Diese Seite wurde von der Cloud Translation API übersetzt.

Versa Networks Secure Access Service Edge-Logs (SASE) erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie die Protokolle von Versa Networks Secure Access Service Edge (SASE) erfassen können. Der Parser extrahiert Schlüssel/Wert-Paare nach einem ersten Grok-Filter. Anschließend werden diese Werte dem Unified Data Model (UDM) zugeordnet. Dabei werden verschiedene Logformate wie Firewallereignisse, Anwendungsprotokolle und Alarmprotokolle verarbeitet. Außerdem werden Konvertierungen und Anreicherungen für bestimmte Felder wie IP-Protokoll und Risikobewertung durchgeführt.

Hinweise

Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
Prüfen Sie, ob Sie privilegierten Zugriff auf Versa SASE haben.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem der BindPlane-Agent installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Greifen Sie auf die Konfigurationsdatei zu:
- Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: `/path/to/ingestion-authentication-file.json`
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: versa_networks_sase
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie unter Linux den folgenden Befehl aus, um den Bindplane-Agent neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Unter Windows können Sie den Bindplane-Agent entweder über die Konsole Dienste neu starten oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

SASE von Versa Networks konfigurieren

Administratoren müssen auf jedem Versa Analytics-Knoten Remote-Collector konfigurieren, um Protokolle an Drittanbietersysteme weiterzuleiten.

So konfigurieren Sie die Versa-Analysen-Knoten:

Protokollweiterleitung aktivieren
Logging von Sitzungs-IDs aktivieren

Protokollweiterleitung aktivieren

Melde dich auf dem Versa-Analytics-Server an.
Rufen Sie die CLI auf, indem Sie den Befehl cli ausführen.
Wechseln Sie mit dem Befehl configure in den Konfigurationsmodus und geben Sie dann load merge terminal ein.

Kopieren Sie die folgenden Befehle und fügen Sie sie ein, um die Logweiterleitung einzurichten:

Ersetzen Sie <collector_ip> und <collector_port> durch die IP-Adresse und den Port Ihres Syslog-Collectors (Bindplane).

set system analytics log-collector-exporter destination-address <collector_ip>
set system analytics log-collector-exporter destination-port <collector_port>
set system analytics log-collector-exporter transport tcp
set system analytics log-collector-exporter log-types firewall-log
set system analytics log-collector-exporter log-types threat-log
commit

Konfiguration speichern:
```
save
```

Logging von Sitzungs-IDs aktivieren

Wenn Sie IP-bezogene Informationen protokollieren möchten, aktivieren Sie die Protokollierung der Sitzungs-ID.

Melden Sie sich in Versa Director an.
Wechseln Sie zur Director View.
Rufen Sie Geräteansicht auf, indem Sie zu Konfiguration > Geräte > Mandant > Gerät gehen.
Wählen Sie Konfiguration > Sonstiges > System > Konfiguration > Konfiguration aus.
Klicken Sie im Bereich Parameter auf Bearbeiten.
Wählen Sie im Fenster Parameter bearbeiten die Option LEF aus.
Klicken Sie im Bereich Firewall das Kästchen Logging von Sitzungs-IDs einschließen an.

Hinweis :In Releases 21.1.1 und höher ist die Sitzungs-ID automatisch aktiviert. Prüfen Sie, ob diese Funktion in Ihrer Konfiguration aktiviert ist.
Klicken Sie auf OK.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`accCkt`	`additional.fields[].key`: „accCkt“ `additional.fields[].value.string_value`: `accCkt`	Wert, der direkt aus dem Feld `accCkt` übernommen wird.
`accCktId`	`additional.fields[].key`: "accCktId" `additional.fields[].value.string_value`: `accCktId`	Wert, der direkt aus dem Feld `accCktId` übernommen wird.
`accCktName`	`additional.fields[].key`: „accCktName“ `additional.fields[].value.string_value`: `accCktName`	Wert, der direkt aus dem Feld `accCktName` übernommen wird.
`accessType`	`additional.fields[].key`: "accessType" `additional.fields[].value.string_value`: `accessType`	Wert, der direkt aus dem Feld `accessType` übernommen wird.
`action`	`security_result.action`: `action`	Wenn `action`, `type`, `idpAction`, `avAction` oder `urlAction` „allow“ ist, dann `ALLOW`. Wenn `action`, `type`, `idpAction`, `avAction` oder `urlAction` „reject“, „drop“, „block“ oder „deny“ sind, dann `BLOCK`. Wenn `idpAction` etwas anderes als `UNKNOWN_ACTION` ist.
`alarmCause`	`security_result.detection_fields[].key`: "alarmCause" `security_result.detection_fields[].value`: `alarmCause`	Wert, der direkt aus dem Feld `alarmCause` übernommen wird.
`alarmClass`	`security_result.detection_fields[].key`: "alarmClass" `security_result.detection_fields[].value`: `alarmClass`	Wert, der direkt aus dem Feld `alarmClass` übernommen wird.
`alarmClearable`	`security_result.detection_fields[].key`: "alarmClearable" `security_result.detection_fields[].value`: `alarmClearable`	Wert, der direkt aus dem Feld `alarmClearable` übernommen wird.
`alarmEventType`	`metadata.product_event_type`: `alarmEventType`	Wert, der direkt aus dem Feld `alarmEventType` übernommen wird.
`alarmKey`	`security_result.detection_fields[].key`: "alarmKey" `security_result.detection_fields[].value`: `alarmKey`	Wert, der direkt aus dem Feld `alarmKey` übernommen wird.
`alarmKind`	`security_result.detection_fields[].key`: "alarmKind" `security_result.detection_fields[].value`: `alarmKind`	Wert, der direkt aus dem Feld `alarmKind` übernommen wird.
`alarmOwner`	`security_result.detection_fields[].key`: "alarmOwner" `security_result.detection_fields[].value`: `alarmOwner`	Wert, der direkt aus dem Feld `alarmOwner` übernommen wird.
`alarmSeqNo`	`security_result.detection_fields[].key`: „alarmSeqNo“ `security_result.detection_fields[].value`: `alarmSeqNo`	Wert, der direkt aus dem Feld `alarmSeqNo` übernommen wird.
`alarmSeverity`	`security_result.severity_details`: `alarmSeverity`	Wert, der direkt aus dem Feld `alarmSeverity` übernommen wird.
`alarmText`	`security_result.summary`: `alarmText`	Der Wert wird direkt aus dem Feld `alarmText` übernommen, wobei doppelte Anführungszeichen entfernt werden.
`alarmType`	`security_result.description`: `alarmType`	Wert, der direkt aus dem Feld `alarmType` übernommen wird.
`appFamily`	`metadata.product_event_type`: `appFamily` `security_result.detection_fields[].key`: "appFamily" `security_result.detection_fields[].value`: `appFamily`	Wert, der direkt aus dem Feld `appFamily` übernommen wird.
`appId`	`security_result.detection_fields[].key`: „Application ID“ `security_result.detection_fields[].value`: `appId`	Wert, der direkt aus dem Feld `appId` übernommen wird.
`appIdStr`	`security_result.detection_fields[].key`: "appIdStr" `security_result.detection_fields[].value`: `appIdStr`	Wert, der direkt aus dem Feld `appIdStr` übernommen wird.
`applianceName`	`principal.hostname`: `applianceName`	Der Wert wird direkt aus dem Feld `applianceName`, `siteName` oder `site` übernommen.
`appProductivity`	`security_result.detection_fields[].key`: "appProductivity" `security_result.detection_fields[].value`: `appProductivity`	Wert, der direkt aus dem Feld `appProductivity` übernommen wird.
`appRisk`	`security_result.severity_details`: `appRisk`	Wert, der direkt aus dem Feld `appRisk` übernommen wird.
`appSubFamily`	`security_result.detection_fields[].key`: "appSubFamily" `security_result.detection_fields[].value`: `appSubFamily`	Wert, der direkt aus dem Feld `appSubFamily` übernommen wird.
`avAccuracy`	`additional.fields[].key`: „avAccuracy“ `additional.fields[].value.string_value`: `avAccuracy`	Wert, der direkt aus dem Feld `avAccuracy` übernommen wird.
`avAction`	`security_result.action`: `avAction`	Die Logik finden Sie unter `action`.
`avMalwareName`	`security_result.threat_name`: `avMalwareName`	Wert, der direkt aus dem Feld `avMalwareName` übernommen wird.
`avMalwareType`	`security_result.category_details`: `avMalwareType`	Wert, der direkt aus dem Feld `avMalwareType` übernommen wird.
`classMsg`	`security_result.description`: `classMsg`	Der Wert wird direkt aus dem Feld `classMsg` übernommen, wobei doppelte Anführungszeichen entfernt werden.
`clientIPv4Address`	`target.ip`: `clientIPv4Address`	Wert, der direkt aus dem Feld `clientIPv4Address` übernommen wird.
`destIp`	`target.ip`: `destIp` `destinationIPv4Address`: `destIp`	Wert, der direkt aus dem Feld `destIp` übernommen wird.
`destinationIPv4Address`	`target.ip`: `destinationIPv4Address`	Der Wert wird direkt aus dem Feld `destinationIPv4Address` übernommen oder aus dem Feld `networkPrefix` abgeleitet.
`destinationIPv6Address`	`target.ip`: `destinationIPv6Address`	Wert, der direkt aus dem Feld `destinationIPv6Address` übernommen wird.
`destinationPort`	`target.port`: `destinationPort`	Der Wert wird direkt aus dem Feld `destinationPort` übernommen und in eine Ganzzahl konvertiert.
`destinationTransportPort`	`target.port`: `destinationTransportPort`	Der Wert wird direkt aus dem Feld `destinationTransportPort` übernommen und in eine Ganzzahl konvertiert.
`deviceKey`	`about.resource.attribute.labels[].key`: "deviceKey" `about.resource.attribute.labels[].value`: `deviceKey`	Der Wert wird direkt aus dem Feld `deviceKey` übernommen, sofern er nicht „Unbekannt“ lautet.
`deviceName`	`about.resource.attribute.labels[].key`: „deviceName“ `about.resource.attribute.labels[].value`: `deviceName`	Der Wert wird direkt aus dem Feld `deviceName` übernommen, sofern er nicht „Unbekannt“ lautet.
`duration`	`network.session_duration.seconds`: `duration`	Der Wert wird direkt aus dem Feld `duration` übernommen und in eine Ganzzahl konvertiert.
`egressInterfaceName`	`additional.fields[].key`: "egressInterfaceName" `additional.fields[].value.string_value`: `egressInterfaceName`	Wert, der direkt aus dem Feld `egressInterfaceName` übernommen wird.
`event.type`	`metadata.event_type`: `event.type`	Wenn sowohl `applianceName` (oder `sourceIPv4Address` oder `user` oder `sourceIPv6Address`) als auch `destinationIPv4Address` (oder `remoteSite` oder `destinationIPv6Address` oder `clientIPv4Address` oder `hostname`) vorhanden sind, dann `NETWORK_CONNECTION`. Andernfalls `STATUS_UPDATE`. Wenn `applianceName` leer ist, dann `GENERIC_EVENT`.
`eventType`	`principal.resource.attribute.labels[].key`: "eventType" `principal.resource.attribute.labels[].value`: `eventType`	Wert, der direkt aus dem Feld `eventType` übernommen wird.
`family`	`security_result.detection_fields[].key`: „family“ `security_result.detection_fields[].value`: `family`	Wert, der direkt aus dem Feld `family` übernommen wird.
`fc`	`security_result.detection_fields[].key`: "ForwardingClass" `security_result.detection_fields[].value`: `fc`	Wert, der direkt aus dem Feld `fc` übernommen wird.
`fileTransDir`	`additional.fields[].key`: "fileTransDir" `additional.fields[].value.string_value`: `fileTransDir`	Wert, der direkt aus dem Feld `fileTransDir` übernommen wird.
`filename`	`target.file.names`: `filename`	Wert, der direkt aus dem Feld `filename` übernommen wird.
`flowCookie`	`metadata.collected_timestamp`: `flowCookie`	Der Wert wird direkt aus dem Feld `flowCookie` übernommen und mit dem UNIX-Format in einen Zeitstempel konvertiert.
`flowId`	`principal.resource.product_object_id`: `flowId`	Wert, der direkt aus dem Feld `flowId` übernommen wird.
`forwardForwardingClass`	`security_result.detection_fields[].key`: „forwardForwardingClass“ `security_result.detection_fields[].value`: `forwardForwardingClass`	Wert, der direkt aus dem Feld `forwardForwardingClass` übernommen wird.
`fromCountry`	`principal.location.country_or_region`: `fromCountry` `target.location.country_or_region`: `fromCountry`	Wert, der direkt aus dem Feld `fromCountry` übernommen wird.
`fromUser`	`principal.user.userid`: `fromUser`	Der Wert wird direkt aus dem Feld `fromUser` übernommen, sofern es nicht leer ist oder „unknown“ oder „Unknown“ enthält.
`fromZone`	`additional.fields[].key`: „fromZone“ `additional.fields[].value.string_value`: `fromZone`	Wert, der direkt aus dem Feld `fromZone` übernommen wird.
`generateTime`	`metadata.collected_timestamp`: `generateTime`	Der Wert wird direkt aus dem Feld `generateTime` übernommen und mit dem UNIX-Format in einen Zeitstempel konvertiert.
`hostname`	`target.hostname`: `hostname`	Wert, der direkt aus dem Feld `hostname` übernommen wird.
`httpUrl`	`target.url`: `httpUrl`	Wert, der direkt aus dem Feld `httpUrl` übernommen wird.
`icmpTypeIPv4`	`additional.fields[].key`: "icmpTypeIPv4" `additional.fields[].value.string_value`: `icmpTypeIPv4`	Wert, der direkt aus dem Feld `icmpTypeIPv4` übernommen wird.
`idpAction`	`security_result.action`: `idpAction`	Die Logik finden Sie unter `action`.
`ingressInterfaceName`	`additional.fields[].key`: "ingressInterfaceName" `additional.fields[].value.string_value`: `ingressInterfaceName`	Wert, der direkt aus dem Feld `ingressInterfaceName` übernommen wird.
`ipsApplication`	`additional.fields[].key`: "ipsApplication" `additional.fields[].value.string_value`: `ipsApplication`	Wert, der direkt aus dem Feld `ipsApplication` übernommen wird.
`ipsDirection`	`security_result.detection_fields[].key`: "ipsDirection" `security_result.detection_fields[].value`: `ipsDirection`	Wert, der direkt aus dem Feld `ipsDirection` übernommen wird.
`ipsProfile`	`security_result.detection_fields[].key`: „ipsProfile“ `security_result.detection_fields[].value`: `ipsProfile`	Wert, der direkt aus dem Feld `ipsProfile` übernommen wird.
`ipsProfileRule`	`security_result.rule_name`: `ipsProfileRule`	Wert, der direkt aus dem Feld `ipsProfileRule` übernommen wird.
`ipsProtocol`	`network.ip_protocol`: `ipsProtocol`	Wert, der direkt aus dem Feld `ipsProtocol` übernommen wird.
`log_type`	`metadata.description`: `log_type` `metadata.log_type`: `log_type`	Wert, der direkt aus dem Feld `log_type` übernommen wird.
`mstatsTimeBlock`	`metadata.collected_timestamp`: `mstatsTimeBlock`	Der Wert wird direkt aus dem Feld `mstatsTimeBlock` übernommen und mit dem UNIX-Format in einen Zeitstempel konvertiert.
`mstatsTotRecvdOctets`	`network.received_bytes`: `mstatsTotRecvdOctets`	Der Wert wird direkt aus dem Feld `mstatsTotRecvdOctets` übernommen und in eine vorzeichenlose Ganzzahl konvertiert.
`mstatsTotSentOctets`	`network.sent_bytes`: `mstatsTotSentOctets`	Der Wert wird direkt aus dem Feld `mstatsTotSentOctets` übernommen und in eine vorzeichenlose Ganzzahl konvertiert.
`mstatsTotSessCount`	`additional.fields[].key`: "mstatsTotSessCount" `additional.fields[].value.string_value`: `mstatsTotSessCount`	Wert, der direkt aus dem Feld `mstatsTotSessCount` übernommen wird.
`mstatsTotSessDuration`	`network.session_duration.seconds`: `mstatsTotSessDuration`	Der Wert wird direkt aus dem Feld `mstatsTotSessDuration` übernommen und in eine Ganzzahl konvertiert.
`mstatsType`	`security_result.category_details`: `mstatsType`	Wert, der direkt aus dem Feld `mstatsType` übernommen wird.
`networkPrefix`	`target.ip`: `networkPrefix` `target.port`: `networkPrefix`	Die IP-Adresse, die aus dem Feld `networkPrefix` extrahiert wurde. Der Port wurde aus dem Feld `networkPrefix` extrahiert und in eine Ganzzahl umgewandelt.
`protocolIdentifier`	`network.ip_protocol`: `protocolIdentifier`	Der Wert wird direkt aus dem Feld `protocolIdentifier` übernommen, in eine Ganzzahl umgewandelt und mithilfe einer Suche dem Namen des IP-Protokolls zugeordnet.
`recvdOctets`	`network.received_bytes`: `recvdOctets`	Der Wert wird direkt aus dem Feld `recvdOctets` übernommen und in eine vorzeichenlose Ganzzahl konvertiert.
`recvdPackets`	`network.received_packets`: `recvdPackets`	Der Wert wird direkt aus dem Feld `recvdPackets` übernommen und in eine Ganzzahl konvertiert.
`remoteSite`	`target.hostname`: `remoteSite`	Wert, der direkt aus dem Feld `remoteSite` übernommen wird.
`reverseForwardingClass`	`security_result.detection_fields[].key`: "reverseForwardingClass" `security_result.detection_fields[].value`: `reverseForwardingClass`	Wert, der direkt aus dem Feld `reverseForwardingClass` übernommen wird.
`risk`	`security_result.risk_score`: `risk`	Der Wert wird direkt aus dem Feld `risk` übernommen und in einen Gleitkommawert konvertiert.
`rule`	`security_result.rule_name`: `rule`	Wert, der direkt aus dem Feld `rule` übernommen wird.
`sentOctets`	`network.sent_bytes`: `sentOctets`	Der Wert wird direkt aus dem Feld `sentOctets` übernommen und in eine vorzeichenlose Ganzzahl konvertiert.
`sentPackets`	`network.sent_packets`: `sentPackets`	Der Wert wird direkt aus dem Feld `sentPackets` übernommen und in eine Ganzzahl konvertiert.
`serialNum`	`security_result.detection_fields[].key`: "serialNum" `security_result.detection_fields[].value`: `serialNum`	Wert, der direkt aus dem Feld `serialNum` übernommen wird.
`signatureId`	`security_result.detection_fields[].key`: "signatureID" `security_result.detection_fields[].value`: `signatureId`	Wert, der direkt aus dem Feld `signatureId` übernommen wird.
`signatureMsg`	`security_result.detection_fields[].key`: „signatureMsg“ `security_result.detection_fields[].value`: `signatureMsg`	Wert, der direkt aus dem Feld `signatureMsg` übernommen wird.
`signaturePriority`	`security_result.severity`: `signaturePriority`	Wenn `signaturePriority` „low“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann `LOW`. Wenn `signaturePriority` „medium“ ist (unabhängig von der Groß- und Kleinschreibung), dann `MEDIUM`. Wenn `signaturePriority` „high“ (ohne Beachtung der Groß- und Kleinschreibung) ist, dann `HIGH`.
`site`	`principal.hostname`: `site` `applianceName`: `site`	Wert, der direkt aus dem Feld `site` übernommen wird.
`siteId`	`additional.fields[].key`: "siteId" `additional.fields[].value.string_value`: `siteId`	Wert, der direkt aus dem Feld `siteId` übernommen wird.
`siteName`	`principal.hostname`: `siteName` `applianceName`: `siteName`	Wert, der direkt aus dem Feld `siteName` übernommen wird.
`sourceIPv4Address`	`principal.ip`: `sourceIPv4Address`	Wert, der direkt aus dem Feld `sourceIPv4Address` übernommen wird.
`sourceIPv6Address`	`principal.ip`: `sourceIPv6Address`	Wert, der direkt aus dem Feld `sourceIPv6Address` übernommen wird.
`sourcePort`	`principal.port`: `sourcePort`	Der Wert wird direkt aus dem Feld `sourcePort` übernommen und in eine Ganzzahl konvertiert.
`sourceTransportPort`	`principal.port`: `sourceTransportPort`	Der Wert wird direkt aus dem Feld `sourceTransportPort` übernommen und in eine Ganzzahl konvertiert.
`subFamily`	`security_result.detection_fields[].key`: "subFamily" `security_result.detection_fields[].value`: `subFamily`	Wert, der direkt aus dem Feld `subFamily` übernommen wird.
`tcpConnAborted`	`additional.fields[].key`: "tcpConnAborted" `additional.fields[].value.string_value`: `tcpConnAborted`	Der Wert wird direkt aus dem Feld `tcpConnAborted` übernommen, wenn es nicht leer oder „0“ ist.
`tcpConnRefused`	`additional.fields[].key`: "tcpConnRefused" `additional.fields[].value.string_value`: `tcpConnRefused`	Der Wert wird direkt aus dem Feld `tcpConnRefused` übernommen, wenn es nicht leer oder „0“ ist.
`tcpPktsFwd`	`network.sent_packets`: `tcpPktsFwd`	Der Wert wird direkt aus dem Feld `tcpPktsFwd` übernommen und in eine Ganzzahl konvertiert.
`tcpPktsRev`	`network.received_packets`: `tcpPktsRev`	Der Wert wird direkt aus dem Feld `tcpPktsRev` übernommen und in eine Ganzzahl konvertiert.
`tcpReXmitFwd`	`additional.fields[].key`: „tcpReXmitFwd“ `additional.fields[].value.string_value`: `tcpReXmitFwd`	Der Wert wird direkt aus dem Feld `tcpReXmitFwd` übernommen, wenn es nicht leer oder „0“ ist.
`tcpReXmitRev`	`additional.fields[].key`: „tcpReXmitRev“ `additional.fields[].value.string_value`: `tcpReXmitRev`	Der Wert wird direkt aus dem Feld `tcpReXmitRev` übernommen, wenn es nicht leer oder „0“ ist.
`tcpSAA`	`additional.fields[].key`: „tcpSAA“ `additional.fields[].value.string_value`: `tcpSAA`	Der Wert wird direkt aus dem Feld `tcpSAA` übernommen, wenn es nicht leer oder „0“ ist.
`tcpSSA`	`additional.fields[].key`: „tcpSSA“ `additional.fields[].value.string_value`: `tcpSSA`	Der Wert wird direkt aus dem Feld `tcpSSA` übernommen, wenn es nicht leer oder „0“ ist.
`tcpSessCnt`	`additional.fields[].key`: "tcpSessCnt" `additional.fields[].value.string_value`: `tcpSessCnt`	Wert, der direkt aus dem Feld `tcpSessCnt` übernommen wird.
`tcpSessDur`	`network.session_duration.seconds`: `tcpSessDur`	Der Wert wird direkt aus dem Feld `tcpSessDur` übernommen und in eine Ganzzahl konvertiert.
`tcpSynAckReXmit`	`additional.fields[].key`: "tcpSynAckReXmit" `additional.fields[].value.string_value`: `tcpSynAckReXmit`	Der Wert wird direkt aus dem Feld `tcpSynAckReXmit` übernommen, wenn es nicht leer oder „0“ ist.
`tcpSynReXmit`	`additional.fields[].key`: "tcpSynReXmit" `additional.fields[].value.string_value`: `tcpSynReXmit`	Der Wert wird direkt aus dem Feld `tcpSynReXmit` übernommen, wenn es nicht leer oder „0“ ist.
`tcpTWHS`	`additional.fields[].key`: „tcpTWHS“ `additional.fields[].value.string_value`: `tcpTWHS`	Der Wert wird direkt aus dem Feld `tcpTWHS` übernommen, wenn es nicht leer oder „0“ ist.
`tenantId`	`principal.resource.attribute.labels[].key`: "tenantId" `principal.resource.attribute.labels[].value`: `tenantId`	Wert, der direkt aus dem Feld `tenantId` übernommen wird.
`tenantName`	`observer.hostname`: `tenantName`	Wert, der direkt aus dem Feld `tenantName` übernommen wird.
`threatType`	`security_result.detection_fields[].key`: „threatType“ `security_result.detection_fields[].value`: `threatType`	Wert, der direkt aus dem Feld `threatType` übernommen wird.
`toCountry`	`target.location.country_or_region`: `toCountry`	Wert, der direkt aus dem Feld `toCountry` übernommen wird.
`toZone`	`additional.fields[].key`: „toZone“ `additional.fields[].value.string_value`: `toZone`	Wert, der direkt aus dem Feld `toZone` übernommen wird.
`traffType`	`additional.fields[].key`: "traffType" `additional.fields[].value.string_value`: `traffType`	Wert, der direkt aus dem Feld `traffType` übernommen wird.
`ts`	`metadata.event_timestamp`: `ts`	Der Wert wird direkt aus dem Feld `ts` übernommen und in einen Zeitstempel konvertiert.
`type`	`security_result.action`: `type`	Die Logik finden Sie unter `action`.
`urlAction`	`security_result.action`: `urlAction`	Die Logik finden Sie unter `action`.
`urlActionMessage`	`security_result.summary`: `urlActionMessage`	Wert, der direkt aus dem Feld `urlActionMessage` übernommen wird.
`urlCategory`	`principal.resource.attribute.labels[].key`: „urlCategory“ `principal.resource.attribute.labels[].value`: `urlCategory`	Wert, der direkt aus dem Feld `urlCategory` übernommen wird.
`urlProfile`	`additional.fields[].key`: "urlProfile" `additional.fields[].value.string_value`: `urlProfile`	Wert, der direkt aus dem Feld `urlProfile` übernommen wird.
`urlReputation`	`security_result.severity_details`: `urlReputation`	Wert, der direkt aus dem Feld `urlReputation` übernommen wird.
`user`	`principal.ip`: `user`	Wert, der direkt aus dem Feld `user` übernommen wird.
`vsnId`	`principal.resource.attribute.labels[].key`: „vsnId“ `principal.resource.attribute.labels[].value`: `vsnId`	Wert, der direkt aus dem Feld `vsnId` übernommen wird. Hartcodierter Wert. Hartcodierter Wert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten