收集 Palo Alto Cortex XDR 快訊記錄

支援的國家/地區:

本文說明如何設定 Google Security Operations 資訊提供,以收集 Palo Alto Cortex XDR 快訊記錄。

詳情請參閱「將資料擷取至 Google Security Operations」。

擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有 CORTEX_XDR 攝入標籤的剖析器。

設定 Palo Alto Cortex XDR 警報

如要設定 Palo Alto Cortex XDR 快訊,請完成下列工作:

取得 Palo Alto Cortex XDR 警報 API 金鑰

  1. 登入 Cortex XDR 入口網站。
  2. 在「設定」選單中,按一下「設定」
  3. 選取「+ 新增金鑰」
  4. 在「安全性等級」部分中,選取「進階」
  5. 在「角色」部分,選取「檢視者」
  6. 點按「生成」
  7. 複製 API 金鑰,然後按一下「完成」。API 金鑰代表您專屬的授權金鑰,只會在建立時顯示。設定 Google Security Operations 資訊串流時,必須提供這項資訊。

取得 Palo Alto Cortex XDR 快訊 API 金鑰 ID

在「Configurations」部分,依序前往「API keys」>「ID」。請記下對應的 ID 編號,代表 x-xdr-auth-id:{key_id} 權杖。

取得 FQDN

  1. 前往「API 金鑰」
  2. 按一下「複製網址」。儲存網址,設定 Google Security Operations 資訊提供時需要用到。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態消息」,設定動態消息

如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

如要設定單一動態饋給,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「Palo Alto Cortex XDR Alerts Logs」
  5. 選取「第三方 API」做為「來源類型」
  6. 選取「Palo Alto Cortex XDR Alerts」做為「記錄類型」
  7. 點選「下一步」
  8. 設定下列必要輸入參數:
    • 驗證 HTTP 標頭:提供您先前取得的授權金鑰和授權金鑰 ID。
    • API 主機名稱:提供您先前取得的網址。
    • 端點:指定端點。
  9. 依序點按「繼續」和「提交」

如要進一步瞭解 Google Security Operations 動態消息,請參閱 Google Security Operations 動態消息說明文件。如要瞭解各類動態饋給的規定,請參閱「依類型設定動態饋給」。

從內容中心設定動態饋給

為下列欄位指定值:

  • 驗證 HTTP 標頭:提供您先前取得的授權金鑰和授權金鑰 ID。
  • API 主機名稱:提供您先前取得的網址。
  • 端點:指定端點。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間與動態饋給相關聯的命名空間
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

欄位對應參考資料

這個剖析器會從 Palo Alto Networks Cortex XDR 擷取 JSON 或 SYSLOG (鍵/值) 格式的安全記錄、正規化欄位,並將這些欄位對應至 UDM。這項工具可處理 JSON 和鍵/值格式,執行日期擷取作業、使用中繼資料擴充資料,並建構輸出內容,以便匯入 Google SecOps。

在 Cortex XDR 上啟用 REST API 要求,並設定 Google SecOps 資訊提供

本指南提供逐步操作說明,協助您在 Cortex XDR 上啟用 REST API 要求,並在 Google SecOps 中設定對應的資訊提供。

第 1 部分:在 Cortex XDR 上啟用 REST API 要求

Cortex XDR 會使用 API 金鑰進行驗證。請按照下列步驟產生 API 金鑰:

  1. 登入 Cortex XDR 管理控制台。
  2. 前往 [設定]
  3. 存取 API 金鑰
  4. 產生新金鑰。
  5. 提供金鑰名稱 (例如「SecOps Integration」)。
  6. 為 API 金鑰指派必要權限,以便存取所需資料。這對安全性至關重要,可確保金鑰只會存取所需內容。如要瞭解特定用途所需的權限,請參閱 Cortex XDR 說明文件。
  7. 安全地儲存 API 金鑰。設定 Google SecOps 資訊提供時需要用到這項資訊。完整金鑰只會顯示一次,請務必立即複製。
  8. (選用) 設定 API 金鑰的到期日,進一步提升安全性。

第 2 部分:在 Google SecOps 中設定動態饋給

產生 API 金鑰後,請在 Google SecOps 中設定資訊提供,以便接收來自 Cortex XDR 的資料:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增」
  3. 選取「第三方 API」做為「來源類型」
  4. 選取與要從 Cortex XDR 擷取資料對應的必要記錄類型。
  5. 點選「下一步」
  6. 設定下列輸入參數:
    • API 端點:輸入 Cortex XDR API 的基本網址。詳情請參閱 Cortex XDR API 說明文件。
    • API 金鑰:貼上您先前產生的 API 金鑰。
    • 其他參數:視您使用的特定 Cortex XDR API 而定,您可能需要提供其他參數,例如特定資料篩選器或時間範圍。詳情請參閱 Cortex XDR API 說明文件。
  7. 依序點按「繼續」和「提交」

重要事項:

  • 頻率限制:請注意 Cortex XDR API 設下的任何頻率限制。請相應設定動態消息,避免超出這些限制。
  • 錯誤處理:在 Google SecOps 設定中實作適當的錯誤處理機制,以便管理 Cortex XDR API 無法使用或傳回錯誤的情況。
  • 安全性:安全地儲存 API 金鑰,並遵循安全性最佳做法。定期輪替 API 金鑰,盡可能減輕遭駭時可能受到的影響。
  • 說明文件:請參閱官方 Cortex XDR API 說明文件,瞭解可用的端點、參數和資料格式。

UDM 對應表

記錄欄位 UDM 對應 邏輯
action security_result.action 如果 action 包含「BLOCKED」,請設為「BLOCK」。
action security_result.action_details 如果 act 不是空白、空值或「none」,請使用 act 的值。否則,如果 action 不是「BLOCKED」,請使用 action 的值。
action_country security_result.about.location.country_or_region 直接對應。也可用於巢狀 events 欄位。
action_file_path target.resource.attribute.labels 建立含有「action_file_path」鍵和記錄欄位值的標籤。
action_file_sha256 target.file.sha256 轉換為小寫。
action_local_port principal.port 轉換為整數。
action_remote_ip target.ip 已合併至 target.ip 陣列。
action_remote_ip target.asset.ip 已合併至 target.asset.ip 陣列。
action_remote_port target.port 轉換為整數。
act security_result.action_details 如果不是空白、空值或「none」,則會使用這個值。
agent_data_collection_status 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
agent_device_domain target.administrative_domain 直接對應。
agent_fqdn 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
agent_install_type 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
agent_is_vdi 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
agent_os_sub_type target.platform_version 直接對應。
agent_os_type target.platform 如果為「Windows」,請設為「WINDOWS」。
agent_version 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
alert_id security_result.rule_id 直接對應。
app target.application 直接對應。
cat security_result.category_details 合併至 security_result.category_details 欄位。
category security_result.category 如果為「惡意軟體」,請設為「SOFTWARE_MALICIOUS」。
category security_result.category_details 合併至 security_result.category_details 欄位。
cn1 network.session_id 直接對應。
cn1Label 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
contains_featured_host 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
contains_featured_ip 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
contains_featured_user 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
creation_time metadata.event_timestamp 已轉換為時間戳記。
cs1 security_result.rule_name cs1Label 串連,形成 security_result.rule_name
cs1Label security_result.rule_name cs1 串連,形成 security_result.rule_name
cs2 additional.fields additional.fields 中建立鍵/值組合,其中鍵來自 cs2Label,字串值來自 cs2
cs2Label additional.fields additional.fields 中做為 cs2 值的鍵。
cs3 additional.fields additional.fields 中建立鍵/值組合,其中鍵來自 cs3Label,字串值來自 cs3
cs3Label additional.fields additional.fields 中做為 cs3 值的鍵。
cs4 additional.fields additional.fields 中建立鍵/值組合,其中鍵來自 cs4Label,字串值來自 cs4
cs4Label additional.fields additional.fields 中做為 cs4 值的鍵。
cs5 additional.fields additional.fields 中建立鍵/值組合,其中鍵來自 cs5Label,字串值來自 cs5
cs5Label additional.fields additional.fields 中做為 cs5 值的鍵。
cs6 additional.fields additional.fields 中建立鍵/值組合,其中鍵來自 cs6Label,字串值來自 cs6
cs6Label additional.fields additional.fields 中做為 cs6 值的鍵。
CSPaccountname additional.fields additional.fields 中建立鍵/值組合,並使用記錄檔欄位的字串值做為鍵「CSPaccountname」。
description metadata.description 直接對應。如果 event_type 不是 GENERIC_EVENT,也會用於 security_result.description
destinationTranslatedAddress target.ip 已合併至 target.ip 陣列。
destinationTranslatedAddress target.asset.ip 已合併至 target.asset.ip 陣列。
destinationTranslatedPort target.port 如果不是空白或 -1,則會轉換為整數。
deviceExternalId security_result.about.asset_id 前置字串為「Device External Id: 」。
dpt target.port 如果 destinationTranslatedPort 為空或 -1,則會轉換為整數。
dst target.ip 已合併至 target.ip 陣列。
dst target.asset.ip 已合併至 target.asset.ip 陣列。
dst_agent_id target.ip 如果 IP 有效,系統會將其轉換為 IP 位址,並合併至 target.ip 陣列。
dst_agent_id target.asset.ip 如果 IP 有效,系統會將其轉換為 IP 位址,並合併至 target.asset.ip 陣列。
dvchost principal.hostname 直接對應。
dvchost principal.asset.hostname 直接對應。
endpoint_id target.process.product_specific_process_id 開頭為「cor:」。
event_id 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
event_sub_type 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
event_timestamp metadata.event_timestamp 已轉換為時間戳記。也可用於巢狀 events 欄位。
event_type metadata.event_type 根據邏輯對應至 UDM 事件類型。也可用於巢狀 events 欄位。
event_type metadata.product_event_type 直接對應。
event_type security_result.threat_name 直接對應。
events 巢狀事件 events 陣列中的欄位會對應至巢狀 events 物件中的相應 UDM 欄位。詳情請參閱個別欄位對應。
external_id 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fileId target.resource.attribute.labels 建立含有「fileId」鍵和記錄檔欄位值的標籤。
fileHash target.file.sha256 轉換為小寫。將 metadata.event_type 設為 FILE_UNCATEGORIZED。
filePath target.file.full_path 直接對應。將 metadata.event_type 設為 FILE_UNCATEGORIZED。
fw_app_category 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_app_id 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_app_subcategory 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_app_technology 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_device_name 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_email_recipient 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_email_sender 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_email_subject 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_interface_from 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_interface_to 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_is_phishing 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_misc 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_rule 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_rule_id 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_serial_number 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_url_domain 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_vsys 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
fw_xff 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
host_ip principal.ip 以半形逗號分隔,並合併至 principal.ip 陣列。
host_ip principal.asset.ip 以半形逗號分隔,並合併至 principal.asset.ip 陣列。
host_name principal.hostname 直接對應。
host_name principal.asset.hostname 直接對應。
hosts target.hostname hosts 陣列的第一個元素擷取主機名稱。
hosts target.asset.hostname hosts 陣列的第一個元素擷取主機名稱。
hosts target.user.employee_id hosts 陣列的第一個元素擷取使用者 ID。
incident_id metadata.product_log_id 直接對應。
is_whitelisted 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
local_insert_ts 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
mac principal.mac 以半形逗號分隔,並合併至 principal.mac 陣列。
matching_status 未對應 雖然原始記錄中存在這個欄位,但最終 UDM 中的 IDM 物件不會對應到這個欄位。
metadata.description security_result.description 如果 event_type 為 GENERIC_EVENT,則為必填欄位。
metadata.event_type metadata.event_type 使用 event_typehost_ip 和其他欄位,根據邏輯設定。
metadata.log_type metadata.log_type 設為「CORTEX_XDR」。
metadata.product_name metadata.product_name 設為「Cortex」。
metadata.vendor_name metadata.vendor_name 設為「Palo Alto Networks」。
msg security_result.description 直接對應。
name security_result.summary 直接對應。
PanOSDGHierarchyLevel1 security_result.detection_fields security_result.detection_fields 中建立鍵/值組合,鍵為「PanOSDGHierarchyLevel1」,值則來自記錄檔欄位。
PanOSDestinationLocation target.location.country_or_region 直接對應。
PanOSDynamicUserGroupName principal.group.group_display_name 如果不是空白或「-」,則直接對應。
PanOSSourceLocation principal.location.country_or_region 直接對應。
PanOSThreatCategory security_result.category_details 合併至 security_result.category_details 欄位。
PanOSThreatID security_result.threat_id 直接對應。
principal.asset.attribute.labels principal.asset.attribute.labels 建立含有「來源」鍵和 source 欄位值的標籤。
proto network.ip_protocol 轉換為大寫。將 metadata.event_type 設為 NETWORK_CONNECTION。
request network.http.referral_url 直接對應。
rt metadata.event_timestamp 已轉換為時間戳記。
security_result.severity security_result.severity 設為 severity 的大寫值。
severity security_result.severity 轉換為大寫。
shost principal.hostname 直接對應。將 metadata.event_type 設為 STATUS_UPDATE。
shost principal.asset.hostname 直接對應。將 metadata.event_type 設為 STATUS_UPDATE。
source principal.asset.attribute.labels 做為「來源」標籤的值。
source security_result.summary 如果 not_jsongrok 篩選器相符,則會使用這個值。
sourceTranslatedAddress principal.ip 已合併至 principal.ip 陣列。
sourceTranslatedAddress principal.asset.ip 已合併至 principal.asset.ip 陣列。
sourceTranslatedPort principal.port 如果不是空白或 -1,則會轉換為整數。
spt principal.port 轉換成整數。
sr_summary security_result.summary 如果 not_jsongrok 篩選器相符,則會使用這個值。
src principal.ip 已合併至 principal.ip 陣列。
src principal.asset.ip 已合併至 principal.asset.ip 陣列。
suser principal.user.user_display_name 直接對應。
tenantCDLid additional.fields additional.fields 中建立鍵/值組合,並將鍵設為「tenantCDLid」,值則設為記錄檔欄位的字串值。
tenantname additional.fields additional.fields 中建立鍵/值組合,鍵為「tenantname」,值為記錄檔欄位的字串值。
users target.user.userid 使用 users 陣列的第一個元素。
xdr_url metadata.url_back_to_product 直接對應。

異動

2024-07-05

  • 已將「isInteractive」對應至「security_result.detection_fields」。

2024-04-02

  • 將「properties.createdDateTime」對應至「metadata.event_timestamp」。
  • 將「properties.resourceServicePrincipalId」和「resourceServicePrincipalId」對應至「target.resource.attribute.labels」。
  • 將「properties.authenticationProcessingDetails」、「authenticationProcessingDetails」和「properties.networkLocationDetails」對應至「additional.fields」。
  • 已將「properties.userAgent」對應至「network.http.user_agent」和「network.http.parsed_user_agent」。
  • 已將「properties.authenticationRequirement」對應至「additional.fields」。

2024-04-17

  • 已將「action_local_port」對應至「principal.port」。
  • 已將「dst_agent_id」對應至「principal.ip」。
  • 已將「action_remote_ip」對應至「target.ip」。
  • 已將「action_remote_port」對應至「target.ip」。
  • 新增檢查「target_device」是否存在,再將「metadata.event_type」設為「NETWORK_CONNECTION」。

2024-03-15

  • 新增 Grok,從郵件標頭擷取「來源」和「sr_summary」。
  • 已將「sr_summary」對應至「security_result.summary」。

2024-03-11

  • 新增 CEF 格式記錄支援。
  • 已將「rt」對應至「metadata.event_timestamp」。
  • 已將「category」和「cat」對應至「security_result.category_details」。
  • 將「cs2Label」、「cs2」、「tenantname」、「tenantCDLid」和「CSPaccountname」對應至「additional.fields」。
  • 已將「shost」對應至「principal.hostname」和「principal.asset.hostname」。
  • 已將「spt」對應至「principal.port」。
  • 將「src」對應至「principal.ip」和「principal.asset.ip」。
  • 已將「suser」對應至「principal.user.user_display_name」。
  • 已將「dpt」對應至「target.port」。
  • 已將「dst」對應至「target.ip」和「target.asset.ip」。
  • 已將「fileHash」對應至「target.file.sha256」。
  • 已將「filePath」對應至「target.file.full_path」。
  • 已將「要求」對應至「network.http.referral_url」。
  • 已將「msg」對應至「security_result.description」。

2024-01-18

  • 將「action_file_path」對應從「target.file.full_path」變更為「target.resource.attribute.labels」。
  • 已將「網域」對應至「target.asset.hostname」。
  • 已將「destinationTranslatedAddress」對應至「target.asset.ip」。
  • 已將「host_name」對應至「principal.asset.hostname」。
  • 已將「dvchost」對應至「principal.asset.hostname」。
  • 已將「ip」對應至「principal.asset.ip」。
  • 已將「sourceTranslatedAddress」對應至「principal.asset.ip」。

2023-11-10

  • 當「event_type」為「RPC Call」時,將對應的「metadata.event_type」對應至「STATUS_UPDATE」。
  • 已將「events.action_country」對應至「security_result.about.location.country_or_region」。
  • 已將「events.actor_process_command_line」對應至「target.process.command_line」。
  • 將「events.actor_process_image_md5」對應至「target.file.md5」。
  • 將「events.actor_process_image_path」對應至「target.file.full_path」。
  • 已將「events.actor_process_image_sha256」對應至「target.file.sha256」。
  • 將「events.actor_process_instance_id」對應至「target.process.pid」。
  • 已將「events.os_actor_process_command_line」對應至「principal.process.command_line」。
  • 將「events.os_actor_process_image_path」對應至「principal.file.full_path」。
  • 將「events.os_actor_process_image_sha256」對應至「principal.file.sha256」。
  • 已將「events.os_actor_process_instance_id」對應至「principal.process.pid」。
  • 已將「events.causality_actor_process_command_line」對應至「intermediary.process.command_line」。
  • 已將「events.causality_actor_process_image_path」對應至「intermediary.file.full_path」。
  • 將「events.causality_actor_process_image_sha256」對應至「intermediary.file.sha256」。
  • 已將「events.causality_actor_process_instance_id」對應至「intermediary.process.pid」。
  • 將「events.causality_actor_process_image_md5」對應至「intermediary.file.md5」。
  • 已將「events.event_type」對應至「metadata.product_event_type」。
  • 已將「events.user_name」對應至「principal.user.user_display_name」。

2023-10-16

  • 已將「來源」對應至「principal.asset.attribute.labels」。
  • 如果「網路連線」或「網路事件」中的「event_type」為「NETWORK_CONNECTION」,請將「metadata.event_type」設為「NETWORK_CONNECTION」。

2022-11-03

  • 已將「PanOSConfigVersion」對應至「security_result.detection_fields」。
  • 已將「PanOSContentVersion」對應至「security_result.detection_fields」。
  • 已將「PanOSDGHierarchyLevel1」對應至「security_result.detection_fields」。
  • 已將「PanOSDestinationLocation」對應至「target.location.country_or_region」。
  • 已將「PanOSDynamicUserGroupName」對應至「principal.group.group_display_name」。
  • 已將「PanOSSourceLocation」對應至「principal.location.country_or_region」。
  • 將「PanOSThreatCategory」對應至「security_result.category_details」。
  • 已將「PanOSThreatID」對應至「security_result.threat_id」。
  • 已將「app」對應至「target.application」。
  • 已將「cs1」對應至「additional.fields」。
  • 已將「cs3」對應至「additional.fields」。
  • 已將「cs4」對應至「additional.fields」。
  • 已將「cs5」對應至「additional.fields」。
  • 已將「cs6」對應至「additional.fields」。
  • 已將「cn1」對應至「additional.fields」。
  • 將「sourceTranslatedPort」對應至「principal.port」。
  • 已將「sourceTranslatedAddress」對應至「principal.ip」。
  • 已將「destinationTranslatedAddress」對應至「target.ip」。
  • 已將「destinationTranslatedPort」對應至「target.port」。
  • 已將「act」對應至「security_result.action_details」。
  • 已將「deviceExternalId」對應至「security_result.about.asset_id」。
  • 將「dvchost」對應至「principal.hostname」。
  • 已將「proto」對應至「network.ip_protocol」。
  • 已將「fileId」對應至「target.resource.attribute.labels」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。