このページは Cloud Translation API によって翻訳されました。

Microsoft Exchange のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Microsoft Exchange ログを Google Security Operations に取り込む方法について説明します。パーサーは、まず受信した「message」フィールドを JSON として解釈しようとします。この処理が失敗すると、一連の Grok パターンと CSV 解析手法を適用して、未加工のメッセージ文字列からフィールドを抽出し、さまざまな Microsoft Exchange ログ形式を処理して、セキュリティ分析用の標準化された統合データモデル（UDM）スキーマに入力します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行されている場合、ファイアウォールポートが開いている
インストール済みの Exchange サービス
Microsoft Windows Exchange への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'EXCHANGE_MAIL'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際のお客様 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

MS Exchange のイベント収集とエクスポートを設定する

MS Exchange サーバーマシンにログインします。
Windows Server に NXlog をダウンロードしてインストールします。
NXlog のインストールパスに移動し、構成ファイルを開きます。
テキストエディタを使用して、conf ディレクトリ（通常は C:\Program Files\nxlog\conf (Default Installation Path）にある nxlog.conf ファイルを開きます。

次の構成コードを追加します。

<Input eventlog>
    Module    im_msvistalog
<QueryXML>
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">
                    *[System[(Level=1 or Level=2 or Level=3)]]
</Select>
<Select Path="System">
                    *[System[(Level=1 or Level=2 or Level=3)]]
</Select>
<Select Path="MSExchange Management">*</Select>
</Query>
</QueryList>
</QueryXML>
</Input>

<Output syslog>
    Module      om_udp
    Host        <bindplane-agent-ip>
    Port        <bindplane-agent-port>
    Exec        to_syslog_bsd();
</Output>

<Route exchange_to_syslog>
    Path        eventlog => syslog
</Route>

<bindplane-agent-ip> と <bindplane-agent-port> は、構成された Bindplane の IP アドレスとポートに置き換えます。
NXLog サービスを起動します。
- Windows Server で [サービス]（services.msc）を開きます。
- サービスの一覧で NXLog サービスを探します。
- [NXLog] を右クリックして [開始] を選択します。
省略可: NXLog の起動を自動化します。
- [サービス]（services.msc）を開きます。
- リストで NXLog を探します。
- 右クリックして [プロパティ] を選択します。
- [スタートアップ] タイプを [自動] に設定します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
c-ip	read_only_udm.target.asset.ip	`c-ip` フィールドから取得された値
c-ip	read_only_udm.target.ip	`c-ip` フィールドから取得された値
client-hostname	read_only_udm.principal.asset.hostname	`client-hostname` フィールドから取得された値
client-hostname	read_only_udm.principal.hostname	`client-hostname` フィールドから取得された値
client-ip	read_only_udm.principal.asset.ip	`client-ip` フィールドから取得された値
client-ip	read_only_udm.principal.ip	`client-ip` フィールドから取得された値
column1	read_only_udm.metadata.event_timestamp	`column1` フィールドから取得された値
column10	read_only_udm.intermediary.resource.attribute.labels.value	`column10` フィールドから取得された値
column11	read_only_udm.network.email.mail_id	`column11` フィールドから取得された値
column12	read_only_udm.additional.fields.value.string_value	`column12` フィールドから取得された値
column13	read_only_udm.network.email.to	`column13` フィールドから取得された値
column13	read_only_udm.target.user.email_addresses	`column13` フィールドから取得された値
column15	read_only_udm.additional.fields.value.string_value	`column15` フィールドから取得された値
column16	read_only_udm.target.resource.attribute.labels.value	`column16` フィールドから取得された値
column19	read_only_udm.network.email.subject	`column19` フィールドから取得された値
column2	read_only_udm.principal.asset.ip	`column2` フィールドから取得された値
column2	read_only_udm.principal.ip	`column2` フィールドから取得された値
column20	read_only_udm.network.email.from	`column20` フィールドから取得された値
column20	read_only_udm.principal.user.email_addresses	`column20` フィールドから取得された値
column21	read_only_udm.security_result.detection_fields.value	`column21` フィールドから取得された値
column22	read_only_udm.security_result.description	`column22` フィールドから取得された値
column24	read_only_udm.additional.fields.value.string_value	`column24` フィールドから取得された値
column25	read_only_udm.principal.asset.ip	`column25` フィールドから取得された値
column25	read_only_udm.principal.ip	`column25` フィールドから取得された値
column26	read_only_udm.target.asset.ip	`column26` フィールドから取得された値
column26	read_only_udm.target.ip	`column26` フィールドから取得された値
column27	read_only_udm.security_result.detection_fields.value	`column27` フィールドから取得された値
column28	read_only_udm.additional.fields.value.string_value	`column28` フィールドから取得された値
column29	read_only_udm.metadata.product_log_id	`column29` フィールドから取得された値
column3	read_only_udm.principal.asset.hostname	`column3` フィールドから取得された値
column3	read_only_udm.principal.hostname	`column3` フィールドから取得された値
column30	read_only_udm.metadata.product_version	`column30` フィールドから取得された値
column4	read_only_udm.target.asset.ip	`column4` フィールドから取得された値
column4	read_only_udm.target.ip	`column4` フィールドから取得された値
column5	read_only_udm.target.asset.hostname	`column5` フィールドから取得された値
column5	read_only_udm.target.hostname	`column5` フィールドから取得された値
column6	read_only_udm.metadata.event_timestamp	`column6` フィールドから取得された値
column6	read_only_udm.network.http.response_code	`column6` フィールドから取得された値
column6	read_only_udm.network.session_id	`column6` フィールドから取得された値
column6	read_only_udm.metadata.description	`column6` フィールドから取得された値
column7	read_only_udm.additional.fields.value.string_value	`column7` フィールドから取得された値
column8	read_only_udm.additional.fields.value.string_value	`column8` フィールドから取得された値
column9	read_only_udm.metadata.product_event_type	`column9` フィールドから取得された値
connector_id	read_only_udm.additional.fields.value.string_value	`connector-id` フィールドから取得された値
cs-method	read_only_udm.network.http.method	`cs-method` フィールドから取得された値
cs-uri-query	read_only_udm.target.url	`cs-uri-query` フィールドから取得された値
cs-uri-stem	read_only_udm.target.url	`cs-uri-stem` フィールドから取得された値
csReferer	read_only_udm.network.http.referral_url	`csReferer` フィールドから取得された値
csUser-Agent	read_only_udm.network.http.user_agent	`csUser-Agent` フィールドから取得された値
cs-username	read_only_udm.principal.user.userid	`cs-username` フィールドから取得された値
custom-data	read_only_udm.security_result.detection_fields.value	`custom-data` フィールドから取得された値
データ	read_only_udm.security_result.about.labels.value	`data` フィールドから取得された値
データ	read_only_udm.security_result.description	`data` フィールドから取得された値
データ	read_only_udm.network.email.from	`data` フィールドから取得された値
データ	read_only_udm.network.email.to	`data` フィールドから取得された値
データ	read_only_udm.target.hostname	`data` フィールドから取得された値
データ	read_only_udm.security_result.description	`data` フィールドから取得された値
データ	read_only_udm.network.sent_bytes	`data` フィールドから取得された値
データ	read_only_udm.target.user.email_addresses	`data` フィールドから取得された値
日付	read_only_udm.metadata.event_timestamp	`date` フィールドと `time` フィールドから取得された値
date-time	read_only_udm.metadata.event_timestamp	`date-time` フィールドから取得された値
DeliveryLatency	read_only_udm.security_result.detection_fields.value	`custom-data` または `message-info` の `DeliveryLatency` フィールドから取得された値
DeliveryPriority	read_only_udm.security_result.detection_fields.value	`custom-data` フィールドまたは `column21` フィールドの `DeliveryPriority` フィールドから取得された値
DeliveryPriority	read_only_udm.security_result.priority	`DeliveryPriority` が `Low` または `Normal` の場合は `LOW_PRIORITY`、`DeliveryPriority` が `Medium` の場合は `MEDIUM_PRIORITY`、`DeliveryPriority` が `High` の場合は `HIGH_PRIORITY`
方向性	read_only_udm.network.direction	`directionality` が `Incoming` の場合は `INBOUND`、`directionality` が `Originating` の場合は `OUTBOUND`
E2ELatency	read_only_udm.security_result.detection_fields.value	`custom-data` または `message-info` の `E2ELatency` フィールドから取得された値
イベント	read_only_udm.metadata.product_event_type	`event` が `+` の場合は `Connect`、`event` が `-` の場合は `Disconnect`、`event` が `*` の場合は `Information`、`event` が `>` の場合は `Send`、`event` が `<` の場合は `Receive`
イベント	read_only_udm.network.direction	`event` が `>` の場合は `OUTBOUND`、`event` が `<` の場合は `INBOUND`
EventID	read_only_udm.security_result.detection_fields.value	`EventID` フィールドから取得された値
EventReceivedTime	read_only_udm.metadata.collected_timestamp	`EventReceivedTime` フィールドから取得された値
EventReceivedTime	read_only_udm.metadata.event_timestamp	`column6` の `EventReceivedTime` フィールドから取得された値
FirstForestHop	read_only_udm.security_result.detection_fields.value	`custom-data` の `FirstForestHop` フィールドから取得された値
FromEntity	read_only_udm.security_result.detection_fields.value	`custom-data` または `message-info` の `FromEntity` フィールドから取得された値
guid	read_only_udm.metadata.product_log_id	`guid` フィールドから取得された値
ホスト名	read_only_udm.principal.asset.hostname	`Hostname` フィールドから取得された値
ホスト名	read_only_udm.principal.hostname	`Hostname` フィールドから取得された値
IncludeInSla	read_only_udm.security_result.detection_fields.value	`custom-data` または `message-info` の `IncludeInSla` フィールドから取得された値
internal-message-id	read_only_udm.intermediary.resource.attribute.labels.value	`internal-message-id` フィールドから取得された値
IsProbe	read_only_udm.security_result.detection_fields.value	`custom-data` フィールドまたは `column21` フィールドの `IsProbe` フィールドから取得された値
キーワード	read_only_udm.security_result.detection_fields.value	`Keywords` フィールドから取得された値
local-endpoint	read_only_udm.principal.asset.ip	`local-endpoint` フィールドから取得された値
local-endpoint	read_only_udm.principal.ip	`local-endpoint` フィールドから取得された値
local-endpoint	read_only_udm.principal.port	`local-endpoint` フィールドから取得された値
メールボックス	read_only_udm.security_result.detection_fields.value	`custom-data` または `message-info` の `Mailboxes` フィールドから取得された値
MailboxDatabaseGuid	read_only_udm.security_result.detection_fields.value	`custom-data` または `message-info` の `MailboxDatabaseGuid` フィールドから取得された値
MAIL FROM	read_only_udm.network.email.from	`data` の `MAIL FROM` フィールドから取得された値
MAIL FROM	read_only_udm.principal.user.email_addresses	`data` の `MAIL FROM` フィールドから取得された値
MAIL From	read_only_udm.network.email.from	`data` の `MAIL From` フィールドから取得された値
MAIL From	read_only_udm.principal.user.email_addresses	`data` の `MAIL From` フィールドから取得された値
message-id	read_only_udm.network.email.mail_id	`message-id` フィールドから取得された値
message-info	read_only_udm.security_result.detection_fields.value	`message-info` フィールドから取得された値
message-info	read_only_udm.security_result.description	`message-info` フィールドから取得された値
MessageValue	read_only_udm.security_result.detection_fields.value	`custom-data` の `MessageValue` フィールドから取得された値
message-subject	read_only_udm.network.email.subject	`message-subject` フィールドから取得された値
method	read_only_udm.network.http.method	`method` フィールドから取得された値
Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel	read_only_udm.security_result.detection_fields.value	`custom-data` の `Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel` フィールドから取得された値
MsgRecipCount	read_only_udm.security_result.detection_fields.value	`custom-data` または `message-info` の `MsgRecipCount` フィールドから取得された値
network-message-id	read_only_udm.additional.fields.value.string_value	`network-message-id` フィールドから取得された値
OriginalFromAddress	read_only_udm.principal.user.email_addresses	`custom-data` フィールドまたは `column21` フィールドの `OriginalFromAddress` フィールドから取得された値
P2RecipStat	read_only_udm.security_result.detection_fields.value	`custom-data` または `message-info` の `P2RecipStat` フィールドから取得された値
PersistProbeTrace	read_only_udm.security_result.detection_fields.value	`custom-data` フィールドまたは `column21` フィールドの `PersistProbeTrace` フィールドから取得された値
PrioritizationReason	read_only_udm.security_result.detection_fields.value	`custom-data` の `PrioritizationReason` フィールドから取得された値
ProbeType	read_only_udm.security_result.detection_fields.value	`custom-data` フィールドまたは `column21` フィールドの `ProbeType` フィールドから取得された値
ProcessID	read_only_udm.principal.process.pid	`ProcessID` フィールドから取得された値
ProxiedClientHostname	read_only_udm.intermediary.hostname	`custom-data` の `ProxiedClientHostname` フィールドから取得された値
ProxiedClientIPAddress	read_only_udm.intermediary.asset.ip	`custom-data` の `ProxiedClientIPAddress` フィールドから取得された値
ProxiedClientIPAddress	read_only_udm.intermediary.ip	`custom-data` の `ProxiedClientIPAddress` フィールドから取得された値
ProxyHop1	read_only_udm.security_result.detection_fields.value	`custom-data` の `ProxyHop1` フィールドから取得された値
RCPT TO	read_only_udm.network.email.to	`data` の `RCPT TO` フィールドから取得された値
RCPT TO	read_only_udm.target.user.email_addresses	`data` の `RCPT TO` フィールドから取得された値
RCPT To	read_only_udm.network.email.to	`data` の `RCPT To` フィールドから取得された値
RCPT To	read_only_udm.target.user.email_addresses	`data` の `RCPT To` フィールドから取得された値
recipient-address	read_only_udm.target.user.email_addresses	`recipient-address` フィールドから取得された値
recipient-count	read_only_udm.target.resource.attribute.labels.value	`recipient-count` フィールドから取得された値
recipient-status	read_only_udm.target.resource.attribute.labels.value	`recipient-status` フィールドから取得された値
remote-endpoint	read_only_udm.target.asset.ip	`remote-endpoint` フィールドから取得された値
remote-endpoint	read_only_udm.target.ip	`remote-endpoint` フィールドから取得された値
remote-endpoint	read_only_udm.target.port	`remote-endpoint` フィールドから取得された値
res_code	read_only_udm.network.http.response_code	`res_code` フィールドから取得された値
s-ip	read_only_udm.principal.asset.ip	`s-ip` フィールドから取得された値
s-ip	read_only_udm.principal.ip	`s-ip` フィールドから取得された値
s-port	read_only_udm.principal.port	`s-port` フィールドから取得された値
sc-status	read_only_udm.network.http.response_code	`sc-status` フィールドから取得された値
sc-substatus	read_only_udm.additional.fields.value.string_value	`sc-substatus` フィールドから取得された値
sender-address	read_only_udm.network.email.from	`sender-address` フィールドから取得された値
sender-address	read_only_udm.principal.user.email_addresses	`sender-address` フィールドから取得された値
シーケンス番号	read_only_udm.additional.fields.value.number_value	`sequence-number` フィールドから取得された値
server-hostname	read_only_udm.target.asset.hostname	`server-hostname` フィールドから取得された値
server-hostname	read_only_udm.target.hostname	`server-hostname` フィールドから取得された値
server-ip	read_only_udm.target.asset.ip	`server-ip` フィールドから取得された値
server-ip	read_only_udm.target.ip	`server-ip` フィールドから取得された値
session-id	read_only_udm.network.session_id	`session-id` フィールドから取得された値
sessionid	read_only_udm.network.session_id	`sessionid` フィールドから取得された値
重大度	read_only_udm.security_result.severity	`Severity` に `Info` が含まれている場合は `INFORMATIONAL`、`Severity` に `Error` が含まれている場合は `ERROR`、`Severity` に `Warning` が含まれている場合は `MEDIUM`、それ以外の場合は `UNKNOWN_SEVERITY`
SeverityValue	read_only_udm.security_result.severity_details	`SeverityValue` フィールドから取得された値
SlaExclusionReason	read_only_udm.security_result.detection_fields.value	`custom-data` の `SlaExclusionReason` フィールドから取得された値
ソース	read_only_udm.additional.fields.value.string_value	`source` フィールドから取得された値
SourceModuleName	read_only_udm.principal.resource.name	`SourceModuleName` フィールドから取得された値
SourceModuleType	read_only_udm.principal.resource.type	`SourceModuleType` フィールドから取得された値
SourceName	read_only_udm.principal.resource.attribute.labels.value	`SourceName` フィールドから取得された値
StoreObjectIds	read_only_udm.security_result.detection_fields.value	`custom-data` または `message-info` の `StoreObjectIds` フィールドから取得された値
タスク	read_only_udm.security_result.detection_fields.value	`Task` フィールドから取得された値
ThreadID	read_only_udm.security_result.detection_fields.value	`ThreadID` フィールドから取得された値
時間	read_only_udm.metadata.event_timestamp	`date` フィールドと `time` フィールドから取得された値
ToEntity	read_only_udm.security_result.detection_fields.value	`custom-data` または `message-info` の `ToEntity` フィールドから取得された値
total-bytes	read_only_udm.additional.fields.value.string_value	`total-bytes` フィールドから取得された値
TransportTrafficSubType	read_only_udm.security_result.detection_fields.value	`custom-data` の `TransportTrafficSubType` フィールドから取得された値
TransportTrafficSubType	read_only_udm.metadata.product_version	`custom-data` の `TransportTrafficSubType` フィールドから取得された値
ts	read_only_udm.metadata.event_timestamp	`ts` フィールドから取得された値
u_agent	read_only_udm.network.http.user_agent	`u_agent` フィールドから取得された値
u_param	read_only_udm.target.url	`u_param` フィールドから取得された値
u_path	read_only_udm.target.url	`u_path` フィールドから取得された値
u_path	read_only_udm.target.url	`u_path` フィールドと `u_param` フィールドから取得された値
ユーザー	read_only_udm.target.user.userid	`user` フィールドから取得された値
ユーザー	read_only_udm.target.user.email_addresses	`user` フィールドから取得された値
metadata.event_type	read_only_udm.metadata.event_type	`has_principal_email` が `true` で、`has_target_email` が `true` の場合、`EMAIL_TRANSACTION`。`event_type` が `GENERIC_EVENT` で、`principal_hostname`、`s_ip`、`host` のいずれかが空ではなく、`has_principal` が `true` の場合、`STATUS_UPDATE`。`event_type` が `GENERIC_EVENT` で、`has_principal_email` が `true` または `has_target_email` が `true` の場合、`USER_UNCATEGORIZED`。それ以外の場合、`event_type` フィールドから値を取得します。
metadata.log_type	read_only_udm.metadata.log_type	ハードコードされた値 `EXCHANGE_MAIL`
metadata.product_name	read_only_udm.metadata.product_name	ハードコードされた値 `Exchange Mail`
metadata.vendor_name	read_only_udm.metadata.vendor_name	ハードコードされた値 `Microsoft`
network.application_protocol	read_only_udm.network.application_protocol	`app_protocol` が `SMTP`、`HTTP`、`HTTPS` のいずれかの場合、`app_protocol` フィールドから値が取得されます。`app_protocol` に `SMTP` が含まれている場合は `SMTP`
network.direction	read_only_udm.network.direction	`s_ip` が空でない場合、`INBOUND`
network.email.from	read_only_udm.network.email.from	`from_mail` フィールドから取得された値
network.email.mail_id	read_only_udm.network.email.mail_id	`msg_id` フィールドから取得された値
network.email.subject	read_only_udm.network.email.subject	`column19` フィールドから取得された値
network.email.to	read_only_udm.network.email.to	`to_mail` フィールドから取得された値
network.http.method	read_only_udm.network.http.method	`method` フィールドから取得された値
network.http.response_code	read_only_udm.network.http.response_code	`res_code` フィールドから取得された値
network.http.user_agent	read_only_udm.network.http.user_agent	`u_agent` フィールドから取得された値
network.sent_bytes	read_only_udm.network.sent_bytes	`sent_bytes` フィールドから取得された値
network.session_id	read_only_udm.network.session_id	`sessionid` フィールドから取得された値
principal.asset.hostname	read_only_udm.principal.asset.hostname	`principal_hostname` フィールドから取得された値
principal.asset.hostname	read_only_udm.principal.asset.hostname	`host` フィールドから取得された値
principal.asset.hostname	read_only_udm.principal.asset.hostname	`column3` フィールドから取得された値
principal.asset.ip	read_only_udm.principal.asset.ip	`column2` フィールドから取得された値
principal.asset.ip	read_only_udm.principal.asset.ip	`column25` フィールドから取得された値
principal.asset.ip	read_only_udm.principal.asset.ip	`s_ip` フィールドから取得された値
principal.hostname	read_only_udm.principal.hostname	`principal_hostname` フィールドから取得された値
principal.hostname	read_only_udm.principal.hostname	`host` フィールドから取得された値
principal.hostname	read_only_udm.principal.hostname	`column3` フィールドから取得された値
principal.ip	read_only_udm.principal.ip	`column2` フィールドから取得された値
principal.ip	read_only_udm.principal.ip	`column25` フィールドから取得された値
principal.ip	read_only_udm.principal.ip	`s_ip` フィールドから取得された値
principal.port	read_only_udm.principal.port	`s-port` フィールドから取得された値
principal.user.email_addresses	read_only_udm.principal.user.email_addresses	`mail` フィールドから取得された値
principal.user.email_addresses	read_only_udm.principal.user.email_addresses	`email_address` フィールドから取得された値
principal.user.userid	read_only_udm.principal.user.userid	`cs-username` フィールドから取得された値
security_result.about.labels.key	read_only_udm.security_result.about.labels.key	ハードコードされた値 `Response Code`
security_result.description	read_only_udm.security_result.description	`context` フィールドから取得された値
security_result.description	read_only_udm.security_result.description	`column22` フィールドから取得された値
security_result.priority	read_only_udm.security_result.priority	`severity` が `1`、`2`、`3` のいずれかの場合は `LOW`、`severity` が `4`、`5`、`6` のいずれかの場合は `MEDIUM`、`severity` が `7`、`8`、`9` のいずれかの場合は `HIGH`
security_result.severity	read_only_udm.security_result.severity	`Severity` に `Info` が含まれている場合は `INFORMATIONAL`、`Severity` に `Error` が含まれている場合は `ERROR`、`Severity` に `Warning` が含まれている場合は `MEDIUM`、それ以外の場合は `UNKNOWN_SEVERITY`
target.administrative_domain	read_only_udm.target.administrative_domain	`domain` フィールドから取得された値
target.asset.hostname	read_only_udm.target.asset.hostname	`column5` フィールドから取得された値
target.asset.hostname	read_only_udm.target.asset.hostname	`target_host` フィールドから取得された値
target.asset.ip	read_only_udm.target.asset.ip	`column4` フィールドから取得された値
target.asset.ip	read_only_udm.target.asset.ip	`column26` フィールドから取得された値
target.asset.ip	read_only_udm.target.asset.ip	`c-ip` フィールドから取得された値
target.hostname	read_only_udm.target.hostname	`column5` フィールドから取得された値
target.hostname	read_only_udm.target.hostname	`target_host` フィールドから取得された値
target.ip	read_only_udm.target.ip	`column4` フィールドから取得された値
target.ip	read_only_udm.target.ip	`column26` フィールドから取得された値
target.ip	read_only_udm.target.ip	`c-ip` フィールドから取得された値
target.port	read_only_udm.target.port	`c_port` フィールドから取得された値
target.resource.attribute.labels.key	read_only_udm.target.resource.attribute.labels.key	ハードコードされた値 `Recipients Count`
target.user.email_addresses	read_only_udm.target.user.email_addresses	`user` フィールドから取得された値
target.user.user_display_name	read_only_udm.target.user.user_display_name	`username` フィールドから取得された値
target.user.userid	read_only_udm.target.user.userid	`user` フィールドから取得された値
target.url	read_only_udm.target.url	`u_path` フィールドから取得された値

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。