imperva.ids.site_name additional.fields imperva.ids.site_name が空でない場合は、キーが site_name で値が imperva.ids.site_name の新しい additional.fields エントリを作成します。
imperva.referrer network.http.referral_url imperva.referrer から名前を変更しました。
imperva.request_session_id network.session_id imperva.request_session_id から名前を変更しました。
imperva.request_user security_result.detection_fields imperva.request_user が空でない場合は、キーが request_user で値が imperva.request_user の新しい detection_fields エントリを作成します。
imperva.risk_level security_result.severity_details imperva.risk_level から名前を変更しました。
imperva.risk_reason security_result.description imperva.risk_reason から名前を変更しました。
imperva.significant_domain_name security_result.detection_fields imperva.significant_domain_name が空でない場合は、キーが significant_domain_name で値が imperva.significant_domain_name の新しい detection_fields エントリを作成します。
imperva.violated_directives security_result.detection_fields imperva.violated_directives の各エントリについて、キー violated_directives と値がエントリに等しい新しい detection_fields エントリを作成します。
in network.received_bytes in から名前を変更しました。符号なし整数に変換されます。
log_timestamp metadata.event_timestamp deviceReceiptTime が空で kv.start が空の場合は、metadata.event_timestamp に設定します。
メッセージ metadata.description message が空ではなく、event.providerimperva.ids.account_nameclient.ip がすべて空の場合は、metadata.description に設定します。
postbody security_result.detection_fields postbody が空でない場合は、キーが post_body_info で値が postbody の新しい detection_fields エントリを作成します。
proto network.application_protocol proto から名前を変更しました。
protoVer network.tls.version、network.tls.cipher protoVer が空でない場合は、解析して tls_versiontls_cipher を抽出し、それぞれ network.tls.versionnetwork.tls.cipher に名前変更します。
リクエスト target.url kv.request から名前を変更しました。
requestClientApplication network.http.user_agent requestClientApplication から名前を変更しました。
requestMethod network.http.method requestMethod から名前を変更しました。大文字に変換されました。
resource_id target.resource.id resource_id から名前を変更しました。
resource_type_key target.resource.type resource_type_key から名前を変更しました。
rt metadata.event_timestamp 解析されて deviceReceiptTime が抽出され、日付として解析されて metadata.event_timestamp に設定されます。
security_result.action security_result.action _action フィールドの値と統合されます。
security_result.severity security_result.severity sevserror または warning の場合は、HIGH に設定します。sevscritical の場合は、CRITICAL に設定します。sevsmedium または notice の場合は、MEDIUM に設定します。sevsinformation または info の場合は、LOW に設定します。
server.domain target.hostname、target.asset.hostname server.domain から名前を変更しました。
server.geo.name target.location.name server.geo.name から名前を変更しました。
重要度 security_result.threat_id severity から名前を変更しました。
siteid security_result.detection_fields siteid が空でない場合は、キーが siteid で値が siteid の新しい detection_fields エントリを作成します。
sourceServiceName target.hostname kv.sourceServiceName から名前を変更しました。
spt principal.port kv.spt から名前を変更しました。整数に変換されます。
src principal.ip、principal.asset.ip src が空でない場合は、principal.ipprincipal.asset.ip に統合されます。
srcPort principal.port srcPort から名前を変更しました。整数に変換されます。
start security_result.detection_fields, metadata.event_timestamp start が空でない場合は、キーが event_start_time で値が start の新しい detection_fields エントリを作成します。また、deviceReceiptTime が空の場合は、日付として解析され、metadata.event_timestamp に設定されます。
successful_logins_last_24h security_result.detection_fields 文字列に変換されます。空でない場合は、キーが successful_logins_last_24h で値が successful_logins_last_24h の新しい detection_fields エントリを作成します。
suid target.user.userid suid から名前を変更しました。
時間 metadata.event_timestamp 文字列に変換されます。日付として解析され、metadata.event_timestamp に設定されます。
type_key metadata.product_event_type type_key から名前を変更しました。
URL target.process.file.full_path url.path が空または / でない場合は、target.process.file.full_path に設定します。
URL target.url url から名前を変更しました。qstr が空でない場合は、? セパレータを使用して url に追加されます。
user.email principal.user.email_addresses user.email が空ではなく、正規表現 ^.+@.+$ と一致する場合は、principal.user.email_addresses に統合されます。
user_agent network.http.user_agent user_agent から名前を変更しました。
user_agent.original network.http.parsed_user_agent user_agent.original が空でないか * の場合、parseduseragent に変換され、network.http.parsed_user_agent に名前が変更されます。
user_details principal.user.email_addresses user_details が空ではなく、正規表現 ^.+@.+$ と一致する場合は、principal.user.email_addresses に統合されます。
user_id principal.user.userid user_id から名前を変更しました。
ver network.tls.version、network.tls.cipher ver が空でない場合は、解析して tls_versiontls_cipher を抽出し、それぞれ network.tls.versionnetwork.tls.cipher に名前変更します。
xff intermediary.ip、intermediary.asset.ip、intermediary.hostname、intermediary.asset.hostname xff が空でない場合は、処理して IP アドレスとホスト名を抽出します。IP アドレスは intermediary.ipintermediary.asset.ip に統合されます。ホスト名は intermediary.hostnameintermediary.asset.hostname に設定されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。