Mengumpulkan log Cloudflare

Didukung di:

Ringkasan

Parser ini menangani berbagai jenis log Cloudflare (DNS, HTTP, Audit, Zero Trust, CASB). Pertama, fungsi ini akan menormalisasi kolom umum, lalu menerapkan logika kondisional berdasarkan kolom tertentu seperti QueryName, Action, dan ID untuk mengekstrak dan memetakan data yang relevan ke UDM. Fungsi ini juga melakukan konversi jenis data, pencocokan grok untuk alamat IP dan hash, serta menangani payload JSON bertingkat.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Google Cloud IAM.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Google Cloud Storage.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Cloudflare.

Membuat Bucket Google Cloud Storage

  1. Login ke Konsol Google Cloud
  2. Buka halaman Cloud Storage Buckets.

    Buka Buckets

  3. Klik Buat.

  4. Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah menyelesaikan setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:

    1. Di bagian Mulai, lakukan hal berikut:

      1. Masukkan nama unik yang memenuhi persyaratan nama bucket (misalnya, cloudflare-data).
      2. Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja yang berorientasi pada file dan intensif data, lalu pilih Aktifkan Namespace hierarkis di bucket ini.
      1. Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Labels.
      2. Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.
    2. Di bagian Pilih tempat untuk menyimpan data, lakukan hal berikut:

      1. Pilih Jenis lokasi.
      2. Gunakan drop-down jenis lokasi untuk memilih Lokasi tempat data objek dalam bucket Anda akan disimpan secara permanen.
        1. Jika memilih jenis lokasi dual-region, Anda juga dapat memilih untuk mengaktifkan replikasi turbo menggunakan kotak centang yang relevan.
      3. Untuk menyiapkan replikasi lintas bucket, luaskan bagian Menyiapkan replikasi lintas bucket.
    3. Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.

    4. Di bagian Choose how to control access to objects, pilih not untuk menerapkan public access prevention, dan pilih access control model untuk objek bucket Anda.

    5. Di bagian Pilih cara melindungi data objek, lakukan hal berikut:

      1. Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket.
      2. Untuk memilih cara enkripsi data objek, klik panah peluas berlabel Enkripsi data, lalu pilih Metode enkripsi data.
  5. Klik Create.

Membuat Akun Layanan Google Cloud

  1. Buka IAM & Admin > Service Accounts.
  2. Buat akun layanan baru.
  3. Beri nama deskriptif (Misalnya, cloudflare-logs).
  4. Berikan akun layanan dengan peran Storage Object Creator di bucket GCS yang Anda buat di langkah sebelumnya.
  5. Buat kunci SSH untuk akun layanan.
  6. Mendownload file kunci JSON untuk akun layanan. Jaga agar file ini tetap aman.

Mengaktifkan Cloudflare IAM ke Google Cloud Storage

  1. Buka Storage > Browser > Bucket > Permissions.
  2. Tambahkan anggota logpush@cloudflare-data. dengan izin Storage Object Admin.

Mengonfigurasi feed di Google SecOps untuk menyerap log Cloudflare

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Feed name, masukkan nama untuk feed (misalnya, Cloudflare Logs).
  4. Pilih Google Cloud Storage sebagai Source type.
  5. Pilih Cloudflare sebagai Jenis log.
  6. Klik Get Service Account sebagai Chronicle Service Account.
  7. Klik Berikutnya.
  8. Tentukan nilai untuk parameter input berikut:

    • Storage Bucket URI: URL bucket penyimpanan Google Cloud dalam format gs://my-bucket/<value>.
    • URI adalah: pilih Direktori yang menyertakan subdirektori.
    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
    • Namespace aset: namespace aset.
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Mengonfigurasi Cloudflare untuk mengirim log ke Google Cloud Storage

  1. Login ke dasbor Cloudflare.
  2. Pilih Akun atau domain perusahaan (juga dikenal sebagai zona) yang ingin Anda gunakan dengan Logpush.
  3. Buka Analytics & Logs > Logpush.
  4. Pilih tugas Buat Logpush.
  5. Di Pilih tujuan, pilih Google Cloud Storage.
  6. Masukkan atau pilih detail tujuan berikut:

    • Bucket: Nama bucket GCS
    • Jalur: lokasi bucket dalam penampung penyimpanan
    • Kotak centang: Atur log ke dalam subfolder harian (direkomendasikan)
  7. Klik Lanjutkan.

  8. Verifikasi kepemilikan:

    1. Cloudflare akan mengirim file ke bucket Anda.
    2. Salin dan tempel token:
      1. Login ke konsol Google Cloud > Storage > bucket Cloudflare.
      2. Buka file sengketa kepemilikan.
      3. Salin Token Kepemilikan.
      4. Masukkan token kepemilikan di konsol Cloudflare.
      5. Pilih Lanjutkan.
    3. Pilih set data untuk dikirim ke bucket.
  9. Konfigurasikan tugas logpush:

    1. Masukkan Nama tugas.
    2. Di bagian Jika log cocok, Anda dapat memilih peristiwa yang akan disertakan dan/atau dihapus dari log.
    1. Kirim kolom berikut: Pilih untuk mendorong semua log atau pilih secara selektif log yang ingin Anda dorong.
  10. Pilih Kirim untuk menyelesaikan konfigurasi.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
AccountID target.resource.id, target.resource.product_object_id ID akun yang terkait dengan peristiwa.
Action security_result.action Tindakan yang diambil berdasarkan peristiwa. allow atau allowed* menghasilkan ALLOW. unknown menghasilkan UNKNOWN_ACTION. Nilai lainnya menghasilkan BLOCK. Untuk Log akses, login dipetakan ke USER_LOGIN, logout ke USER_LOGOUT, dan nilai lainnya ke USER_RESOURCE_ACCESS jika ada email.
ActionResult security_result.action Jika true, dipetakan ke ALLOW. Jika false, dipetakan ke BLOCK. Jika tidak, dipetakan ke UNKNOWN_ACTION.
ActionType security_result.description Deskripsi tindakan yang dilakukan.
ActorEmail principal.user.email_addresses Alamat email pelaku yang memulai peristiwa.
ActorID principal.user.product_object_id ID aktor yang memulai peristiwa.
ActorIP principal.ip, principal.asset.ip Alamat IP pelaku yang memulai peristiwa.
Allowed security_result.action Jika true, dipetakan ke ALLOW. Jika tidak, dipetakan ke BLOCK.
AppDomain target.administrative_domain Domain aplikasi yang terlibat dalam peristiwa.
AppUUID target.resource.product_object_id UUID aplikasi yang terlibat dalam peristiwa.
AssetDisplayName principal.asset.attribute.labels.value dengan kunci AssetDisplayName Nama tampilan aset.
AssetExternalID principal.asset_id (diawali dengan "Cloudflare:") ID eksternal aset.
AssetLink principal.url Link yang terkait dengan aset.
AssetMetadata.agreedToTerms principal.user.attribute.labels.value dengan kunci agreedToTerms Apakah pengguna menyetujui persyaratan.
AssetMetadata.changePasswordAtNextLogin principal.user.attribute.labels.value dengan kunci changePasswordAtNextLogin Apakah pengguna perlu mengubah sandi saat login berikutnya.
AssetMetadata.clientId principal.user.userid Client ID dari metadata aset.
AssetMetadata.customerId principal.user.userid ID pelanggan dari metadata aset.
AssetMetadata.familyName principal.user.last_name Nama keluarga pengguna dari metadata aset.
AssetMetadata.givenName principal.user.first_name Nama depan pengguna dari metadata aset.
AssetMetadata.includeInGlobalAddressList principal.user.attribute.labels.value dengan kunci includeInGlobalAddressList Apakah pengguna disertakan dalam daftar alamat global.
AssetMetadata.ipWhitelisted principal.user.attribute.labels.value dengan kunci ipWhitelisted Apakah pengguna memiliki IP yang diizinkan.
AssetMetadata.isAdmin principal.user.attribute.labels.value dengan kunci isAdmin Apakah pengguna adalah admin.
AssetMetadata.isDelegatedAdmin principal.user.attribute.labels.value dengan kunci isDelegatedAdmin Apakah pengguna adalah admin yang didelegasikan.
AssetMetadata.isEnforcedIn2Sv principal.user.attribute.labels.value dengan kunci isEnforcedIn2Sv Apakah 2SV diterapkan untuk pengguna.
AssetMetadata.isEnrolledIn2Sv principal.user.attribute.labels.value dengan kunci isEnrolledIn2Sv Apakah pengguna terdaftar dalam Verifikasi 2 Langkah.
AssetMetadata.kind (Tidak dipetakan) Tidak dipetakan ke objek IDM.
AssetMetadata.lastLoginTime principal.user.attribute.labels.value dengan kunci lastLoginTime Waktu login terakhir pengguna.
AssetMetadata.login principal.user.userid Nama login dari metadata aset.
AssetMetadata.name.familyName principal.user.last_name Nama keluarga dari metadata aset.
AssetMetadata.name.fullName principal.user.user_display_name Nama lengkap dari metadata aset.
AssetMetadata.name.givenName principal.user.first_name Nama depan dari metadata aset.
AssetMetadata.nativeApp security_result.detection_fields.value dengan kunci nativeApp Apakah aplikasi bersifat native.
AssetMetadata.owner.id principal.user.userid ID Pemilik dari metadata aset.
AssetMetadata.primaryEmail principal.user.email_addresses Email utama dari metadata aset.
AssetMetadata.scopes (Tidak dipetakan) Tidak dipetakan ke objek IDM.
AssetMetadata.site_admin principal.user.attribute.labels.value dengan kunci site_admin Apakah pengguna adalah admin situs.
AssetMetadata.suspended principal.user.attribute.labels.value dengan kunci suspended Apakah pengguna ditangguhkan.
AssetMetadata.url principal.url URL dari metadata aset.
AssetMetadata.userKey principal.user.attribute.labels.value dengan kunci userKey Kunci pengguna dari metadata aset.
BlockedFileHash target.file.md5, target.file.sha1, target.file.sha256 Hash file yang diblokir. Diurai menggunakan grok untuk mengekstrak md5, sha1, atau sha256.
BlockedFileName security_result.about.file.full_path Nama file yang diblokir.
BlockedFileReason security_result.summary Alasan pemblokiran file.
BlockedFileSize target.file.size Ukuran file yang diblokir.
BotScore security_result.detection_fields.value dengan kunci BotScore Skor bot yang ditetapkan ke permintaan.
BytesReceived network.received_bytes Jumlah byte yang diterima.
BytesSent network.sent_bytes Jumlah byte yang dikirim.
CacheCacheStatus additional.fields.value.string_value dengan kunci CacheCacheStatus Status cache.
CacheResponseBytes additional.fields.value.string_value dengan kunci CacheResponseBytes Jumlah byte dalam respons yang di-cache.
CacheResponseStatus additional.fields.value.string_value dengan kunci CacheResponseStatus Kode status respons yang di-cache.
ClientASN (Tidak dipetakan) Tidak dipetakan ke objek IDM.
ClientCountry principal.location.country_or_region Negara klien.
ClientDeviceType additional.fields.value.string_value dengan kunci ClientDeviceType Jenis perangkat klien.
ClientIP principal.ip, principal.asset.ip Alamat IP klien.
ClientRequestMethod network.http.method Metode permintaan HTTP yang digunakan oleh klien.
ClientRequestHost target.hostname, target.asset.hostname Nama host yang diminta oleh klien.
ClientRequestPath (Tidak dipetakan) Tidak dipetakan ke objek IDM.
ClientRequestProtocol network.application_protocol Protokol yang digunakan dalam permintaan klien (mis., HTTP, HTTPS). Versi protokol dihapus.
ClientRequestReferer network.http.referral_url URL perujuk permintaan klien.
ClientRequestURI target.url (digabungkan dengan ClientRequestHost jika ada) URI yang diminta oleh klien.
ClientRequestUserAgent network.http.user_agent Agen pengguna permintaan klien. Juga diuraikan dan dipetakan ke network.http.parsed_user_agent.
ClientSSLCipher network.tls.cipher Cipher SSL yang digunakan oleh klien.
ClientSSLProtocol network.tls.version Protokol SSL yang digunakan oleh klien.
ClientSrcPort principal.port Port sumber klien.
ClientTCPHandshakeDurationMs additional.fields.value.string_value dengan kunci ClientTCPHandshakeDurationMs Durasi handshake TCP klien.
ClientTLSHandshakeDurationMs additional.fields.value.string_value dengan kunci ClientTLSHandshakeDurationMs Durasi handshake TLS klien.
ClientTLSVersion network.tls.version Versi TLS yang digunakan oleh klien.
ColoID (Tidak dipetakan) Tidak dipetakan ke objek IDM.
Connection target.resource.attribute.labels.value dengan kunci Connection Jenis koneksi (misalnya, saml).
ConnectionCloseReason additional.fields.value.string_value dengan kunci ConnectionCloseReason Alasan penutupan koneksi.
ConnectionReuse additional.fields.value.string_value dengan kunci ConnectionReuse Apakah penggunaan kembali koneksi terjadi.
Country target.location.country_or_region Negara yang terkait dengan peristiwa.
CreatedAt metadata.event_timestamp Stempel waktu pembuatan peristiwa.
Datetime metadata.event_timestamp Tanggal dan waktu peristiwa.
DestinationIP target.ip, target.asset.ip Alamat IP tujuan.
DestinationPort target.port Port tujuan.
DestinationTunnelID additional.fields.value.string_value dengan kunci DestinationTunnelID ID tunnel tujuan.
DeviceID principal.asset_id (diawali dengan "Cloudflare:") ID perangkat.
DeviceName principal.hostname, principal.asset.hostname, principal.asset.attribute.labels.value dengan kunci DeviceName Nama perangkat.
DownloadedFileNames security_result.about.labels.value dengan kunci DownloadFileNames Nama file yang didownload.
DstIP target.ip, target.asset.ip Alamat IP tujuan.
DstPort target.port Port tujuan.
EdgeColoCode additional.fields.value.string_value dengan kunci EdgeColoCode Kode lokasi edge Cloudflare.
EdgeColoID additional.fields.value.string_value dengan kunci EdgeColoID ID lokasi edge Cloudflare.
EdgeEndTimestamp (Tidak dipetakan) Tidak dipetakan ke objek IDM.
EdgeResponseBytes network.received_bytes Jumlah byte dalam respons dari edge.
EdgeResponseContentType target.file.mime_type Jenis konten respons edge.
EdgeResponseStatus network.http.response_code Kode status respons edge.
EdgeServerIP target.ip, target.asset.ip Alamat IP server edge.
EdgeStartTimestamp metadata.event_timestamp Stempel waktu awal permintaan di edge.
Email principal.user.email_addresses, target.user.email_addresses Alamat email yang terkait dengan peristiwa.
EgressColoName additional.fields.value.string_value dengan kunci EgressColoName Nama colo egress.
EgressIP principal.ip, principal.asset.ip Alamat IP keluar. Menetapkan network.direction ke OUTBOUND.
EgressPort principal.port Port keluar.
EgressRuleID additional.fields.value.string_value dengan kunci EgressRuleID ID aturan keluar.
EgressRuleName additional.fields.value.string_value dengan kunci EgressRuleName Nama aturan traffic keluar.
FindingTypeDisplayName security_result.description Nama tampilan jenis temuan.
FindingTypeID security_result.rule_id ID jenis temuan.
FindingTypeSeverity security_result.severity Tingkat keparahan jenis temuan.
FirewallMatchesActions security_result.action Tindakan yang dilakukan oleh aturan firewall. allow, Allow, ALLOW, skip, SKIP, Skip dipetakan ke ALLOW. challengeSolved dan jschallengeSolved dipetakan ke ALLOW_WITH_MODIFICATION. drop dan block dipetakan ke BLOCK. Nilai lainnya dipetakan ke UNKNOWN_ACTION.
FirewallMatchesRuleIDs security_result.rule_id (untuk ID pertama), ID berikutnya akan membuat objek security_result baru. ID aturan firewall yang cocok.
FirewallMatchesSources security_result.rule_name Sumber aturan firewall yang cocok.
HTTPHost target.hostname Host HTTP.
HTTPMethod network.http.method Metode HTTP.
HTTPVersion network.application_protocol Jika nilai berisi "HTTP", tetapkan network.application_protocol ke HTTP.
ID metadata.product_log_id ID peristiwa.
IngressColoName additional.fields.value.string_value dengan kunci IngressColoName Nama kolom ingress.
InstanceID principal.resource.product_object_id ID instance.
IntegrationDisplayName additional.fields.value.string_value dengan kunci IntegrationDisplayName Nama tampilan integrasi.
IntegrationID metadata.product_deployment_id ID integrasi.
IntegrationPolicyVendor additional.fields.value.string_value dengan kunci IntegrationPolicyVendor Vendor kebijakan integrasi.
IPAddress target.ip, target.asset.ip Alamat IP yang dikaitkan dengan peristiwa.
IsIsolated about.labels.value dengan kunci IsIsolated, security_result.about.resource.attribute.labels.value dengan kunci IsIsolated Apakah peristiwa diisolasi.
Location principal.location.name Lokasi yang terkait dengan peristiwa.
NewValue security_result.about.labels.value dengan kunci NewValue Nilai baru setelah update.
Offramp additional.fields.value.string_value dengan kunci Offramp Offramp yang digunakan dalam koneksi.
OldValue security_result.about.labels.value dengan kunci OldValue Nilai lama sebelum pembaruan.
OriginIP intermediary.ip, target.ip, target.asset.ip Alamat IP asal.
OriginPort target.port Port asal.
OriginResponseBytes additional.fields.value.string_value dengan kunci OriginResponseBytes Jumlah byte dalam respons origin.
OriginResponseStatus additional.fields.value.string_value dengan kunci OriginResponseStatus Kode status respons origin.
OriginResponseTime additional.fields.value.string_value dengan kunci OriginResponseTime Waktu respons origin.
OriginSSLProtocol (Tidak dipetakan) Tidak dipetakan ke objek IDM.
OriginTLSCertificateIssuer additional.fields.value.string_value dengan kunci OriginTLSCertificateIssuer Penerbit sertifikat TLS asal.
OriginTLSCertificateValidationResult additional.fields.value.string_value dengan kunci OriginTLSCertificateValidationResult Hasil validasi sertifikat TLS asal.
OriginTLSCipher additional.fields.value.string_value dengan kunci OriginTLSCipher Cipher yang digunakan dalam koneksi TLS asal.
OriginTLSHandshakeDurationMs additional.fields.value.string_value dengan kunci OriginTLSHandshakeDurationMs Durasi handshake TLS asal.
OriginTLSVersion additional.fields.value.string_value dengan kunci OriginTLSVersion Versi TLS yang digunakan oleh origin.
OwnerID target.user.product_object_id ID pemilik.
Policy security_result.rule_name Kebijakan yang terkait dengan peristiwa.
PolicyID security_result.rule_id ID kebijakan.
PolicyName security_result.rule_name Nama kebijakan.
Protocol network.application_protocol, network.ip_protocol Protokol yang digunakan dalam koneksi. Jika bukan "tls" atau "TLS", dikonversi ke huruf besar dan dipetakan ke network.application_protocol. Jika tidak, akan diuraikan menggunakan file include dan dipetakan ke network.ip_protocol.
PurposeJustificationPrompt (Tidak dipetakan) Tidak dipetakan ke objek IDM.
PurposeJustificationResponse (Tidak dipetakan) Tidak dipetakan ke objek IDM.
QueryCategoryIDs security_result.about.labels.value, security_result.about.resource.attribute.labels.value dengan kunci QueryCategoryIDs ID kategori kueri.
QueryName network.dns.questions.name Nama kueri DNS. Menetapkan metadata.event_type ke NETWORK_DNS dan network.application_protocol ke DNS.
QueryNameReversed network.dns.questions.name Nama terbalik dari kueri DNS.
QuerySize network.sent_bytes Ukuran kueri.
QueryType network.dns.questions.type Jenis kueri DNS. Dipetakan ke nilai numerik berdasarkan kode jenis kueri DNS.
RData network.dns.answers.type, network.dns.answers.data Data data DNS. Setiap elemen dalam array RData membuat objek answer baru.
RayID metadata.product_log_id ID Ray yang terkait dengan permintaan.
Referer network.http.referral_url URL perujuk.
RequestID metadata.product_log_id ID permintaan.
ResolverDecision security_result.summary Keputusan yang dibuat oleh resolver.
ResourceID target.resource.id, target.resource.product_object_id ID resource.
ResourceType target.resource.resource_subtype Jenis resource.
RuleEvaluationDurationMs additional.fields.value.string_value dengan kunci RuleEvaluationDurationMs Durasi evaluasi aturan.
SNI network.tls.client.server_name Server Name Indication (SNI) di TLS client hello.
SecurityAction security_result.action Tindakan keamanan telah dilakukan. Nilai kosong atau tidak ada SecurityAction yang dipetakan ke ALLOW. challengeSolved atau jschallengeSolved dipetakan ke ALLOW_WITH_MODIFICATION. drop atau block dipetakan ke BLOCK.
SecurityLevel security_result.severity Tingkat keamanan. high dipetakan ke HIGH, med ke MEDIUM, low ke LOW.
SessionEndTime additional.fields.value.string_value dengan kunci SessionEndTime Waktu akhir sesi.
SessionID network.session_id ID sesi.
SessionStartTime metadata.event_timestamp Waktu mulai sesi.
SourceIP principal.ip, principal.asset.ip, src.ip, src.asset.ip Alamat IP sumber.
SourcePort principal.port, src.port Port sumber.
SrcIP principal.ip, principal.asset.ip Alamat IP sumber.
SrcPort principal.port Port sumber.
TemporaryAccessDuration network.session_duration.seconds Durasi akses sementara.
Timestamp metadata.event_timestamp Stempel waktu peristiwa.
Transport network.ip_protocol Protokol transpor. Dikonversi ke huruf besar dan diuraikan menggunakan file include.
UploadedFileNames security_result.about.labels.value dengan kunci UploadedFileNames Nama file yang diupload.
URL target.url URL yang terlibat dalam peristiwa.
UserAgent network.http.user_agent String agen pengguna. Juga diuraikan dan dipetakan ke network.http.parsed_user_agent.
UserID principal.user.product_object_id, event.idm.read_only_udm.target.user.product_object_id ID pengguna.
UserUID target.user.product_object_id UID pengguna.
VirtualNetworkID principal.resource.product_object_id ID jaringan virtual.
WAFAction security_result.about.labels.value dengan kunci WAFAction Tindakan yang dilakukan oleh Web Application Firewall (WAF).
WAFAttackScore security_result.about.resource.attribute.labels.value dengan kunci WAFAttackScore Skor serangan yang ditetapkan oleh WAF.
WAFFlags security_result.about.resource.attribute.labels.value dengan kunci WAFFlags Flag WAF.
WAFMatchedVar (Tidak dipetakan) Tidak dipetakan ke objek IDM.
WAFProfile security_result.about.labels.value dengan kunci WAFProfile Profil WAF.
WAFRCEAttackScore security_result.about.resource.attribute.labels.value dengan kunci WAFRCEAttackScore Skor serangan Eksekusi Kode Jarak Jauh (RCE) WAF.
WAFRuleID security_result.threat_id, security_result.about.labels.value dengan kunci WAFRuleID ID aturan WAF.
WAFRuleMessage security_result.rule_name, security_result.threat_name Pesan yang terkait dengan aturan WAF.
WAFSQLiAttackScore security_result.about.resource.attribute.labels.value dengan kunci WAFSQLiAttackScore Skor serangan Injeksi SQL WAF.
WAFXSSAttackScore security_result.about.resource.attribute.labels.value dengan kunci WAFXSSAttackScore Skor serangan Pembuatan Skrip Lintas Situs (XSS) WAF.
ZoneID additional.fields.value.string_value dengan kunci ZoneID ID Zona.
event.idm.read_only_udm.metadata.event_type metadata.event_type Jenis peristiwa. Ditetapkan oleh parser berdasarkan data log. Setelan defaultnya adalah GENERIC_EVENT jika tidak ditetapkan atau jika peristiwa NETWORK_DNS tidak memiliki akun utama atau target. Dapat berupa NETWORK_DNS, NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_RESOURCE_UPDATE_CONTENT, atau GENERIC_EVENT.
event.idm.read_only_udm.metadata.log_type metadata.log_type Jenis log, ditetapkan ke "CLOUDFLARE".
event.idm.read_only_udm.metadata.product_deployment_id metadata.product_deployment_id ID deployment produk.
event.idm.read_only_udm.metadata.product_log_id metadata.product_log_id ID log produk.
event.idm.read_only_udm.metadata.product_name metadata.product_name Nama produk. Ditetapkan oleh parser berdasarkan data log. Dapat berupa "Cloudflare Gateway DNS", "Cloudflare Gateway HTTP", "Cloudflare Audit", "Web Application Firewall".
event.idm.read_only_udm.metadata.vendor_name metadata.vendor_name Nama vendor, ditetapkan ke "Cloudflare".
event.idm.read_only_udm.metadata.event_timestamp metadata.event_timestamp Stempel waktu peristiwa.
event.idm.read_only_udm.network.application_protocol network.application_protocol Protokol aplikasi yang digunakan dalam koneksi jaringan.
event.idm.read_only_udm.network.direction network.direction Arah koneksi jaringan. Tetapkan ke OUTBOUND jika EgressIP dan SourceIP ada.
event.idm.read_only_udm.network.dns.answers network.dns.answers Jawaban DNS.
event.idm.read_only_udm.network.dns.questions network.dns.questions Pertanyaan DNS.
event.idm.read_only_udm.network.http.method network.http.method Metode HTTP.
event.idm.read_only_udm.network.http.parsed_user_agent network.http.parsed_user_agent Agen pengguna yang diuraikan.
event.idm.read_only_udm.network.http.referral_url network.http.referral_url URL rujukan HTTP.
event.idm.read_only_udm.network.http.response_code network.http.response_code Kode respons HTTP.
event.idm.read_only_udm.network.http.user_agent network.http.user_agent Agen pengguna HTTP.
event.idm.read_only_udm.network.ip_protocol network.ip_protocol Protokol IP.
event.idm.read_only_udm.network.received_bytes network.received_bytes Jumlah byte yang diterima.
event.idm.read_only_udm.network.sent_bytes network.sent_bytes Jumlah byte yang dikirim.
event.idm.read_only_udm.network.session_duration.seconds network.session_duration.seconds Durasi sesi jaringan dalam hitungan detik.
event.idm.read_only_udm.network.session_id network.session_id ID sesi jaringan.
event.idm.read_only_udm.network.tls.cipher network.tls.cipher Suite cipher TLS.
event.idm.read_only_udm.network.tls.client.server_name network.tls.client.server_name Nama server klien TLS.
event.idm.read_only_udm.network.tls.version network.tls.version Versi TLS.
event.idm.read_only_udm.principal.asset.attribute.labels principal.asset.attribute.labels Label yang terkait dengan aset utama.
event.idm.read_only_udm.principal.asset.hostname principal.asset.hostname Nama host aset utama.
event.idm.read_only_udm.principal.asset.ip principal.asset.ip Alamat IP aset utama.
event.idm.read_only_udm.principal.asset_id principal.asset_id ID aset utama.
event.idm.read_only_udm.principal.hostname principal.hostname Nama host akun utama.
event.idm.read_only_udm.principal.ip principal.ip Alamat IP akun utama.
event.idm.read_only_udm.principal.location.country_or_region principal.location.country_or_region Negara atau wilayah lokasi akun utama.
event.idm.read_only_udm.principal.location.name principal.location.name Nama lokasi akun utama.
event.idm.read_only_udm.principal.port principal.port Port yang digunakan oleh akun utama.
event.idm.read_only_udm.principal.resource.product_object_id principal.resource.product_object_id ID objek produk dari resource akun utama.
event.idm.read_only_udm.principal.url principal.url URL yang terkait dengan akun utama.
event.idm.read_only_udm.principal.user.attribute.labels principal.user.attribute.labels Label yang terkait dengan pengguna utama.
event.idm.read_only_udm.principal.user.email_addresses principal.user.email_addresses Alamat email pengguna utama.
event.idm.read_only_udm.principal.user.first_name principal.user.first_name Nama depan pengguna utama.
event.idm.read_only_udm.principal.user.last_name principal.user.last_name Nama belakang pengguna utama.
event.idm.read_only_udm.principal.user.product_object_id principal.user.product_object_id ID objek produk dari pengguna utama.
event.idm.read_only_udm.principal.user.userid principal.user.userid ID pengguna pengguna utama.
event.idm.read_only_udm.principal.user.user_display_name principal.user.user_display_name Nama tampilan pengguna utama.
event.idm.read_only_udm.src.asset.ip src.asset.ip Alamat IP aset sumber.
event.idm.read_only_udm.src.ip src.ip Alamat IP sumber.
event.idm.read_only_udm.src.port src.port Port sumber.
event.idm.read_only_udm.target.administrative_domain target.administrative_domain Domain administratif target.
event.idm.read_only_udm.target.asset.hostname target.asset.hostname Nama host aset target.
event.idm.read_only_udm.target.asset.ip target.asset.ip Alamat IP aset target.
event.idm.read_only_udm.target.file.mime_type target.file.mime_type Jenis MIME file target.
event.idm.read_only_udm.target.file.md5 target.file.md5 Hash MD5 file target.
event.idm.read_only_udm.target.file.sha1 target.file.sha1 Hash SHA1 file target.
event.idm.read_only_udm.target.file.sha256 target.file.sha256 Hash SHA256 file target.
event.idm.read_only_udm.target.file.size target.file.size Ukuran file target.
event.idm.read_only_udm.target.hostname target.hostname Nama host target.
event.idm.read_only_udm.target.ip target.ip Alamat IP target.
event.idm.read_only_udm.target.location.country_or_region target.location.country_or_region Negara atau wilayah lokasi target.
event.idm.read_only_udm.target.port target.port Port target.
event.idm.read_only_udm.target.resource.attribute.labels target.resource.attribute.labels Label yang terkait dengan resource target.
event.idm.read_only_udm.target.resource.id target.resource.id ID resource target.
event.idm.read_only_udm.target.resource.product_object_id target.resource.product_object_id ID objek produk dari resource target.
event.idm.read_only_udm.target.resource.resource_subtype target.resource.resource_subtype Subjenis resource dari resource target.
event.idm.read_only_udm.target.url target.url URL target.
event.idm.read_only_udm.target.user.email_addresses target.user.email_addresses Alamat email pengguna target.
event.idm.read_only_udm.target.user.product_object_id target.user.product_object_id ID objek produk dari pengguna target.
event.idm.read_only_udm.security_result.about.file.full_path security_result.about.file.full_path Jalur lengkap file yang terlibat dalam hasil keamanan.
event.idm.read_only_udm.security_result.about.labels security_result.about.labels Label yang terkait dengan hasil keamanan.
event.idm.read_only_udm.security_result.about.resource.attribute.labels security_result.about.resource.attribute.labels Label yang terkait dengan resource dalam hasil keamanan.
event.idm.read_only_udm.security_result.action security_result.action Tindakan yang diambil dalam hasil keamanan.
event.idm.read_only_udm.security_result.detection_fields security_result.detection_fields Kolom deteksi dalam hasil keamanan.
event.idm.read_only_udm.security_result.description security_result.description Deskripsi hasil keamanan.
event.idm.read_only_udm.security_result.rule_id security_result.rule_id ID aturan dari hasil keamanan.
event.idm.read_only_udm.security_result.rule_name security_result.rule_name Nama aturan hasil keamanan.
event.idm.read_only_udm.security_result.severity security_result.severity Tingkat keparahan hasil keamanan.
event.idm.read_only_udm.security_result.summary security_result.summary Ringkasan hasil keamanan.
event.idm.read_only_udm.security_result.threat_id security_result.threat_id ID ancaman dari hasil keamanan.
event.idm.read_only_udm.security_result.threat_name security_result.threat_name Nama ancaman dari hasil keamanan.
event.idm.read_only_udm.extensions.auth.type extensions.auth.type Jenis autentikasi. Tetapkan ke MACHINE untuk peristiwa login dan logout.
event.idm.read_only_udm.about about Informasi tentang.
event.idm.read_only_udm.additional.fields additional.fields Kolom tambahan.
event.idm.read_only_udm.intermediary intermediary Informasi perantara.

Perubahan

2024-02-19

  • Perbaikan Bug:
  • Jika tidak ada data mesin utama dan target, "metadata.event_type" akan dipetakan ke "GENERIC_EVENT".
  • Jika kolom "Datetime" tidak ada dan kolom "Timestamp" ada, petakan "Timestamp" ke "metadata.event_timestamp".
  • Memetakan "ClientIP" ke "principal.ip".
  • Memetakan "RayID" ke "metadata.product_log_id".
  • Memetakan "EdgeResponseStatus" ke "network.http.response_code".
  • Memetakan "ClientRequestMethod" ke "network.http.method".
  • Memetakan "ClientRequestURI" ke "target.uri".
  • Memetakan "ClientRequestHost" ke "target.hostname".

2024-01-31

  • Memetakan "BotScore" ke "security_result.detection_fields".
  • Pemetaan "principal.hostname", "target.hostname", "principal.asset.hostname", dan "target.asset.hostname" yang diselaraskan.
  • Pemetaan "principal.ip", "target.ip", "principal.asset.ip", dan "target.asset.ip" yang diselaraskan.

2024-01-08

  • Jika "Action" berisi "allow", tetapkan "security_result.action" ke "ALLOW".
  • Menambahkan pemetaan "DeviceName" ke "principal.hostname", "principal.asset.hostname".
  • Menambahkan pemetaan "SourceIP" ke "principal.ip" untuk log DNS.
  • Menambahkan pemeriksaan bersyarat null sebelum memetakan "principal" ke "event.idm.read_only_udm.principal".
  • Menambahkan pemeriksaan kondisional null sebelum memetakan "target" ke "event.idm.read_only_udm.target".

2023-11-22

  • Memetakan "WAFRuleID" ke "security_result.threat_id".
  • Memetakan "WAFRuleMessage" ke "security_result.threat_name".
  • Memetakan "WAFRCEAttackScore", "WAFSQLiAttackScore", "WAFXSSAttackScore", "WAFAttackScore", "WAFFlags" ke "security_result.about.resource.attribute.labels".

2023-10-09

  • Jika nilai "SecurityAction" null atau tidak ada, tetapkan "security_result.action" ke "ALLOW".

2023-09-26

  • Pemetaan yang diubah dari menggunakan kolom UDM yang tidak digunakan lagi ke kolom alternatif.
  • Menambahkan pemetaan dari "security_result.about.labels" ke "security_result.about.resource.attribute.labels".
  • Menambahkan pemetaan dari "about.labels" ke "security_result.about.resource.attribute.labels".
  • Menambahkan pemetaan dari "target.resource.id" ke "target.resource.product_object_id".

2023-04-25

  • Peningkatan untuk memetakan kolom log mentah berikut ke kolom UDM:
  • Melakukan inisialisasi "EdgeStartTimestamp", "ClientIP", "ClientRequestHost", "ClientRequestURI", "ClientRequestMethod", "Datetime", "ActorEmail", dan "ActorIP" ke null.
  • Memetakan "AssetExternalID" ke "principal.asset_id".
  • Memetakan "AssetDisplayName" ke "principal.asset.attribute.labels".
  • Memetakan "AssetLink" ke "principal.url".
  • Memetakan "AssetMetadata.userKey" ke "principal.user.attribute.labels".
  • Memetakan "AssetMetadata.clientId" ke "principal.user.userid".
  • Memetakan "AssetMetadata.anonymous" ke "security_result.detection_fields".
  • Memetakan "AssetMetadata.nativeApp" ke "security_result.detection_fields".
  • Memetakan "DetectedTimestamp" ke "metadata.event_timestamp".
  • Memetakan "FindingTypeDisplayName" ke "security_result.description".
  • Memetakan "FindingTypeID" ke "security_result.rule_id".
  • Memetakan "FindingTypeSeverity" ke "security_result.severity".
  • Memetakan "InstanceID" ke "principal.resource.product_object_id".
  • Memetakan "IntegrationDisplayName" ke "additional.fields".
  • Memetakan "IntegrationID" ke "metadata.product_deployment_id".
  • Memetakan "IntegrationPolicyVendor" ke "additional.fields".
  • Memetakan "AssetMetadata.customerId" ke "principal.user.userid".
  • Memetakan "AssetMetadata.primaryEmail" ke "principal.user.email_addresses".
  • Memetakan "AssetMetadata.agreedToTerms" ke "principal.user.attribute.labels".
  • Memetakan "AssetMetadata.ipWhitelisted" ke "principal.user.attribute.labels".
  • Memetakan "AssetMetadata.lastLoginTime" ke "principal.user.attribute.labels".
  • Memetakan "AssetMetadata.isEnforcedIn2Sv" ke "principal.user.attribute.labels".
  • Memetakan "AssetMetadata.isEnrolledIn2Sv" ke "principal.user.attribute.labels".
  • Memetakan "AssetMetadata.isDelegatedAdmin" ke "principal.user.attribute.labels".
  • Memetakan "AssetMetadata.changePasswordAtNextLogin" ke "principal.user.attribute.labels".
  • Memetakan "AssetMetadata.includeInGlobalAddressList" ke "principal.user.attribute.labels".
  • Memetakan "AssetMetadata.isAdmin" ke "principal.user.attribute.labels".
  • Memetakan "AssetMetadata.suspended" ke "principal.user.attribute.labels".
  • Memetakan "AssetMetadata.url" ke "principal.url".
  • Memetakan "AssetMetadata.site_admin" ke "principal.user.attribute.labels".
  • Memetakan "AssetMetadata.login" ke "principal.user.userid".
  • Memetakan "AssetMetadata.owner.id" ke "principal.user.userid".
  • Memetakan "AssetMetadata.name.fullName" ke "principal.user.user_display_name".
  • Memetakan "AssetMetadata.name.givenName" ke "principal.user.first_name".
  • Memetakan "AssetMetadata.name.familyName" ke "principal.user.last_name".
  • Memetakan "Diizinkan" ke "security_result.action".
  • Memetakan "AppDomain" ke "target.administrative_domain".
  • Memetakan "AppUUID" ke "target.resource.product_object_id".
  • Memetakan "Koneksi" ke "target.resource.attribute.labels".
  • Memetakan "Negara" ke "target.location.country_or_region".
  • Memetakan "CreatedAt" ke "metadata.event_timestamp".
  • Memetakan "IPAddress" ke "target.ip".
  • Memetakan "RayID" ke "metadata.product_log_id".
  • Memetakan "Email" ke "principal.user.email_addresses" dan "target.user.email_addresses".
  • Memetakan "TemporaryAccessDuration" ke "network.session_duration.seconds".
  • Memetakan "UserUID" ke "target.user.product_object_id".
  • Memetakan "UserAgent" ke "network.http.parsed_user_agent".
  • Memetakan "ClientRequestUserAgent" ke "network.http.parsed_user_agent".
  • Memetakan "PolicyName" ke "security_result.rule_name".
  • Memetakan "SessionID" ke "network.session_id".
  • Memetakan "Transport" ke "network.ip_protocol".
  • Memetakan "SNI" ke "tls.client.server_name".
  • Memetakan "DeviceName" ke "principal.asset.attribute.labels".
  • Memetakan "BytesReceived" ke "network.received_bytes".
  • Memetakan "BytesSent" ke "network.sent_bytes".
  • Memetakan "Protocol" ke "network.ip_protocol".
  • Memetakan "ClientTCPHandshakeDurationMs" ke "additional.fields".
  • Memetakan "ClientTLSCipher" ke "network.tls.cipher".
  • Memetakan "ClientTLSHandshakeDurationMs" ke "additional.fields".
  • Memetakan "ClientTLSVersion" ke "network.tls.version".
  • Memetakan "ConnectionCloseReason" ke "additional.fields".
  • Memetakan "ConnectionReuse" ke "additional.fields".
  • Memetakan "DestinationTunnelID" ke "additional.fields".
  • Memetakan "EgressIP" ke "principal.ip".
  • Memetakan "EgressPort" ke "principal.port".
  • Memetakan "EgressRuleID" ke "additional.fields".
  • Memetakan "EgressRuleName" ke "additional.fields".
  • Memetakan "IngressColoName" ke "additional.fields".
  • Memetakan "Offramp" ke "additional.fields".
  • Memetakan "OriginIP" ke "target.ip".
  • Memetakan "OriginPort" ke "target.port".
  • Memetakan "OriginTLSCertificateIssuer" ke "additional.fields".
  • Memetakan "OriginTLSCertificateValidationResult" ke "additional.fields".
  • Memetakan "OriginTLSCipher" ke "additional.fields".
  • Memetakan "OriginTLSHandshakeDurationMs" ke "additional.fields".
  • Memetakan "OriginTLSVersion" ke "additional.fields".
  • Memetakan "RuleEvaluationDurationMs" ke "additional.fields".
  • Memetakan "SessionEndTime" ke "additional.fields".
  • Memetakan "SessionStartTime" ke "metadata.event_timestamp".
  • Memetakan "SourceIP" ke "src.ip".
  • Memetakan "SourcePort" ke "src.port".
  • Memetakan "UserID" ke "principal.user.product_object_id".
  • Memetakan "VirtualNetworkID" ke "principal.resource.product_object_id".

2023-04-06

  • Peningkatan - Mendeklarasikan kolom "WAFRuleMessage", "WAFAction", "QueryType", "RayID", "Email" di tingkat global.
  • Memetakan "metadata.event_type" sebagai "NETWORK_UNCATEGORIZED" dengan kolom "QueryName" dan "QueryNameReversed" null.
  • Ditambahkan pada pemeriksaan error untuk kolom berikut: RData[n].type, RData[n].data, EdgeResponseBytes, ClientRequestBytes, EdgeResponseStatus.
  • Menambahkan konversi string untuk kolom "SourcePort" dan "DestinationPort".

2022-10-10

  • Penyempurnaan
  • Memetakan "metadata.product_name" ke "Web Application Firewall".
  • Memetakan "metadata.vendor_name" ke "Cloudflare".

2022-05-23

  • Peningkatan untuk memetakan elemen log mentah berikut ke elemen UDM:
  • Memetakan 'ClientASN' ke 'network.asn'.
  • Memetakan 'ClientSSLCipher' ke 'network.tls.cipher'.
  • Memetakan 'ClientSSLProtocol' ke 'network.tls.version'.
  • Memetakan 'EdgeResponseContentType' ke 'target.file.mime_type'.
  • Memetakan 'OriginIP' ke 'intermediary.ip'.
  • Memetakan 'FirewallMatchesActions' ke 'security_result.action'.
  • Memetakan 'FirewallMatchesRuleIDs' ke 'security_result.rule_id'.
  • Memetakan 'FirewallMatchesSources' ke 'security_result.rule_name'.
  • Memetakan 'WAFRuleID', 'WAFProfile' ke 'security_result.about.labels'.
  • Memetakan 'CacheCacheStatus', 'CacheResponseBytes', 'CacheResponseStatus', 'ClientDeviceType', 'EdgeColoCode', 'EdgeColoID', 'OriginResponseBytes', 'OriginResponseStatus', 'OriginResponseTime', 'ZoneID' ke 'additional.fields'.