收集 Microsoft Exchange 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Bindplane,將 Microsoft Exchange 記錄擷取至 Google Security Operations。剖析器會先嘗試將傳入的「message」欄位解讀為 JSON。如果失敗,系統會套用一系列 Grok 模式和 CSV 剖析技術,從原始訊息字串中擷取欄位、處理各種 Microsoft Exchange 記錄格式,並填入標準化統一資料模型 (UDM) 結構定義,以進行安全性分析。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Windows 2016 以上版本,或搭載
systemd的 Linux 主機 - 如果透過 Proxy 執行,防火牆通訊埠已開啟
- 已安裝的 Exchange 服務
- Microsoft Windows Exchange 的特殊存取權
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
Windows 安裝
- 以系統管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
如需其他安裝選項,請參閱安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
- 存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'EXCHANGE_MAIL' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels視基礎架構需求,替換通訊埠和 IP 位址。
將
<customer_id>替換為實際的客戶 ID。將
/path/to/ingestion-authentication-file.json更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
設定 MS Exchange 事件收集和匯出功能
- 登入 MS Exchange 伺服器電腦。
- 在 Windows Server 上下載並安裝 NXlog。
- 前往 NXlog 安裝路徑,然後開啟設定檔。
- 使用文字編輯器開啟 conf 目錄中的
nxlog.conf檔案,通常位於C:\Program Files\nxlog\conf (Default Installation Path。 新增下列設定程式碼:
<Input eventlog> Module im_msvistalog <QueryXML> <QueryList> <Query Id="0" Path="Application"> <Select Path="Application"> *[System[(Level=1 or Level=2 or Level=3)]] </Select> <Select Path="System"> *[System[(Level=1 or Level=2 or Level=3)]] </Select> <Select Path="MSExchange Management">*</Select> </Query> </QueryList> </QueryXML> </Input> <Output syslog> Module om_udp Host <bindplane-agent-ip> Port <bindplane-agent-port> Exec to_syslog_bsd(); </Output> <Route exchange_to_syslog> Path eventlog => syslog </Route>將
<bindplane-agent-ip>和<bindplane-agent-port>替換為 Bindplane 設定的 IP 位址和通訊埠。啟動 NXLog 服務:
- 在 Windows Server 上開啟「服務」 (services.msc)。
- 在服務清單中找到 NXLog 服務。
- 在「NXLog」上按一下滑鼠右鍵,然後選取「Start」。
選用:自動化 NXLog 啟動:
- 開啟「服務」 (services.msc)。
- 在清單中找出 NXLog。
- 按一下滑鼠右鍵,然後選取「內容」。
- 將「啟動」類型設為「自動」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| c-ip | read_only_udm.target.asset.ip | 取自「c-ip」欄位的值 |
| c-ip | read_only_udm.target.ip | 取自「c-ip」欄位的值 |
| client-hostname | read_only_udm.principal.asset.hostname | 取自「client-hostname」欄位的值 |
| client-hostname | read_only_udm.principal.hostname | 取自「client-hostname」欄位的值 |
| client-ip | read_only_udm.principal.asset.ip | 取自「client-ip」欄位的值 |
| client-ip | read_only_udm.principal.ip | 取自「client-ip」欄位的值 |
| 第 1 欄 | read_only_udm.metadata.event_timestamp | 取自「column1」欄位的值 |
| column10 | read_only_udm.intermediary.resource.attribute.labels.value | 取自「column10」欄位的值 |
| column11 | read_only_udm.network.email.mail_id | 取自「column11」欄位的值 |
| column12 | read_only_udm.additional.fields.value.string_value | 取自「column12」欄位的值 |
| column13 | read_only_udm.network.email.to | 取自「column13」欄位的值 |
| column13 | read_only_udm.target.user.email_addresses | 取自「column13」欄位的值 |
| column15 | read_only_udm.additional.fields.value.string_value | 取自「column15」欄位的值 |
| column16 | read_only_udm.target.resource.attribute.labels.value | 取自「column16」欄位的值 |
| column19 | read_only_udm.network.email.subject | 取自「column19」欄位的值 |
| 第 2 欄 | read_only_udm.principal.asset.ip | 取自「column2」欄位的值 |
| 第 2 欄 | read_only_udm.principal.ip | 取自「column2」欄位的值 |
| column20 | read_only_udm.network.email.from | 取自「column20」欄位的值 |
| column20 | read_only_udm.principal.user.email_addresses | 取自「column20」欄位的值 |
| column21 | read_only_udm.security_result.detection_fields.value | 取自「column21」欄位的值 |
| column22 | read_only_udm.security_result.description | 取自「column22」欄位的值 |
| column24 | read_only_udm.additional.fields.value.string_value | 取自「column24」欄位的值 |
| column25 | read_only_udm.principal.asset.ip | 取自「column25」欄位的值 |
| column25 | read_only_udm.principal.ip | 取自「column25」欄位的值 |
| column26 | read_only_udm.target.asset.ip | 取自「column26」欄位的值 |
| column26 | read_only_udm.target.ip | 取自「column26」欄位的值 |
| column27 | read_only_udm.security_result.detection_fields.value | 取自「column27」欄位的值 |
| column28 | read_only_udm.additional.fields.value.string_value | 取自「column28」欄位的值 |
| column29 | read_only_udm.metadata.product_log_id | 取自「column29」欄位的值 |
| 第 3 欄 | read_only_udm.principal.asset.hostname | 取自「column3」欄位的值 |
| 第 3 欄 | read_only_udm.principal.hostname | 取自「column3」欄位的值 |
| column30 | read_only_udm.metadata.product_version | 取自「column30」欄位的值 |
| column4 | read_only_udm.target.asset.ip | 取自「column4」欄位的值 |
| column4 | read_only_udm.target.ip | 取自「column4」欄位的值 |
| column5 | read_only_udm.target.asset.hostname | 取自「column5」欄位的值 |
| column5 | read_only_udm.target.hostname | 取自「column5」欄位的值 |
| column6 | read_only_udm.metadata.event_timestamp | 取自「column6」欄位的值 |
| column6 | read_only_udm.network.http.response_code | 取自「column6」欄位的值 |
| column6 | read_only_udm.network.session_id | 取自「column6」欄位的值 |
| column6 | read_only_udm.metadata.description | 取自「column6」欄位的值 |
| column7 | read_only_udm.additional.fields.value.string_value | 取自「column7」欄位的值 |
| column8 | read_only_udm.additional.fields.value.string_value | 取自「column8」欄位的值 |
| column9 | read_only_udm.metadata.product_event_type | 取自「column9」欄位的值 |
| connector_id | read_only_udm.additional.fields.value.string_value | 取自「connector-id」欄位的值 |
| cs-method | read_only_udm.network.http.method | 取自「cs-method」欄位的值 |
| cs-uri-query | read_only_udm.target.url | 取自「cs-uri-query」欄位的值 |
| cs-uri-stem | read_only_udm.target.url | 取自「cs-uri-stem」欄位的值 |
| csReferer | read_only_udm.network.http.referral_url | 取自「csReferer」欄位的值 |
| csUser-Agent | read_only_udm.network.http.user_agent | 取自「csUser-Agent」欄位的值 |
| cs-username | read_only_udm.principal.user.userid | 取自「cs-username」欄位的值 |
| custom-data | read_only_udm.security_result.detection_fields.value | 取自「custom-data」欄位的值 |
| 資料 | read_only_udm.security_result.about.labels.value | 取自「data」欄位的值 |
| 資料 | read_only_udm.security_result.description | 取自「data」欄位的值 |
| 資料 | read_only_udm.network.email.from | 取自「data」欄位的值 |
| 資料 | read_only_udm.network.email.to | 取自「data」欄位的值 |
| 資料 | read_only_udm.target.hostname | 取自「data」欄位的值 |
| 資料 | read_only_udm.security_result.description | 取自「data」欄位的值 |
| 資料 | read_only_udm.network.sent_bytes | 取自「data」欄位的值 |
| 資料 | read_only_udm.target.user.email_addresses | 取自「data」欄位的值 |
| 日期 | read_only_udm.metadata.event_timestamp | 取自 date 和 time 欄位的值 |
| 日期時間 | read_only_udm.metadata.event_timestamp | 取自「date-time」欄位的值 |
| DeliveryLatency | read_only_udm.security_result.detection_fields.value | 取自 custom-data 或 message-info 的 DeliveryLatency 欄位值 |
| DeliveryPriority | read_only_udm.security_result.detection_fields.value | 取自 custom-data 或 column21 欄位的 DeliveryPriority 欄位值 |
| DeliveryPriority | read_only_udm.security_result.priority | 如果 DeliveryPriority 為 Low 或 Normal,則為 LOW_PRIORITY;如果 DeliveryPriority 為 Medium,則為 MEDIUM_PRIORITY;如果 DeliveryPriority 為 High,則為 HIGH_PRIORITY |
| 方向性 | read_only_udm.network.direction | 如果 directionality 為 Incoming,則為 INBOUND;如果 directionality 為 Originating,則為 OUTBOUND |
| E2ELatency | read_only_udm.security_result.detection_fields.value | 取自 custom-data 或 message-info 的 E2ELatency 欄位值 |
| 活動 | read_only_udm.metadata.product_event_type | 如果 event 為 +,則 Connect;如果 event 為 -,則 Disconnect;如果 event 為 *,則 Information;如果 event 為 >,則 Send;如果 event 為 <,則 Receive |
| 活動 | read_only_udm.network.direction | 如果 event 為 >,則為 OUTBOUND;如果 event 為 <,則為 INBOUND |
| EventID | read_only_udm.security_result.detection_fields.value | 取自「EventID」欄位的值 |
| EventReceivedTime | read_only_udm.metadata.collected_timestamp | 取自「EventReceivedTime」欄位的值 |
| EventReceivedTime | read_only_udm.metadata.event_timestamp | 取自 column6 中「EventReceivedTime」欄位的值 |
| FirstForestHop | read_only_udm.security_result.detection_fields.value | 取自 custom-data 中「FirstForestHop」欄位的值 |
| FromEntity | read_only_udm.security_result.detection_fields.value | 取自 custom-data 或 message-info 的 FromEntity 欄位值 |
| guid | read_only_udm.metadata.product_log_id | 取自「guid」欄位的值 |
| 主機名稱 | read_only_udm.principal.asset.hostname | 取自「Hostname」欄位的值 |
| 主機名稱 | read_only_udm.principal.hostname | 取自「Hostname」欄位的值 |
| IncludeInSla | read_only_udm.security_result.detection_fields.value | 取自 custom-data 或 message-info 的 IncludeInSla 欄位值 |
| internal-message-id | read_only_udm.intermediary.resource.attribute.labels.value | 取自「internal-message-id」欄位的值 |
| IsProbe | read_only_udm.security_result.detection_fields.value | 取自 custom-data 或 column21 欄位的 IsProbe 欄位值 |
| 關鍵字 | read_only_udm.security_result.detection_fields.value | 取自「Keywords」欄位的值 |
| local-endpoint | read_only_udm.principal.asset.ip | 取自「local-endpoint」欄位的值 |
| local-endpoint | read_only_udm.principal.ip | 取自「local-endpoint」欄位的值 |
| local-endpoint | read_only_udm.principal.port | 取自「local-endpoint」欄位的值 |
| 信箱 | read_only_udm.security_result.detection_fields.value | 取自 custom-data 或 message-info 的 Mailboxes 欄位值 |
| MailboxDatabaseGuid | read_only_udm.security_result.detection_fields.value | 取自 custom-data 或 message-info 的 MailboxDatabaseGuid 欄位值 |
| 郵件寄件者 | read_only_udm.network.email.from | 取自 data 中「MAIL FROM」欄位的值 |
| 郵件寄件者 | read_only_udm.principal.user.email_addresses | 取自 data 中「MAIL FROM」欄位的值 |
| MAIL From | read_only_udm.network.email.from | 取自 data 中「MAIL From」欄位的值 |
| MAIL From | read_only_udm.principal.user.email_addresses | 取自 data 中「MAIL From」欄位的值 |
| message-id | read_only_udm.network.email.mail_id | 取自「message-id」欄位的值 |
| message-info | read_only_udm.security_result.detection_fields.value | 取自「message-info」欄位的值 |
| message-info | read_only_udm.security_result.description | 取自「message-info」欄位的值 |
| MessageValue | read_only_udm.security_result.detection_fields.value | 取自 custom-data 中「MessageValue」欄位的值 |
| message-subject | read_only_udm.network.email.subject | 取自「message-subject」欄位的值 |
| 方法 | read_only_udm.network.http.method | 取自「method」欄位的值 |
| Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel | read_only_udm.security_result.detection_fields.value | 取自 custom-data 中「Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel」欄位的值 |
| MsgRecipCount | read_only_udm.security_result.detection_fields.value | 取自 custom-data 或 message-info 的 MsgRecipCount 欄位值 |
| network-message-id | read_only_udm.additional.fields.value.string_value | 取自「network-message-id」欄位的值 |
| OriginalFromAddress | read_only_udm.principal.user.email_addresses | 取自 custom-data 或 column21 欄位的 OriginalFromAddress 欄位值 |
| P2RecipStat | read_only_udm.security_result.detection_fields.value | 取自 custom-data 或 message-info 的 P2RecipStat 欄位值 |
| PersistProbeTrace | read_only_udm.security_result.detection_fields.value | 取自 custom-data 或 column21 欄位的 PersistProbeTrace 欄位值 |
| PrioritizationReason | read_only_udm.security_result.detection_fields.value | 取自 custom-data 中「PrioritizationReason」欄位的值 |
| ProbeType | read_only_udm.security_result.detection_fields.value | 取自 custom-data 或 column21 欄位的 ProbeType 欄位值 |
| ProcessID | read_only_udm.principal.process.pid | 取自「ProcessID」欄位的值 |
| ProxiedClientHostname | read_only_udm.intermediary.hostname | 取自 custom-data 中「ProxiedClientHostname」欄位的值 |
| ProxiedClientIPAddress | read_only_udm.intermediary.asset.ip | 取自 custom-data 中「ProxiedClientIPAddress」欄位的值 |
| ProxiedClientIPAddress | read_only_udm.intermediary.ip | 取自 custom-data 中「ProxiedClientIPAddress」欄位的值 |
| ProxyHop1 | read_only_udm.security_result.detection_fields.value | 取自 custom-data 中「ProxyHop1」欄位的值 |
| RCPT TO | read_only_udm.network.email.to | 取自 data 中「RCPT TO」欄位的值 |
| RCPT TO | read_only_udm.target.user.email_addresses | 取自 data 中「RCPT TO」欄位的值 |
| RCPT To | read_only_udm.network.email.to | 取自 data 中「RCPT To」欄位的值 |
| RCPT To | read_only_udm.target.user.email_addresses | 取自 data 中「RCPT To」欄位的值 |
| recipient-address | read_only_udm.target.user.email_addresses | 取自「recipient-address」欄位的值 |
| recipient-count | read_only_udm.target.resource.attribute.labels.value | 取自「recipient-count」欄位的值 |
| recipient-status | read_only_udm.target.resource.attribute.labels.value | 取自「recipient-status」欄位的值 |
| remote-endpoint | read_only_udm.target.asset.ip | 取自「remote-endpoint」欄位的值 |
| remote-endpoint | read_only_udm.target.ip | 取自「remote-endpoint」欄位的值 |
| remote-endpoint | read_only_udm.target.port | 取自「remote-endpoint」欄位的值 |
| res_code | read_only_udm.network.http.response_code | 取自「res_code」欄位的值 |
| s-ip | read_only_udm.principal.asset.ip | 取自「s-ip」欄位的值 |
| s-ip | read_only_udm.principal.ip | 取自「s-ip」欄位的值 |
| s-port | read_only_udm.principal.port | 取自「s-port」欄位的值 |
| sc-status | read_only_udm.network.http.response_code | 取自「sc-status」欄位的值 |
| sc-substatus | read_only_udm.additional.fields.value.string_value | 取自「sc-substatus」欄位的值 |
| 寄件者地址 | read_only_udm.network.email.from | 取自「sender-address」欄位的值 |
| 寄件者地址 | read_only_udm.principal.user.email_addresses | 取自「sender-address」欄位的值 |
| sequence-number | read_only_udm.additional.fields.value.number_value | 取自「sequence-number」欄位的值 |
| server-hostname | read_only_udm.target.asset.hostname | 取自「server-hostname」欄位的值 |
| server-hostname | read_only_udm.target.hostname | 取自「server-hostname」欄位的值 |
| server-ip | read_only_udm.target.asset.ip | 取自「server-ip」欄位的值 |
| server-ip | read_only_udm.target.ip | 取自「server-ip」欄位的值 |
| session-id | read_only_udm.network.session_id | 取自「session-id」欄位的值 |
| sessionid | read_only_udm.network.session_id | 取自「sessionid」欄位的值 |
| 嚴重性 | read_only_udm.security_result.severity | 如果 Severity 包含 Info,則為 INFORMATIONAL;如果 Severity 包含 Error,則為 ERROR;如果 Severity 包含 Warning,則為 MEDIUM;否則為 UNKNOWN_SEVERITY |
| SeverityValue | read_only_udm.security_result.severity_details | 取自「SeverityValue」欄位的值 |
| SlaExclusionReason | read_only_udm.security_result.detection_fields.value | 取自 custom-data 中「SlaExclusionReason」欄位的值 |
| 來源 | read_only_udm.additional.fields.value.string_value | 取自「source」欄位的值 |
| SourceModuleName | read_only_udm.principal.resource.name | 取自「SourceModuleName」欄位的值 |
| SourceModuleType | read_only_udm.principal.resource.type | 取自「SourceModuleType」欄位的值 |
| SourceName | read_only_udm.principal.resource.attribute.labels.value | 取自「SourceName」欄位的值 |
| StoreObjectIds | read_only_udm.security_result.detection_fields.value | 取自 custom-data 或 message-info 的 StoreObjectIds 欄位值 |
| 工作 | read_only_udm.security_result.detection_fields.value | 取自「Task」欄位的值 |
| ThreadID | read_only_udm.security_result.detection_fields.value | 取自「ThreadID」欄位的值 |
| 時間 | read_only_udm.metadata.event_timestamp | 取自 date 和 time 欄位的值 |
| ToEntity | read_only_udm.security_result.detection_fields.value | 取自 custom-data 或 message-info 的 ToEntity 欄位值 |
| total-bytes | read_only_udm.additional.fields.value.string_value | 取自「total-bytes」欄位的值 |
| TransportTrafficSubType | read_only_udm.security_result.detection_fields.value | 取自 custom-data 中「TransportTrafficSubType」欄位的值 |
| TransportTrafficSubType | read_only_udm.metadata.product_version | 取自 custom-data 中「TransportTrafficSubType」欄位的值 |
| ts | read_only_udm.metadata.event_timestamp | 取自「ts」欄位的值 |
| u_agent | read_only_udm.network.http.user_agent | 取自「u_agent」欄位的值 |
| u_param | read_only_udm.target.url | 取自「u_param」欄位的值 |
| u_path | read_only_udm.target.url | 取自「u_path」欄位的值 |
| u_path | read_only_udm.target.url | 取自 u_path 和 u_param 欄位的值 |
| 使用者 | read_only_udm.target.user.userid | 取自「user」欄位的值 |
| 使用者 | read_only_udm.target.user.email_addresses | 取自「user」欄位的值 |
| metadata.event_type | read_only_udm.metadata.event_type | 如果 has_principal_email 為 true 且 has_target_email 為 true,則為 EMAIL_TRANSACTION;如果 event_type 為 GENERIC_EVENT 且 principal_hostname、s_ip 或 host 不為空白,或 has_principal 為 true,則為 STATUS_UPDATE;如果 event_type 為 GENERIC_EVENT 且 has_principal_email 為 true 或 has_target_email 為 true,則為 USER_UNCATEGORIZED;否則為 event_type 欄位的值 |
| metadata.log_type | read_only_udm.metadata.log_type | 硬式編碼值 EXCHANGE_MAIL |
| metadata.product_name | read_only_udm.metadata.product_name | 硬式編碼值 Exchange Mail |
| metadata.vendor_name | read_only_udm.metadata.vendor_name | 硬式編碼值 Microsoft |
| network.application_protocol | read_only_udm.network.application_protocol | 如果 app_protocol 為 SMTP、HTTP 或 HTTPS,則值取自 app_protocol 欄位;如果 app_protocol 包含 SMTP,則為 SMTP |
| network.direction | read_only_udm.network.direction | 如果 s_ip 不為空白,則 INBOUND |
| network.email.from | read_only_udm.network.email.from | 取自「from_mail」欄位的值 |
| network.email.mail_id | read_only_udm.network.email.mail_id | 取自「msg_id」欄位的值 |
| network.email.subject | read_only_udm.network.email.subject | 取自「column19」欄位的值 |
| network.email.to | read_only_udm.network.email.to | 取自「to_mail」欄位的值 |
| network.http.method | read_only_udm.network.http.method | 取自「method」欄位的值 |
| network.http.response_code | read_only_udm.network.http.response_code | 取自「res_code」欄位的值 |
| network.http.user_agent | read_only_udm.network.http.user_agent | 取自「u_agent」欄位的值 |
| network.sent_bytes | read_only_udm.network.sent_bytes | 取自「sent_bytes」欄位的值 |
| network.session_id | read_only_udm.network.session_id | 取自「sessionid」欄位的值 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 取自「principal_hostname」欄位的值 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 取自「host」欄位的值 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 取自「column3」欄位的值 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 取自「column2」欄位的值 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 取自「column25」欄位的值 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 取自「s_ip」欄位的值 |
| principal.hostname | read_only_udm.principal.hostname | 取自「principal_hostname」欄位的值 |
| principal.hostname | read_only_udm.principal.hostname | 取自「host」欄位的值 |
| principal.hostname | read_only_udm.principal.hostname | 取自「column3」欄位的值 |
| principal.ip | read_only_udm.principal.ip | 取自「column2」欄位的值 |
| principal.ip | read_only_udm.principal.ip | 取自「column25」欄位的值 |
| principal.ip | read_only_udm.principal.ip | 取自「s_ip」欄位的值 |
| principal.port | read_only_udm.principal.port | 取自「s-port」欄位的值 |
| principal.user.email_addresses | read_only_udm.principal.user.email_addresses | 取自「mail」欄位的值 |
| principal.user.email_addresses | read_only_udm.principal.user.email_addresses | 取自「email_address」欄位的值 |
| principal.user.userid | read_only_udm.principal.user.userid | 取自「cs-username」欄位的值 |
| security_result.about.labels.key | read_only_udm.security_result.about.labels.key | 硬式編碼值 Response Code |
| security_result.description | read_only_udm.security_result.description | 取自「context」欄位的值 |
| security_result.description | read_only_udm.security_result.description | 取自「column22」欄位的值 |
| security_result.priority | read_only_udm.security_result.priority | 如果 severity 為 1、2 或 3,則為 LOW;如果 severity 為 4、5 或 6,則為 MEDIUM;如果 severity 為 7、8 或 9,則為 HIGH |
| security_result.severity | read_only_udm.security_result.severity | 如果 Severity 包含 Info,則為 INFORMATIONAL;如果 Severity 包含 Error,則為 ERROR;如果 Severity 包含 Warning,則為 MEDIUM;否則為 UNKNOWN_SEVERITY |
| target.administrative_domain | read_only_udm.target.administrative_domain | 取自「domain」欄位的值 |
| target.asset.hostname | read_only_udm.target.asset.hostname | 取自「column5」欄位的值 |
| target.asset.hostname | read_only_udm.target.asset.hostname | 取自「target_host」欄位的值 |
| target.asset.ip | read_only_udm.target.asset.ip | 取自「column4」欄位的值 |
| target.asset.ip | read_only_udm.target.asset.ip | 取自「column26」欄位的值 |
| target.asset.ip | read_only_udm.target.asset.ip | 取自「c-ip」欄位的值 |
| target.hostname | read_only_udm.target.hostname | 取自「column5」欄位的值 |
| target.hostname | read_only_udm.target.hostname | 取自「target_host」欄位的值 |
| target.ip | read_only_udm.target.ip | 取自「column4」欄位的值 |
| target.ip | read_only_udm.target.ip | 取自「column26」欄位的值 |
| target.ip | read_only_udm.target.ip | 取自「c-ip」欄位的值 |
| target.port | read_only_udm.target.port | 取自「c_port」欄位的值 |
| target.resource.attribute.labels.key | read_only_udm.target.resource.attribute.labels.key | 硬式編碼值 Recipients Count |
| target.user.email_addresses | read_only_udm.target.user.email_addresses | 取自「user」欄位的值 |
| target.user.user_display_name | read_only_udm.target.user.user_display_name | 取自「username」欄位的值 |
| target.user.userid | read_only_udm.target.user.userid | 取自「user」欄位的值 |
| target.url | read_only_udm.target.url | 取自「u_path」欄位的值 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。