Diese Seite wurde von der Cloud Translation API übersetzt.

Cloudflare-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

Übersicht

Dieser Parser verarbeitet verschiedene Cloudflare-Logtypen (DNS, HTTP, Audit, Zero Trust, CASB). Dabei werden zuerst gängige Felder normalisiert und dann bedingte Logik basierend auf bestimmten Feldern wie QueryName, Action und ID angewendet, um relevante Daten zu extrahieren und dem UDM zuzuordnen. Außerdem führt es Datentypkonvertierungen, Grok-Abgleiche für IP-Adressen und Hashes durch und verarbeitet verschachtelte JSON-Nutzlast.

Hinweise

Sie benötigen eine Google SecOps-Instanz.
Sie benötigen Berechtigungen für den Zugriff auf Google Cloud IAM.
Sie benötigen Berechtigungen für den Zugriff auf Google Cloud Storage.
Sie benötigen erhöhte Zugriffsrechte für Cloudflare.

Google Cloud Storage-Bucket erstellen

In der Google Cloud Console anmelden
Rufen Sie die Seite Cloud Storage-Buckets auf.

Buckets aufrufen
Klicken Sie auf Erstellen.
Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:
1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:
  1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht (z. B. cloudflare-data).
  2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.
  Hinweis: Sie können den hierarchischen Namespace nicht in einem vorhandenen Bucket aktivieren.
  1. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Bereich Labels zu maximieren.
  2. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.
2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:
  1. Standorttyp auswählen.
  2. Wählen Sie im Drop-down-Menü für den Standorttyp einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.
    1. Wenn Sie den Standorttyp Dual-Region auswählen, können Sie auch die Turboreplikation aktivieren, indem Sie das entsprechende Kästchen anklicken.
  3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.
3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.
4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.
  
  Hinweis: Wenn die Verhinderung des öffentlichen Zugriffs bereits durch die Organisationsrichtlinie Ihres Projekts erzwungen wird, ist das Kästchen Öffentlichen Zugriff verhindern gesperrt.
5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:
  1. Wählen Sie unter Datenschutz die Optionen aus, die Sie für den Bucket festlegen möchten.
  2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.
Klicken Sie auf Erstellen.

Google Cloud-Dienstkonto erstellen

Rufen Sie IAM und Verwaltung > Dienstkonten auf.
Erstellen Sie ein neues Dienstkonto.
Geben Sie einen aussagekräftigen Namen für den Datenstream ein, z. B. cloudflare-logs.
Weisen Sie dem Dienstkonto die Rolle Storage-Objekt-Ersteller für den GCS-Bucket zu, den Sie im vorherigen Schritt erstellt haben.
Erstellen Sie einen SSH-Schlüssel für das Dienstkonto.
Laden Sie eine JSON-Schlüsseldatei für das Dienstkonto herunter. Bewahren Sie diese Datei sicher auf.

Cloudflare IAM für Google Cloud Storage aktivieren

Gehen Sie zu Speicher > Browser > Bucket > Berechtigungen.
Fügen Sie dem Mitglied logpush@cloudflare-data.iam.gserviceaccount.com die Berechtigung Storage-Objekt-Administrator hinzu.

Feed in Google SecOps für die Aufnahme von Cloudflare-Protokollen konfigurieren

Gehen Sie zu SIEM-Einstellungen > Feeds.
Klicken Sie auf Neu hinzufügen.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Cloudflare-Protokolle.
Wählen Sie Google Cloud Storage als Quelltyp aus.
Wählen Sie Cloudflare als Logtyp aus.
Klicken Sie als Chronicle-Dienstkonto auf Dienstkonto abrufen.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage Bucket-URI: URL des Google Cloud Storage-Buckets im Format gs://my-bucket/<value>.
- URI ist ein: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.
- Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.
Hinweis: Wenn Sie die Option Delete transferred files oder Delete transferred files and empty directories auswählen, müssen Sie dem Dienstkonto die entsprechenden Berechtigungen erteilen.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Cloudflare so konfigurieren, dass Protokolle an Google Cloud Storage gesendet werden

Melden Sie sich im Cloudflare-Dashboard an.
Wählen Sie das Unternehmenskonto oder die Domain (auch als Zone bezeichnet) aus, die Sie mit Logpush verwenden möchten.
Gehen Sie zu Analysen und Protokolle > Logpush.
Wählen Sie den Job Logpush erstellen aus.
Wählen Sie unter Ziel auswählen die Option Google Cloud Storage aus.
Geben Sie die folgenden Zieldetails ein oder wählen Sie sie aus:
- Bucket: Name des GCS-Buckets
- Pfad: Speicherort des Buckets im Speichercontainer
- Kästchen: Logs in tägliche Unterordner organisieren (empfohlen)
Hinweis: Achten Sie darauf, dass Ihr Bucket Cloudflare IAM als Nutzer mit der Rolle Storage Object Admin hat.
Klicken Sie auf Weiter.
Bestätigung der Inhaberschaft:
1. Cloudflare sendet eine Datei an Ihren Bucket.
2. Kopieren Sie das Token und fügen Sie es ein:
  1. Melden Sie sich in der Google Cloud Console > Storage > Cloudflare-Bucket an.
  2. Öffnen Sie die Datei mit dem Einspruch gegen die Inhaberschaft.
  3. Kopieren Sie das Inhaberschaftstoken.
  4. Gib das Inhabertoken in der Cloudflare Console ein.
  5. Wählen Sie Weiter aus.
3. Wählen Sie das Dataset aus, das in den Bucket gesendet werden soll.
Logpush-Job konfigurieren:
1. Geben Sie den Jobnamen ein.
2. Unter Wenn Protokolle übereinstimmen können Sie die Ereignisse auswählen, die in die Protokolle aufgenommen und/oder daraus entfernt werden sollen.
Hinweis: Diese Option ist nicht für alle Datensätze verfügbar.
1. Senden Sie die folgenden Felder: Wählen Sie aus, ob alle Protokolle gesendet werden sollen, oder wählen Sie ausgewählte Protokolle aus.
Wählen Sie Senden aus, um die Konfiguration abzuschließen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`AccountID`	`target.resource.id`, `target.resource.product_object_id`	Die Konto-ID, die mit dem Ereignis verknüpft ist.
`Action`	`security_result.action`	Aktion, die aufgrund des Ereignisses ausgeführt wird. `allow` oder `allowed*` ergibt `ALLOW`. `unknown` ergibt `UNKNOWN_ACTION`. Andere Werte führen zu `BLOCK`. Bei Zugriffsprotokollen wird `login` mit `USER_LOGIN`, `logout` mit `USER_LOGOUT` und andere Werte mit `USER_RESOURCE_ACCESS` abgeglichen, wenn eine E-Mail vorhanden ist.
`ActionResult`	`security_result.action`	Wenn `true`, wird `ALLOW` zugeordnet. Wenn `false`, wird `BLOCK` zugeordnet. Andernfalls wird `UNKNOWN_ACTION` zugeordnet.
`ActionType`	`security_result.description`	Beschreibung der ausgeführten Aktion.
`ActorEmail`	`principal.user.email_addresses`	E-Mail-Adresse des Akteurs, der das Ereignis initiiert.
`ActorID`	`principal.user.product_object_id`	Die ID des Aktors, der das Ereignis initiiert.
`ActorIP`	`principal.ip`, `principal.asset.ip`	IP-Adresse des Akteurs, der das Ereignis initiiert.
`Allowed`	`security_result.action`	Wenn `true`, wird `ALLOW` zugeordnet. Andernfalls wird `BLOCK` zugeordnet.
`AppDomain`	`target.administrative_domain`	Domain der Anwendung, die am Ereignis beteiligt ist.
`AppUUID`	`target.resource.product_object_id`	UUID der Anwendung, die am Ereignis beteiligt ist.
`AssetDisplayName`	`principal.asset.attribute.labels.value`, wobei „key“ `AssetDisplayName` ist	Der Anzeigename des Assets.
`AssetExternalID`	`principal.asset_id` (mit dem Präfix „Cloudflare:“)	Externe ID des Assets.
`AssetLink`	`principal.url`	Mit dem Asset verknüpfter Link.
`AssetMetadata.agreedToTerms`	`principal.user.attribute.labels.value`, wobei „key“ `agreedToTerms` ist	Ob der Nutzer den Nutzungsbedingungen zugestimmt hat.
`AssetMetadata.changePasswordAtNextLogin`	`principal.user.attribute.labels.value`, wobei „key“ `changePasswordAtNextLogin` ist	Ob der Nutzer sein Passwort bei der nächsten Anmeldung ändern muss.
`AssetMetadata.clientId`	`principal.user.userid`	Client-ID aus den Asset-Metadaten.
`AssetMetadata.customerId`	`principal.user.userid`	Kundennummer aus den Asset-Metadaten.
`AssetMetadata.familyName`	`principal.user.last_name`	Der Nachname des Nutzers aus den Metadaten des Assets.
`AssetMetadata.givenName`	`principal.user.first_name`	Vorname des Nutzers aus den Asset-Metadaten.
`AssetMetadata.includeInGlobalAddressList`	`principal.user.attribute.labels.value`, wobei „key“ `includeInGlobalAddressList` ist	Ob der Nutzer in der globalen Adressliste enthalten ist.
`AssetMetadata.ipWhitelisted`	`principal.user.attribute.labels.value`, wobei „key“ `ipWhitelisted` ist	Ob die IP-Adresse des Nutzers auf die Zulassungsliste gesetzt ist.
`AssetMetadata.isAdmin`	`principal.user.attribute.labels.value`, wobei „key“ `isAdmin` ist	Ob der Nutzer ein Administrator ist.
`AssetMetadata.isDelegatedAdmin`	`principal.user.attribute.labels.value`, wobei „key“ `isDelegatedAdmin` ist	Gibt an, ob der Nutzer ein delegierter Administrator ist.
`AssetMetadata.isEnforcedIn2Sv`	`principal.user.attribute.labels.value`, wobei „key“ `isEnforcedIn2Sv` ist	Gibt an, ob die Bestätigung in zwei Schritten für den Nutzer erzwungen wird.
`AssetMetadata.isEnrolledIn2Sv`	`principal.user.attribute.labels.value`, wobei „key“ `isEnrolledIn2Sv` ist	Ob der Nutzer für die Bestätigung in zwei Schritten registriert ist.
`AssetMetadata.kind`	(Nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
`AssetMetadata.lastLoginTime`	`principal.user.attribute.labels.value`, wobei „key“ `lastLoginTime` ist	Zeitpunkt der letzten Anmeldung des Nutzers.
`AssetMetadata.login`	`principal.user.userid`	Anmeldename aus den Asset-Metadaten.
`AssetMetadata.name.familyName`	`principal.user.last_name`	Nachname aus den Asset-Metadaten.
`AssetMetadata.name.fullName`	`principal.user.user_display_name`	Vollständiger Name aus den Metadaten des Assets.
`AssetMetadata.name.givenName`	`principal.user.first_name`	Vorname aus den Asset-Metadaten.
`AssetMetadata.nativeApp`	`security_result.detection_fields.value`, wobei „key“ `nativeApp` ist	Ob es sich um eine native App handelt.
`AssetMetadata.owner.id`	`principal.user.userid`	Inhaber-ID aus den Metadaten des Assets.
`AssetMetadata.primaryEmail`	`principal.user.email_addresses`	Primäre E-Mail-Adresse aus den Asset-Metadaten.
`AssetMetadata.scopes`	(Nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
`AssetMetadata.site_admin`	`principal.user.attribute.labels.value`, wobei „key“ `site_admin` ist	Gibt an, ob der Nutzer ein Website-Administrator ist.
`AssetMetadata.suspended`	`principal.user.attribute.labels.value`, wobei „key“ `suspended` ist	Ob der Nutzer gesperrt ist.
`AssetMetadata.url`	`principal.url`	URL aus den Asset-Metadaten.
`AssetMetadata.userKey`	`principal.user.attribute.labels.value`, wobei „key“ `userKey` ist	Nutzerschlüssel aus den Asset-Metadaten.
`BlockedFileHash`	`target.file.md5`, `target.file.sha1`, `target.file.sha256`	Hashes der blockierten Datei. Mit Grok geparst, um MD5, SHA1 oder SHA256 zu extrahieren.
`BlockedFileName`	`security_result.about.file.full_path`	Name der blockierten Datei.
`BlockedFileReason`	`security_result.summary`	Grund für die Blockierung der Datei.
`BlockedFileSize`	`target.file.size`	Größe der blockierten Datei.
`BotScore`	`security_result.detection_fields.value`, wobei „key“ `BotScore` ist	Der der Anfrage zugewiesene Bot-Score.
`BytesReceived`	`network.received_bytes`	Anzahl der empfangenen Byte.
`BytesSent`	`network.sent_bytes`	Anzahl der gesendeten Byte.
`CacheCacheStatus`	`additional.fields.value.string_value`, wobei „key“ `CacheCacheStatus` ist	Status des Caches.
`CacheResponseBytes`	`additional.fields.value.string_value`, wobei „key“ `CacheResponseBytes` ist	Anzahl der Byte in der Antwort im Cache.
`CacheResponseStatus`	`additional.fields.value.string_value`, wobei „key“ `CacheResponseStatus` ist	Statuscode der im Cache gespeicherten Antwort.
`ClientASN`	(Nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
`ClientCountry`	`principal.location.country_or_region`	Land des Kunden.
`ClientDeviceType`	`additional.fields.value.string_value`, wobei „key“ `ClientDeviceType` ist	Typ des Clientgeräts.
`ClientIP`	`principal.ip`, `principal.asset.ip`	IP-Adresse des Clients.
`ClientRequestMethod`	`network.http.method`	Die vom Client verwendete HTTP-Anfragemethode.
`ClientRequestHost`	`target.hostname`, `target.asset.hostname`	Vom Client angeforderter Hostname.
`ClientRequestPath`	(Nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
`ClientRequestProtocol`	`network.application_protocol`	In der Clientanfrage verwendetes Protokoll (z.B. HTTP, HTTPS). Die Protokollversion wird entfernt.
`ClientRequestReferer`	`network.http.referral_url`	Referrer-URL der Clientanfrage.
`ClientRequestURI`	`target.url` (mit `ClientRequestHost` kombiniert, falls vorhanden)	Vom Client angeforderter URI.
`ClientRequestUserAgent`	`network.http.user_agent`	User-Agent der Clientanfrage. Wird ebenfalls geparst und `network.http.parsed_user_agent` zugeordnet.
`ClientSSLCipher`	`network.tls.cipher`	SSL-Chiffre, die vom Client verwendet wird.
`ClientSSLProtocol`	`network.tls.version`	SSL-Protokoll, das vom Client verwendet wird.
`ClientSrcPort`	`principal.port`	Quellport des Clients.
`ClientTCPHandshakeDurationMs`	`additional.fields.value.string_value`, wobei „key“ `ClientTCPHandshakeDurationMs` ist	Dauer des TCP-Handshakes des Clients.
`ClientTLSHandshakeDurationMs`	`additional.fields.value.string_value`, wobei „key“ `ClientTLSHandshakeDurationMs` ist	Dauer des Client-TLS-Handshakes.
`ClientTLSVersion`	`network.tls.version`	Die vom Client verwendete TLS-Version.
`ColoID`	(Nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
`Connection`	`target.resource.attribute.labels.value`, wobei „key“ `Connection` ist	Verbindungstyp (z. B. saml)
`ConnectionCloseReason`	`additional.fields.value.string_value`, wobei „key“ `ConnectionCloseReason` ist	Grund für die Schließung der Verbindung.
`ConnectionReuse`	`additional.fields.value.string_value`, wobei „key“ `ConnectionReuse` ist	Ob die Verbindung wiederverwendet wurde.
`Country`	`target.location.country_or_region`	Das mit dem Ereignis verknüpfte Land.
`CreatedAt`	`metadata.event_timestamp`	Zeitstempel der Ereigniserstellung.
`Datetime`	`metadata.event_timestamp`	Datum und Uhrzeit des Termins.
`DestinationIP`	`target.ip`, `target.asset.ip`	IP-Adresse des Ziels.
`DestinationPort`	`target.port`	Zielport.
`DestinationTunnelID`	`additional.fields.value.string_value`, wobei „key“ `DestinationTunnelID` ist	ID des Zieltunnels.
`DeviceID`	`principal.asset_id` (mit dem Präfix „Cloudflare:“)	ID des Geräts.
`DeviceName`	`principal.hostname`, `principal.asset.hostname`, `principal.asset.attribute.labels.value`, wobei `DeviceName` der Schlüssel ist	Name des Geräts.
`DownloadedFileNames`	`security_result.about.labels.value`, wobei „key“ `DownloadFileNames` ist	Namen der heruntergeladenen Dateien.
`DstIP`	`target.ip`, `target.asset.ip`	IP-Adresse des Ziels.
`DstPort`	`target.port`	Zielport.
`EdgeColoCode`	`additional.fields.value.string_value`, wobei „key“ `EdgeColoCode` ist	Cloudflare-Edge-Standortcode.
`EdgeColoID`	`additional.fields.value.string_value`, wobei „key“ `EdgeColoID` ist	Cloudflare-Edge-Standort-ID.
`EdgeEndTimestamp`	(Nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
`EdgeResponseBytes`	`network.received_bytes`	Anzahl der Byte in der Antwort vom Edge.
`EdgeResponseContentType`	`target.file.mime_type`	Inhaltstyp der Edge-Antwort.
`EdgeResponseStatus`	`network.http.response_code`	Statuscode der Edge-Antwort.
`EdgeServerIP`	`target.ip`, `target.asset.ip`	IP-Adresse des Edge-Servers.
`EdgeStartTimestamp`	`metadata.event_timestamp`	Zeitstempel für den Beginn der Anfrage am Edge.
`Email`	`principal.user.email_addresses`, `target.user.email_addresses`	Die mit dem Ereignis verknüpfte E-Mail-Adresse.
`EgressColoName`	`additional.fields.value.string_value`, wobei „key“ `EgressColoName` ist	Name des Ausgangs-Rechenzentrums.
`EgressIP`	`principal.ip`, `principal.asset.ip`	Ausgehende IP-Adresse. Legt `network.direction` auf `OUTBOUND` fest.
`EgressPort`	`principal.port`	Ausgangsport
`EgressRuleID`	`additional.fields.value.string_value`, wobei „key“ `EgressRuleID` ist	ID der ausgehenden Regel.
`EgressRuleName`	`additional.fields.value.string_value`, wobei „key“ `EgressRuleName` ist	Name der Regel für ausgehenden Traffic.
`FindingTypeDisplayName`	`security_result.description`	Der Anzeigename des Ergebnistyps.
`FindingTypeID`	`security_result.rule_id`	ID des Ergebnistyps.
`FindingTypeSeverity`	`security_result.severity`	Schweregrad des Ergebnistyps.
`FirewallMatchesActions`	`security_result.action`	Aktionen, die von Firewallregeln ausgeführt werden. `allow`, `Allow`, `ALLOW`, `skip`, `SKIP`, `Skip` entsprechen `ALLOW`. `challengeSolved` und `jschallengeSolved` werden `ALLOW_WITH_MODIFICATION` zugeordnet. `drop` und `block` werden `BLOCK` zugeordnet. Andere Werte werden `UNKNOWN_ACTION` zugeordnet.
`FirewallMatchesRuleIDs`	`security_result.rule_id` (für die erste ID) werden mit nachfolgenden IDs neue `security_result`-Objekte erstellt.	IDs der übereinstimmenden Firewallregeln.
`FirewallMatchesSources`	`security_result.rule_name`	Quellen der übereinstimmenden Firewallregeln.
`HTTPHost`	`target.hostname`	HTTP-Host.
`HTTPMethod`	`network.http.method`	HTTP-Methode.
`HTTPVersion`	`network.application_protocol`	Wenn der Wert „HTTP“ enthält, wird `network.application_protocol` auf `HTTP` festgelegt.
`ID`	`metadata.product_log_id`	ID des Ereignisses.
`IngressColoName`	`additional.fields.value.string_value`, wobei „key“ `IngressColoName` ist	Name des Rechenzentrums, in dem sich das Gerät befindet, über das die Daten einfließen.
`InstanceID`	`principal.resource.product_object_id`	ID der Instanz.
`IntegrationDisplayName`	`additional.fields.value.string_value`, wobei „key“ `IntegrationDisplayName` ist	Anzeigename der Integration.
`IntegrationID`	`metadata.product_deployment_id`	ID der Integration.
`IntegrationPolicyVendor`	`additional.fields.value.string_value`, wobei „key“ `IntegrationPolicyVendor` ist	Anbieter der Integrationsrichtlinie.
`IPAddress`	`target.ip`, `target.asset.ip`	IP-Adresse, die mit dem Ereignis verknüpft ist.
`IsIsolated`	`about.labels.value`, wobei „key“ `IsIsolated` ist, `security_result.about.resource.attribute.labels.value`, wobei „key“ `IsIsolated` ist	Ob der Vorfall isoliert ist.
`Location`	`principal.location.name`	Mit dem Ereignis verknüpfter Ort.
`NewValue`	`security_result.about.labels.value`, wobei „key“ `NewValue` ist	Neuer Wert nach einer Aktualisierung.
`Offramp`	`additional.fields.value.string_value`, wobei „key“ `Offramp` ist	In der Verbindung verwendete Abfahrt.
`OldValue`	`security_result.about.labels.value`, wobei „key“ `OldValue` ist	Alter Wert vor einer Aktualisierung.
`OriginIP`	`intermediary.ip`, `target.ip`, `target.asset.ip`	IP-Adresse des Ursprungs.
`OriginPort`	`target.port`	Ursprungsport.
`OriginResponseBytes`	`additional.fields.value.string_value`, wobei „key“ `OriginResponseBytes` ist	Anzahl der Byte in der Ursprungsantwort.
`OriginResponseStatus`	`additional.fields.value.string_value`, wobei „key“ `OriginResponseStatus` ist	Statuscode der Ursprungsantwort.
`OriginResponseTime`	`additional.fields.value.string_value`, wobei „key“ `OriginResponseTime` ist	Antwortzeit des Ursprungs.
`OriginSSLProtocol`	(Nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
`OriginTLSCertificateIssuer`	`additional.fields.value.string_value`, wobei „key“ `OriginTLSCertificateIssuer` ist	Aussteller des ursprünglichen TLS-Zertifikats.
`OriginTLSCertificateValidationResult`	`additional.fields.value.string_value`, wobei „key“ `OriginTLSCertificateValidationResult` ist	Ergebnis der Validierung des TLS-Zertifikats des Ursprungs.
`OriginTLSCipher`	`additional.fields.value.string_value`, wobei „key“ `OriginTLSCipher` ist	Chiffre, die in der TLS-Verbindung des Ursprungs verwendet wird.
`OriginTLSHandshakeDurationMs`	`additional.fields.value.string_value`, wobei „key“ `OriginTLSHandshakeDurationMs` ist	Dauer des TLS-Handshakes am Ursprung.
`OriginTLSVersion`	`additional.fields.value.string_value`, wobei „key“ `OriginTLSVersion` ist	TLS-Version, die vom Ursprung verwendet wird.
`OwnerID`	`target.user.product_object_id`	ID des Inhabers.
`Policy`	`security_result.rule_name`	Mit dem Ereignis verknüpfte Richtlinie.
`PolicyID`	`security_result.rule_id`	ID der Richtlinie.
`PolicyName`	`security_result.rule_name`	Name der Richtlinie.
`Protocol`	`network.application_protocol`, `network.ip_protocol`	Das in der Verbindung verwendete Protokoll. Wenn der Wert nicht „tls“ oder „TLS“ lautet, wird er in Großbuchstaben umgewandelt und `network.application_protocol` zugeordnet. Andernfalls wird er mit einer Include-Datei geparst und `network.ip_protocol` zugeordnet.
`PurposeJustificationPrompt`	(Nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
`PurposeJustificationResponse`	(Nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
`QueryCategoryIDs`	`security_result.about.labels.value`, `security_result.about.resource.attribute.labels.value`, wobei `QueryCategoryIDs` der Schlüssel ist	IDs der Suchanfragekategorien.
`QueryName`	`network.dns.questions.name`	Name der DNS-Abfrage. Legt `metadata.event_type` auf `NETWORK_DNS` und `network.application_protocol` auf `DNS` fest.
`QueryNameReversed`	`network.dns.questions.name`	Der umgekehrte Name der DNS-Abfrage.
`QuerySize`	`network.sent_bytes`	Größe der Abfrage.
`QueryType`	`network.dns.questions.type`	Typ der DNS-Abfrage. Sie werden anhand von DNS-Abfragetypcodes numerischen Werten zugeordnet.
`RData`	`network.dns.answers.type`, `network.dns.answers.data`	DNS-Eintragsdaten Mit jedem Element im `RData`-Array wird ein neues `answer`-Objekt erstellt.
`RayID`	`metadata.product_log_id`	Ray-ID, die mit der Anfrage verknüpft ist.
`Referer`	`network.http.referral_url`	Verweis-URL.
`RequestID`	`metadata.product_log_id`	ID der Anfrage.
`ResolverDecision`	`security_result.summary`	Entscheidung des Resolvers.
`ResourceID`	`target.resource.id`, `target.resource.product_object_id`	ID der Ressource.
`ResourceType`	`target.resource.resource_subtype`	Der Typ der Ressource.
`RuleEvaluationDurationMs`	`additional.fields.value.string_value`, wobei „key“ `RuleEvaluationDurationMs` ist	Dauer der Regelauswertung.
`SNI`	`network.tls.client.server_name`	Server Name Indication (SNI) im TLS-Client-Hello
`SecurityAction`	`security_result.action`	Sicherheitsmaßnahme ergriffen. Ein leerer Wert oder kein `SecurityAction` wird `ALLOW` zugeordnet. `challengeSolved` oder `jschallengeSolved` wird `ALLOW_WITH_MODIFICATION` zugeordnet. `drop` oder `block` wird `BLOCK` zugeordnet.
`SecurityLevel`	`security_result.severity`	Sicherheitsebene `high` wird `HIGH` zugeordnet, `med` `MEDIUM` und `low` `LOW`.
`SessionEndTime`	`additional.fields.value.string_value`, wobei „key“ `SessionEndTime` ist	Ende der Sitzung.
`SessionID`	`network.session_id`	ID der Sitzung.
`SessionStartTime`	`metadata.event_timestamp`	Startzeit der Sitzung.
`SourceIP`	`principal.ip`, `principal.asset.ip`, `src.ip`, `src.asset.ip`	IP-Adresse der Quelle.
`SourcePort`	`principal.port`, `src.port`	Quellport.
`SrcIP`	`principal.ip`, `principal.asset.ip`	IP-Adresse der Quelle.
`SrcPort`	`principal.port`	Quellport.
`TemporaryAccessDuration`	`network.session_duration.seconds`	Dauer des vorübergehenden Zugriffs.
`Timestamp`	`metadata.event_timestamp`	Zeitstempel des Ereignisses.
`Transport`	`network.ip_protocol`	Transportprotokoll. In Großbuchstaben umgewandelt und mit einer Include-Datei geparst.
`UploadedFileNames`	`security_result.about.labels.value`, wobei „key“ `UploadedFileNames` ist	Namen der hochgeladenen Dateien.
`URL`	`target.url`	Die URL, die mit dem Ereignis verknüpft ist.
`UserAgent`	`network.http.user_agent`	User-Agent-String. Wird auch geparst und `network.http.parsed_user_agent` zugeordnet.
`UserID`	`principal.user.product_object_id`, `event.idm.read_only_udm.target.user.product_object_id`	ID des Nutzers.
`UserUID`	`target.user.product_object_id`	UID des Nutzers.
`VirtualNetworkID`	`principal.resource.product_object_id`	ID des virtuellen Netzwerks.
`WAFAction`	`security_result.about.labels.value`, wobei „key“ `WAFAction` ist	Von der Web Application Firewall (WAF) ergriffene Maßnahme.
`WAFAttackScore`	`security_result.about.resource.attribute.labels.value`, wobei „key“ `WAFAttackScore` ist	Von der WAF zugewiesener Angriffswert.
`WAFFlags`	`security_result.about.resource.attribute.labels.value`, wobei „key“ `WAFFlags` ist	WAF-Flags
`WAFMatchedVar`	(Nicht zugeordnet)	Nicht dem IDM-Objekt zugeordnet.
`WAFProfile`	`security_result.about.labels.value`, wobei „key“ `WAFProfile` ist	WAF-Profil
`WAFRCEAttackScore`	`security_result.about.resource.attribute.labels.value`, wobei „key“ `WAFRCEAttackScore` ist	WAF-Bewertung für RCE-Angriffe (Remote Code Execution)
`WAFRuleID`	`security_result.threat_id`, `security_result.about.labels.value`, wobei `WAFRuleID` der Schlüssel ist	ID der WAF-Regel.
`WAFRuleMessage`	`security_result.rule_name`, `security_result.threat_name`	Mit der WAF-Regel verknüpfte Nachricht.
`WAFSQLiAttackScore`	`security_result.about.resource.attribute.labels.value`, wobei „key“ `WAFSQLiAttackScore` ist	WAF-Bewertung für SQL-Injection-Angriffe.
`WAFXSSAttackScore`	`security_result.about.resource.attribute.labels.value`, wobei „key“ `WAFXSSAttackScore` ist	WAF-Wert für Cross-Site-Scripting-Angriffe (XSS).
`ZoneID`	`additional.fields.value.string_value`, wobei „key“ `ZoneID` ist	Zonen-ID.
`event.idm.read_only_udm.metadata.event_type`	`metadata.event_type`	Typ des Ereignisses. Wird vom Parser anhand der Protokolldaten festgelegt. Wenn kein Wert festgelegt ist oder ein `NETWORK_DNS`-Ereignis kein Hauptkonto oder Ziel hat, wird standardmäßig `GENERIC_EVENT` verwendet. Kann `NETWORK_DNS`, `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_LOGOUT`, `USER_RESOURCE_ACCESS`, `USER_RESOURCE_UPDATE_CONTENT` oder `GENERIC_EVENT` sein.
`event.idm.read_only_udm.metadata.log_type`	`metadata.log_type`	„Log type“ (Protokolltyp) muss auf „CLOUDFLARE“ festgelegt sein.
`event.idm.read_only_udm.metadata.product_deployment_id`	`metadata.product_deployment_id`	ID der Produktbereitstellung.
`event.idm.read_only_udm.metadata.product_log_id`	`metadata.product_log_id`	Produktprotokoll-ID.
`event.idm.read_only_udm.metadata.product_name`	`metadata.product_name`	Produktname. Wird vom Parser anhand der Protokolldaten festgelegt. Kann „Cloudflare Gateway DNS“, „Cloudflare Gateway HTTP“, „Cloudflare Audit“ oder „Web Application Firewall“ sein.
`event.idm.read_only_udm.metadata.vendor_name`	`metadata.vendor_name`	Anbietername, festgelegt auf „Cloudflare“.
`event.idm.read_only_udm.metadata.event_timestamp`	`metadata.event_timestamp`	Zeitstempel des Ereignisses.
`event.idm.read_only_udm.network.application_protocol`	`network.application_protocol`	Anwendungsprotokoll, das in der Netzwerkverbindung verwendet wird.
`event.idm.read_only_udm.network.direction`	`network.direction`	Richtung der Netzwerkverbindung. Setzen Sie `OUTBOUND`, wenn `EgressIP` und `SourceIP` vorhanden sind.
`event.idm.read_only_udm.network.dns.answers`	`network.dns.answers`	DNS-Antworten.
`event.idm.read_only_udm.network.dns.questions`	`network.dns.questions`	DNS-Fragen
`event.idm.read_only_udm.network.http.method`	`network.http.method`	HTTP-Methode.
`event.idm.read_only_udm.network.http.parsed_user_agent`	`network.http.parsed_user_agent`	Geparserter User-Agent.
`event.idm.read_only_udm.network.http.referral_url`	`network.http.referral_url`	HTTP-Referrer-URL.
`event.idm.read_only_udm.network.http.response_code`	`network.http.response_code`	HTTP-Antwortcode.
`event.idm.read_only_udm.network.http.user_agent`	`network.http.user_agent`	HTTP-User-Agent
`event.idm.read_only_udm.network.ip_protocol`	`network.ip_protocol`	IP-Protokoll.
`event.idm.read_only_udm.network.received_bytes`	`network.received_bytes`	Anzahl der empfangenen Byte.
`event.idm.read_only_udm.network.sent_bytes`	`network.sent_bytes`	Anzahl der gesendeten Byte.
`event.idm.read_only_udm.network.session_duration.seconds`	`network.session_duration.seconds`	Dauer der Netzwerksitzung in Sekunden.
`event.idm.read_only_udm.network.session_id`	`network.session_id`	Netzwerksitzungs-ID.
`event.idm.read_only_udm.network.tls.cipher`	`network.tls.cipher`	TLS-Chiffrensammlung.
`event.idm.read_only_udm.network.tls.client.server_name`	`network.tls.client.server_name`	Name des TLS-Clientservers.
`event.idm.read_only_udm.network.tls.version`	`network.tls.version`	TLS-Version.
`event.idm.read_only_udm.principal.asset.attribute.labels`	`principal.asset.attribute.labels`	Labels, die mit dem Haupt-Asset verknüpft sind.
`event.idm.read_only_udm.principal.asset.hostname`	`principal.asset.hostname`	Hostname des Haupt-Assets.
`event.idm.read_only_udm.principal.asset.ip`	`principal.asset.ip`	IP-Adresse des Haupt-Assets.
`event.idm.read_only_udm.principal.asset_id`	`principal.asset_id`	ID des Haupt-Assets.
`event.idm.read_only_udm.principal.hostname`	`principal.hostname`	Hostname des Hauptkontos.
`event.idm.read_only_udm.principal.ip`	`principal.ip`	IP-Adresse des Hauptkontos.
`event.idm.read_only_udm.principal.location.country_or_region`	`principal.location.country_or_region`	Land oder Region des Hauptsitzes des Hauptauftragnehmers.
`event.idm.read_only_udm.principal.location.name`	`principal.location.name`	Name des Standorts des Hauptkontos.
`event.idm.read_only_udm.principal.port`	`principal.port`	Vom Hauptkonto verwendeter Port.
`event.idm.read_only_udm.principal.resource.product_object_id`	`principal.resource.product_object_id`	Die Produktobjekt-ID der Ressource des Hauptkontos.
`event.idm.read_only_udm.principal.url`	`principal.url`	Mit dem Hauptberechtigten verknüpfte URL.
`event.idm.read_only_udm.principal.user.attribute.labels`	`principal.user.attribute.labels`	Mit dem Hauptnutzer verknüpfte Labels.
`event.idm.read_only_udm.principal.user.email_addresses`	`principal.user.email_addresses`	E-Mail-Adressen des Hauptnutzers.
`event.idm.read_only_udm.principal.user.first_name`	`principal.user.first_name`	Vorname des Hauptnutzers.
`event.idm.read_only_udm.principal.user.last_name`	`principal.user.last_name`	Nachname des Hauptnutzers.
`event.idm.read_only_udm.principal.user.product_object_id`	`principal.user.product_object_id`	Produktobjekt-ID des Hauptnutzers.
`event.idm.read_only_udm.principal.user.userid`	`principal.user.userid`	Nutzer-ID des Hauptnutzers.
`event.idm.read_only_udm.principal.user.user_display_name`	`principal.user.user_display_name`	Anzeigename des Hauptnutzers.
`event.idm.read_only_udm.src.asset.ip`	`src.asset.ip`	IP-Adresse des Quell-Assets.
`event.idm.read_only_udm.src.ip`	`src.ip`	IP-Adresse der Quelle.
`event.idm.read_only_udm.src.port`	`src.port`	Port der Quelle.
`event.idm.read_only_udm.target.administrative_domain`	`target.administrative_domain`	Verwaltungsdomain des Ziels.
`event.idm.read_only_udm.target.asset.hostname`	`target.asset.hostname`	Hostname des Ziel-Assets.
`event.idm.read_only_udm.target.asset.ip`	`target.asset.ip`	IP-Adresse des Ziel-Assets.
`event.idm.read_only_udm.target.file.mime_type`	`target.file.mime_type`	MIME-Typ der Zieldatei.
`event.idm.read_only_udm.target.file.md5`	`target.file.md5`	MD5-Hash der Zieldatei.
`event.idm.read_only_udm.target.file.sha1`	`target.file.sha1`	SHA1-Hash der Zieldatei.
`event.idm.read_only_udm.target.file.sha256`	`target.file.sha256`	SHA256-Hash der Zieldatei.
`event.idm.read_only_udm.target.file.size`	`target.file.size`	Größe der Zieldatei.
`event.idm.read_only_udm.target.hostname`	`target.hostname`	Hostname des Ziels.
`event.idm.read_only_udm.target.ip`	`target.ip`	IP-Adresse des Ziels.
`event.idm.read_only_udm.target.location.country_or_region`	`target.location.country_or_region`	Land oder Region des Ziels.
`event.idm.read_only_udm.target.port`	`target.port`	Port des Ziels.
`event.idm.read_only_udm.target.resource.attribute.labels`	`target.resource.attribute.labels`	Mit der Zielressource verknüpfte Labels.
`event.idm.read_only_udm.target.resource.id`	`target.resource.id`	ID der Zielressource.
`event.idm.read_only_udm.target.resource.product_object_id`	`target.resource.product_object_id`	Die Produktobjekt-ID der Zielressource.
`event.idm.read_only_udm.target.resource.resource_subtype`	`target.resource.resource_subtype`	Ressourcenuntertyp der Zielressource.
`event.idm.read_only_udm.target.url`	`target.url`	URL des Ziels.
`event.idm.read_only_udm.target.user.email_addresses`	`target.user.email_addresses`	E-Mail-Adressen der Zielnutzer.
`event.idm.read_only_udm.target.user.product_object_id`	`target.user.product_object_id`	Produktobjekt-ID des Zielnutzers.
`event.idm.read_only_udm.security_result.about.file.full_path`	`security_result.about.file.full_path`	Vollständiger Pfad der Datei, die mit dem Sicherheitsergebnis verknüpft ist.
`event.idm.read_only_udm.security_result.about.labels`	`security_result.about.labels`	Labels, die mit dem Sicherheitsergebnis verknüpft sind.
`event.idm.read_only_udm.security_result.about.resource.attribute.labels`	`security_result.about.resource.attribute.labels`	Labels, die mit der Ressource im Sicherheitsergebnis verknüpft sind.
`event.idm.read_only_udm.security_result.action`	`security_result.action`	Im Sicherheitsergebnis ergriffene Maßnahme.
`event.idm.read_only_udm.security_result.detection_fields`	`security_result.detection_fields`	Erkennungsfelder im Sicherheitsergebnis
`event.idm.read_only_udm.security_result.description`	`security_result.description`	Beschreibung des Sicherheitsergebnisses.
`event.idm.read_only_udm.security_result.rule_id`	`security_result.rule_id`	Regel-ID des Sicherheitsergebnisses.
`event.idm.read_only_udm.security_result.rule_name`	`security_result.rule_name`	Regelname des Sicherheitsergebnisses.
`event.idm.read_only_udm.security_result.severity`	`security_result.severity`	Schwere des Sicherheitsergebnisses.
`event.idm.read_only_udm.security_result.summary`	`security_result.summary`	Zusammenfassung des Sicherheitsergebnisses.
`event.idm.read_only_udm.security_result.threat_id`	`security_result.threat_id`	Die Bedrohungs-ID des Sicherheitsergebnisses.
`event.idm.read_only_udm.security_result.threat_name`	`security_result.threat_name`	Der Name der Bedrohung des Sicherheitsergebnisses.
`event.idm.read_only_udm.extensions.auth.type`	`extensions.auth.type`	Authentifizierungstyp. Für Anmelde- und Abmeldeereignisse auf `MACHINE` festlegen.
`event.idm.read_only_udm.about`	`about`	Informationen zu
`event.idm.read_only_udm.additional.fields`	`additional.fields`	Zusätzliche Felder
`event.idm.read_only_udm.intermediary`	`intermediary`	Informationen zum Vermittler

Änderungen

2024-02-19

Fehlerkorrektur:
Wenn keine Daten zu Haupt- und Zielcomputer vorhanden sind, wird „metadata.event_type“ mit „GENERIC_EVENT“ abgeglichen.
Wenn das Feld „Datum/Uhrzeit“ fehlt und das Feld „Zeitstempel“ vorhanden ist, wird „Zeitstempel“ mit „metadata.event_timestamp“ abgeglichen.
„ClientIP“ wurde auf „principal.ip“ zugeordnet.
„RayID“ wurde auf „metadata.product_log_id“ zugeordnet.
„EdgeResponseStatus“ wurde in „network.http.response_code“ geändert.
„ClientRequestMethod“ wurde auf „network.http.method“ zugeordnet.
„ClientRequestURI“ wurde „target.uri“ zugeordnet.
„ClientRequestHost“ wurde auf „target.hostname“ zugeordnet.

2024-01-31

„BotScore“ wurde auf „security_result.detection_fields“ zugeordnet.
Die Zuordnungen „principal.hostname“, „target.hostname“, „principal.asset.hostname“ und „target.asset.hostname“ wurden angeglichen.
Die Zuordnungen „principal.ip“, „target.ip“, „principal.asset.ip“ und „target.asset.ip“ wurden angeglichen.

2024-01-08

Wenn „Aktion“ „Zulassen“ enthält, legen Sie „security_result.action“ auf „ALLOW“ fest.
Zuordnung von „DeviceName“ zu „principal.hostname“ und „principal.asset.hostname“ hinzugefügt.
Zuordnung von „SourceIP“ zu „principal.ip“ für DNS-Protokolle hinzugefügt.
Es wurde eine bedingte Nullprüfung hinzugefügt, bevor „principal“ mit „event.idm.read_only_udm.principal“ abgeglichen wird.
Es wurde eine bedingte Nullprüfung hinzugefügt, bevor „target“ mit „event.idm.read_only_udm.target“ abgeglichen wird.

2023-11-22

„WAFRuleID“ wurde „security_result.threat_id“ zugeordnet.
„WAFRuleMessage“ wurde „security_result.threat_name“ zugeordnet.
„WAFRCEAttackScore“, „WAFSQLiAttackScore“, „WAFXSSAttackScore“, „WAFAttackScore“ und „WAFFlags“ wurden in „security_result.about.resource.attribute.labels“ umgewandelt.

2023-10-09

Wenn der Wert „SecurityAction“ null ist oder nicht vorhanden ist, legen Sie „security_result.action“ auf „ALLOW“ fest.

2023-09-26

Die Zuordnungen wurden von veralteten UDM-Feldern auf alternative Felder umgestellt.
Zuordnung von „security_result.about.labels“ zu „security_result.about.resource.attribute.labels“ hinzugefügt.
Zuordnung von „about.labels“ zu „security_result.about.resource.attribute.labels“ hinzugefügt.
Zuordnung von „target.resource.id“ zu „target.resource.product_object_id“ hinzugefügt.

2023-04-25

Die folgenden Rohlogsfelder wurden UDM-Feldern zugeordnet:
„EdgeStartTimestamp“, „ClientIP“, „ClientRequestHost“, „ClientRequestURI“, „ClientRequestMethod“, „Datum/Uhrzeit“, „ActorEmail“ und „ActorIP“ wurden auf „null“ initialisiert.
„AssetExternalID“ wurde „principal.asset_id“ zugeordnet.
„AssetDisplayName“ wurde „principal.asset.attribute.labels“ zugeordnet.
„AssetLink“ wurde mit „principal.url“ verknüpft.
„AssetMetadata.userKey“ wurde auf „principal.user.attribute.labels“ zugeordnet.
„AssetMetadata.clientId“ wurde auf „principal.user.userid“ zugeordnet.
„AssetMetadata.anonymous“ wurde in „security_result.detection_fields“ geändert.
„AssetMetadata.nativeApp“ wurde in „security_result.detection_fields“ umgewandelt.
„DetectedTimestamp“ wurde zu „metadata.event_timestamp“ zugeordnet.
„FindingTypeDisplayName“ wurde auf „security_result.description“ zugeordnet.
„FindingTypeID“ wurde auf „security_result.rule_id“ zugeordnet.
„FindingTypeSeverity“ wurde in „security_result.severity“ geändert.
„InstanceID“ wurde „principal.resource.product_object_id“ zugeordnet.
„IntegrationDisplayName“ wurde „additional.fields“ zugeordnet.
„IntegrationID“ wurde auf „metadata.product_deployment_id“ zugeordnet.
„IntegrationPolicyVendor“ wurde auf „additional.fields“ zugeordnet.
„AssetMetadata.customerId“ wurde auf „principal.user.userid“ zugeordnet.
„AssetMetadata.primaryEmail“ wurde in „principal.user.email_addresses“ geändert.
„AssetMetadata.agreedToTerms“ wurde in „principal.user.attribute.labels“ geändert.
„AssetMetadata.ipWhitelisted“ wurde in „principal.user.attribute.labels“ geändert.
„AssetMetadata.lastLoginTime“ wurde in „principal.user.attribute.labels“ geändert.
„AssetMetadata.isEnforcedIn2Sv“ wurde in „principal.user.attribute.labels“ geändert.
„AssetMetadata.isEnrolledIn2Sv“ wurde in „principal.user.attribute.labels“ geändert.
„AssetMetadata.isDelegatedAdmin“ wurde auf „principal.user.attribute.labels“ zugeordnet.
„AssetMetadata.changePasswordAtNextLogin“ wurde in „principal.user.attribute.labels“ geändert.
„AssetMetadata.includeInGlobalAddressList“ wurde in „principal.user.attribute.labels“ geändert.
„AssetMetadata.isAdmin“ wurde in „principal.user.attribute.labels“ geändert.
„AssetMetadata.suspended“ wurde auf „principal.user.attribute.labels“ zugeordnet.
„AssetMetadata.url“ wurde „principal.url“ zugeordnet.
„AssetMetadata.site_admin“ wurde in „principal.user.attribute.labels“ geändert.
„AssetMetadata.login“ wurde auf „principal.user.userid“ zugeordnet.
„AssetMetadata.owner.id“ wurde mit „principal.user.userid“ verknüpft.
„AssetMetadata.name.fullName“ wurde in „principal.user.user_display_name“ umgewandelt.
„AssetMetadata.name.givenName“ wurde in „principal.user.first_name“ geändert.
„AssetMetadata.name.familyName“ wurde „principal.user.last_name“ zugeordnet.
„Zugelassen“ wurde „security_result.action“ zugeordnet.
„AppDomain“ wurde „target.administrative_domain“ zugeordnet.
„AppUUID“ wurde „target.resource.product_object_id“ zugeordnet.
„Verbindung“ wurde mit „target.resource.attribute.labels“ verknüpft.
„Land“ wurde „target.location.country_or_region“ zugeordnet.
„CreatedAt“ wurde mit „metadata.event_timestamp“ verknüpft.
„IPAddress“ wurde „target.ip“ zugeordnet.
„RayID“ wurde auf „metadata.product_log_id“ zugeordnet.
„E-Mail“ wurde „principal.user.email_addresses“ und „target.user.email_addresses“ zugeordnet.
„TemporaryAccessDuration“ wurde zu „network.session_duration.seconds“ zugeordnet.
„UserUID“ wurde „target.user.product_object_id“ zugeordnet.
„UserAgent“ wurde in „network.http.parsed_user_agent“ ummapped.
„ClientRequestUserAgent“ wurde in „network.http.parsed_user_agent“ geändert.
„PolicyName“ wurde auf „security_result.rule_name“ zugeordnet.
„SessionID“ wurde „network.session_id“ zugeordnet.
„Transport“ wurde auf „network.ip_protocol“ umgestellt.
„SNI“ wurde „tls.client.server_name“ zugeordnet.
„DeviceName“ wurde in „principal.asset.attribute.labels“ geändert.
„BytesReceived“ wurde in „network.received_bytes“ geändert.
„BytesSent“ wurde in „network.sent_bytes“ geändert.
„Protokoll“ wurde auf „network.ip_protocol“ umgestellt.
„ClientTCPHandshakeDurationMs“ wurde „additional.fields“ zugeordnet.
„ClientTLSCipher“ wurde „network.tls.cipher“ zugeordnet.
„ClientTLSHandshakeDurationMs“ wurde „additional.fields“ zugeordnet.
„ClientTLSVersion“ wurde in „network.tls.version“ geändert.
„ConnectionCloseReason“ wurde „additional.fields“ zugeordnet.
„ConnectionReuse“ wurde in „additional.fields“ geändert.
„DestinationTunnelID“ wurde „additional.fields“ zugeordnet.
„EgressIP“ wurde auf „principal.ip“ zugeordnet.
„EgressPort“ wurde auf „principal.port“ zugeordnet.
„EgressRuleID“ wurde auf „additional.fields“ zugeordnet.
„EgressRuleName“ wurde „additional.fields“ zugeordnet.
„IngressColoName“ wurde „additional.fields“ zugeordnet.
„Offramp“ wurde „additional.fields“ zugeordnet.
„OriginIP“ wurde „target.ip“ zugeordnet.
„OriginPort“ wurde auf „target.port“ zugeordnet.
„OriginTLSCertificateIssuer“ wurde „additional.fields“ zugeordnet.
„OriginTLSCertificateValidationResult“ wurde „additional.fields“ zugeordnet.
„OriginTLSCipher“ wurde „additional.fields“ zugeordnet.
„OriginTLSHandshakeDurationMs“ wurde „additional.fields“ zugeordnet.
„OriginTLSVersion“ wurde „additional.fields“ zugeordnet.
„RuleEvaluationDurationMs“ wurde „additional.fields“ zugeordnet.
„SessionEndTime“ wurde „additional.fields“ zugeordnet.
„SessionStartTime“ wurde mit „metadata.event_timestamp“ abgeglichen.
„SourceIP“ wurde in „src.ip“ geändert.
„SourcePort“ wurde in „src.port“ geändert.
„UserID“ wurde auf „principal.user.product_object_id“ zugeordnet.
„VirtualNetworkID“ wurde auf „principal.resource.product_object_id“ zugeordnet.

2023-04-06

Verbesserung: Die Felder „WAFRuleMessage“, „WAFAction“, „QueryType“, „RayID“ und „Email“ wurden auf globaler Ebene deklariert.
„metadata.event_type“ wurde als „NETWORK_UNCATEGORIZED“ zugeordnet, wobei die Felder „QueryName“ und „QueryNameReversed“ den Wert „null“ haben.
Es wurden Fehlerprüfungen für die folgenden Felder hinzugefügt: RData[n].type, RData[n].data, EdgeResponseBytes, ClientRequestBytes, EdgeResponseStatus.
Stringkonvertierung für die Felder „SourcePort“ und „DestinationPort“ hinzugefügt.

2022-10-10

Optimierung
„metadata.product_name“ wurde „Web Application Firewall“ zugeordnet.
„metadata.vendor_name“ wurde „Cloudflare“ zugeordnet.

2022-05-23

Die folgenden Elemente aus Rohlogs wurden UDM-Elementen zugeordnet:
„ClientASN“ wurde „network.asn“ zugeordnet.
„ClientSSLCipher“ wurde „network.tls.cipher“ zugeordnet.
„ClientSSLProtocol“ wurde in „network.tls.version“ geändert.
„EdgeResponseContentType“ wurde in „target.file.mime_type“ umgewandelt.
„OriginIP“ wurde „intermediary.ip“ zugeordnet.
„FirewallMatchesActions“ wurde in „security_result.action“ geändert.
„FirewallMatchesRuleIDs“ wurde in „security_result.rule_id“ umgewandelt.
„FirewallMatchesSources“ wurde in „security_result.rule_name“ geändert.
„WAFRuleID“ und „WAFProfile“ wurden auf „security_result.about.labels“ zugeordnet.
„CacheCacheStatus“, „CacheResponseBytes“, „CacheResponseStatus“, „ClientDeviceType“, „EdgeColoCode“, „EdgeColoID“, „OriginResponseBytes“, „OriginResponseStatus“, „OriginResponseTime“, „ZoneID“ wurden in „additional.fields“ umgewandelt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten