Mengumpulkan log Cloudflare
Didukung di:
Google SecOps
SIEM
Ringkasan
Parser ini menangani berbagai jenis log Cloudflare (DNS, HTTP, Audit, Zero Trust, CASB). Pertama, fungsi ini akan menormalisasi kolom umum, lalu menerapkan logika kondisional berdasarkan kolom tertentu seperti QueryName, Action, dan ID untuk mengekstrak dan memetakan data yang relevan ke UDM. Fungsi ini juga melakukan konversi jenis data, pencocokan grok untuk alamat IP dan hash, serta menangani payload JSON bertingkat.
Sebelum memulai
- Pastikan Anda memiliki instance Google Chronicle.
- Pastikan Anda memiliki akses dengan hak istimewa ke Google Cloud IAM.
- Pastikan Anda memiliki akses dengan hak istimewa ke Google Cloud Storage.
- Pastikan Anda memiliki akses dengan hak istimewa ke Cloudflare.
Membuat Bucket Google Cloud Storage
- Login ke Konsol Google Cloud
Buka halaman Cloud Storage Buckets.
Klik Buat.
Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah menyelesaikan setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:
Di bagian Mulai, lakukan tindakan berikut:
- Masukkan nama unik yang memenuhi persyaratan nama bucket (misalnya, cloudflare-data).
- Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja yang berorientasi pada file dan intensif data, lalu pilih Aktifkan Namespace hierarkis di bucket ini.
- Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Labels.
- Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.
Di bagian Pilih tempat untuk menyimpan data, lakukan hal berikut:
- Pilih Jenis lokasi.
- Gunakan drop-down jenis lokasi untuk memilih Lokasi tempat data objek dalam bucket Anda akan disimpan secara permanen.
- Jika memilih jenis lokasi dual-region, Anda juga dapat memilih untuk mengaktifkan replikasi turbo menggunakan kotak centang yang relevan.
- Untuk menyiapkan replikasi lintas bucket, luaskan bagian Menyiapkan replikasi lintas bucket.
Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.
Di bagian Choose how to control access to objects, pilih not untuk menerapkan public access prevention, dan pilih access control model untuk objek bucket Anda.
Di bagian Pilih cara melindungi data objek, lakukan hal berikut:
- Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket.
- Untuk memilih cara enkripsi data objek, klik panah peluas berlabel Enkripsi data, lalu pilih Metode enkripsi data.
Klik Buat.
Membuat Akun Layanan Google Cloud
- Buka IAM & Admin > Service Accounts.
- Buat akun layanan baru.
- Beri nama deskriptif (Misalnya, cloudflare-logs).
- Berikan akun layanan dengan peran Storage Object Creator di bucket GCS yang Anda buat di langkah sebelumnya.
- Buat kunci SSH untuk akun layanan.
- Mendownload file kunci JSON untuk akun layanan. Jaga file ini tetap aman.
Mengaktifkan Cloudflare IAM ke Google Cloud Storage
- Buka Storage > Browser > Bucket > Permissions.
- Tambahkan anggota
logpush@cloudflare-data.dengan izin Storage Object Admin.
Mengonfigurasi feed di Google SecOps untuk menyerap log Cloudflare
- Buka Setelan SIEM > Feed.
- Klik Tambahkan baru.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya, Cloudflare Logs).
- Pilih Google Cloud Storage sebagai Source type.
- Pilih Cloudflare sebagai Jenis log.
- Klik Get Service Account sebagai Chronicle Service Account.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Storage Bucket URI: URL bucket penyimpanan Google Cloud dalam format
gs://my-bucket/<value>. - URI adalah: pilih Direktori yang menyertakan subdirektori.
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
- Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
- Storage Bucket URI: URL bucket penyimpanan Google Cloud dalam format
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.
Mengonfigurasi Cloudflare untuk mengirim log ke Google Cloud Storage
- Login ke dasbor Cloudflare.
- Pilih Akun atau domain Enterprise (juga dikenal sebagai zona) yang ingin Anda gunakan dengan Logpush.
- Buka Analytics & Logs > Logpush.
- Pilih tugas Buat Logpush.
- Di Pilih tujuan, pilih Google Cloud Storage.
Masukkan atau pilih detail tujuan berikut:
- Bucket: Nama bucket GCS
- Jalur: lokasi bucket dalam penampung penyimpanan
- Kotak centang: Atur log ke dalam subfolder harian (direkomendasikan)
Klik Lanjutkan.
Verifikasi kepemilikan:
- Cloudflare akan mengirim file ke bucket Anda.
- Salin dan tempel token:
- Login ke Konsol Google Cloud > Storage > Bucket Cloudflare.
- Buka file sengketa kepemilikan.
- Salin Token Kepemilikan.
- Masukkan token kepemilikan di konsol Cloudflare.
- Pilih Lanjutkan.
- Pilih set data untuk dikirim ke bucket.
Konfigurasikan tugas logpush:
- Masukkan Nama tugas.
- Di bagian Jika log cocok, Anda dapat memilih peristiwa yang akan disertakan dan/atau dihapus dari log.
- Kirim kolom berikut: Pilih untuk mendorong semua log atau pilih secara selektif log yang ingin Anda dorong.
Pilih Kirim untuk menyelesaikan konfigurasi.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
AccountID |
target.resource.id, target.resource.product_object_id |
ID akun yang terkait dengan peristiwa. |
Action |
security_result.action |
Tindakan yang diambil berdasarkan peristiwa. allow atau allowed* menghasilkan ALLOW. unknown menghasilkan UNKNOWN_ACTION. Nilai lainnya menghasilkan BLOCK. Untuk Log akses, login dipetakan ke USER_LOGIN, logout ke USER_LOGOUT, dan nilai lainnya ke USER_RESOURCE_ACCESS jika ada email. |
ActionResult |
security_result.action |
Jika true, dipetakan ke ALLOW. Jika false, dipetakan ke BLOCK. Jika tidak, dipetakan ke UNKNOWN_ACTION. |
ActionType |
security_result.description |
Deskripsi tindakan yang dilakukan. |
ActorEmail |
principal.user.email_addresses |
Alamat email pelaku yang memulai peristiwa. |
ActorID |
principal.user.product_object_id |
ID aktor yang memulai peristiwa. |
ActorIP |
principal.ip, principal.asset.ip |
Alamat IP pelaku yang memulai peristiwa. |
Allowed |
security_result.action |
Jika true, dipetakan ke ALLOW. Jika tidak, dipetakan ke BLOCK. |
AppDomain |
target.administrative_domain |
Domain aplikasi yang terlibat dalam peristiwa. |
AppUUID |
target.resource.product_object_id |
UUID aplikasi yang terlibat dalam peristiwa. |
AssetDisplayName |
principal.asset.attribute.labels.value dengan kunci AssetDisplayName |
Nama tampilan aset. |
AssetExternalID |
principal.asset_id (diawali dengan "Cloudflare:") |
ID eksternal aset. |
AssetLink |
principal.url |
Link yang terkait dengan aset. |
AssetMetadata.agreedToTerms |
principal.user.attribute.labels.value dengan kunci agreedToTerms |
Apakah pengguna menyetujui persyaratan. |
AssetMetadata.changePasswordAtNextLogin |
principal.user.attribute.labels.value dengan kunci changePasswordAtNextLogin |
Apakah pengguna perlu mengubah sandi saat login berikutnya. |
AssetMetadata.clientId |
principal.user.userid |
Client ID dari metadata aset. |
AssetMetadata.customerId |
principal.user.userid |
ID Pelanggan dari metadata aset. |
AssetMetadata.familyName |
principal.user.last_name |
Nama keluarga pengguna dari metadata aset. |
AssetMetadata.givenName |
principal.user.first_name |
Nama depan pengguna dari metadata aset. |
AssetMetadata.includeInGlobalAddressList |
principal.user.attribute.labels.value dengan kunci includeInGlobalAddressList |
Apakah pengguna disertakan dalam daftar alamat global. |
AssetMetadata.ipWhitelisted |
principal.user.attribute.labels.value dengan kunci ipWhitelisted |
Apakah pengguna memiliki IP yang diizinkan. |
AssetMetadata.isAdmin |
principal.user.attribute.labels.value dengan kunci isAdmin |
Apakah pengguna adalah admin. |
AssetMetadata.isDelegatedAdmin |
principal.user.attribute.labels.value dengan kunci isDelegatedAdmin |
Apakah pengguna adalah admin yang didelegasikan. |
AssetMetadata.isEnforcedIn2Sv |
principal.user.attribute.labels.value dengan kunci isEnforcedIn2Sv |
Apakah 2SV diterapkan untuk pengguna. |
AssetMetadata.isEnrolledIn2Sv |
principal.user.attribute.labels.value dengan kunci isEnrolledIn2Sv |
Apakah pengguna terdaftar dalam Verifikasi 2 Langkah. |
AssetMetadata.kind |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
AssetMetadata.lastLoginTime |
principal.user.attribute.labels.value dengan kunci lastLoginTime |
Waktu login terakhir pengguna. |
AssetMetadata.login |
principal.user.userid |
Nama login dari metadata aset. |
AssetMetadata.name.familyName |
principal.user.last_name |
Nama keluarga dari metadata aset. |
AssetMetadata.name.fullName |
principal.user.user_display_name |
Nama lengkap dari metadata aset. |
AssetMetadata.name.givenName |
principal.user.first_name |
Nama depan dari metadata aset. |
AssetMetadata.nativeApp |
security_result.detection_fields.value dengan kunci nativeApp |
Apakah aplikasi bersifat native. |
AssetMetadata.owner.id |
principal.user.userid |
ID Pemilik dari metadata aset. |
AssetMetadata.primaryEmail |
principal.user.email_addresses |
Email utama dari metadata aset. |
AssetMetadata.scopes |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
AssetMetadata.site_admin |
principal.user.attribute.labels.value dengan kunci site_admin |
Apakah pengguna adalah admin situs. |
AssetMetadata.suspended |
principal.user.attribute.labels.value dengan kunci suspended |
Apakah pengguna ditangguhkan. |
AssetMetadata.url |
principal.url |
URL dari metadata aset. |
AssetMetadata.userKey |
principal.user.attribute.labels.value dengan kunci userKey |
Kunci pengguna dari metadata aset. |
BlockedFileHash |
target.file.md5, target.file.sha1, target.file.sha256 |
Hash file yang diblokir. Diurai menggunakan grok untuk mengekstrak md5, sha1, atau sha256. |
BlockedFileName |
security_result.about.file.full_path |
Nama file yang diblokir. |
BlockedFileReason |
security_result.summary |
Alasan pemblokiran file. |
BlockedFileSize |
target.file.size |
Ukuran file yang diblokir. |
BotScore |
security_result.detection_fields.value dengan kunci BotScore |
Skor bot yang ditetapkan ke permintaan. |
BytesReceived |
network.received_bytes |
Jumlah byte yang diterima. |
BytesSent |
network.sent_bytes |
Jumlah byte yang dikirim. |
CacheCacheStatus |
additional.fields.value.string_value dengan kunci CacheCacheStatus |
Status cache. |
CacheResponseBytes |
additional.fields.value.string_value dengan kunci CacheResponseBytes |
Jumlah byte dalam respons yang di-cache. |
CacheResponseStatus |
additional.fields.value.string_value dengan kunci CacheResponseStatus |
Kode status respons yang di-cache. |
ClientASN |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
ClientCountry |
principal.location.country_or_region |
Negara klien. |
ClientDeviceType |
additional.fields.value.string_value dengan kunci ClientDeviceType |
Jenis perangkat klien. |
ClientIP |
principal.ip, principal.asset.ip |
Alamat IP klien. |
ClientRequestMethod |
network.http.method |
Metode permintaan HTTP yang digunakan oleh klien. |
ClientRequestHost |
target.hostname, target.asset.hostname |
Nama host yang diminta oleh klien. |
ClientRequestPath |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
ClientRequestProtocol |
network.application_protocol |
Protokol yang digunakan dalam permintaan klien (mis., HTTP, HTTPS). Versi protokol dihapus. |
ClientRequestReferer |
network.http.referral_url |
URL perujuk permintaan klien. |
ClientRequestURI |
target.url (digabungkan dengan ClientRequestHost jika ada) |
URI yang diminta oleh klien. |
ClientRequestUserAgent |
network.http.user_agent |
Agen pengguna permintaan klien. Juga diuraikan dan dipetakan ke network.http.parsed_user_agent. |
ClientSSLCipher |
network.tls.cipher |
Cipher SSL yang digunakan oleh klien. |
ClientSSLProtocol |
network.tls.version |
Protokol SSL yang digunakan oleh klien. |
ClientSrcPort |
principal.port |
Port sumber klien. |
ClientTCPHandshakeDurationMs |
additional.fields.value.string_value dengan kunci ClientTCPHandshakeDurationMs |
Durasi handshake TCP klien. |
ClientTLSHandshakeDurationMs |
additional.fields.value.string_value dengan kunci ClientTLSHandshakeDurationMs |
Durasi handshake TLS klien. |
ClientTLSVersion |
network.tls.version |
Versi TLS yang digunakan oleh klien. |
ColoID |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
Connection |
target.resource.attribute.labels.value dengan kunci Connection |
Jenis koneksi (misalnya, saml). |
ConnectionCloseReason |
additional.fields.value.string_value dengan kunci ConnectionCloseReason |
Alasan penutupan koneksi. |
ConnectionReuse |
additional.fields.value.string_value dengan kunci ConnectionReuse |
Apakah penggunaan kembali koneksi terjadi. |
Country |
target.location.country_or_region |
Negara yang terkait dengan peristiwa. |
CreatedAt |
metadata.event_timestamp |
Stempel waktu pembuatan peristiwa. |
Datetime |
metadata.event_timestamp |
Tanggal dan waktu peristiwa. |
DestinationIP |
target.ip, target.asset.ip |
Alamat IP tujuan. |
DestinationPort |
target.port |
Port tujuan. |
DestinationTunnelID |
additional.fields.value.string_value dengan kunci DestinationTunnelID |
ID tunnel tujuan. |
DeviceID |
principal.asset_id (diawali dengan "Cloudflare:") |
ID perangkat. |
DeviceName |
principal.hostname, principal.asset.hostname, principal.asset.attribute.labels.value dengan kunci DeviceName |
Nama perangkat. |
DownloadedFileNames |
security_result.about.labels.value dengan kunci DownloadFileNames |
Nama file yang didownload. |
DstIP |
target.ip, target.asset.ip |
Alamat IP tujuan. |
DstPort |
target.port |
Port tujuan. |
EdgeColoCode |
additional.fields.value.string_value dengan kunci EdgeColoCode |
Kode lokasi edge Cloudflare. |
EdgeColoID |
additional.fields.value.string_value dengan kunci EdgeColoID |
ID lokasi edge Cloudflare. |
EdgeEndTimestamp |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
EdgeResponseBytes |
network.received_bytes |
Jumlah byte dalam respons dari edge. |
EdgeResponseContentType |
target.file.mime_type |
Jenis konten respons edge. |
EdgeResponseStatus |
network.http.response_code |
Kode status respons edge. |
EdgeServerIP |
target.ip, target.asset.ip |
Alamat IP server edge. |
EdgeStartTimestamp |
metadata.event_timestamp |
Stempel waktu awal permintaan di edge. |
Email |
principal.user.email_addresses, target.user.email_addresses |
Alamat email yang terkait dengan peristiwa. |
EgressColoName |
additional.fields.value.string_value dengan kunci EgressColoName |
Nama colo egress. |
EgressIP |
principal.ip, principal.asset.ip |
Alamat IP keluar. Menetapkan network.direction ke OUTBOUND. |
EgressPort |
principal.port |
Port keluar. |
EgressRuleID |
additional.fields.value.string_value dengan kunci EgressRuleID |
ID aturan keluar. |
EgressRuleName |
additional.fields.value.string_value dengan kunci EgressRuleName |
Nama aturan traffic keluar. |
FindingTypeDisplayName |
security_result.description |
Nama tampilan jenis temuan. |
FindingTypeID |
security_result.rule_id |
ID jenis temuan. |
FindingTypeSeverity |
security_result.severity |
Tingkat keparahan jenis temuan. |
FirewallMatchesActions |
security_result.action |
Tindakan yang dilakukan oleh aturan firewall. allow, Allow, ALLOW, skip, SKIP, Skip dipetakan ke ALLOW. challengeSolved dan jschallengeSolved dipetakan ke ALLOW_WITH_MODIFICATION. drop dan block dipetakan ke BLOCK. Nilai lainnya dipetakan ke UNKNOWN_ACTION. |
FirewallMatchesRuleIDs |
security_result.rule_id (untuk ID pertama), ID berikutnya akan membuat objek security_result baru. |
ID aturan firewall yang cocok. |
FirewallMatchesSources |
security_result.rule_name |
Sumber aturan firewall yang cocok. |
HTTPHost |
target.hostname |
Host HTTP. |
HTTPMethod |
network.http.method |
Metode HTTP. |
HTTPVersion |
network.application_protocol |
Jika nilai berisi "HTTP", tetapkan network.application_protocol ke HTTP. |
ID |
metadata.product_log_id |
ID peristiwa. |
IngressColoName |
additional.fields.value.string_value dengan kunci IngressColoName |
Nama kolom ingress. |
InstanceID |
principal.resource.product_object_id |
ID instance. |
IntegrationDisplayName |
additional.fields.value.string_value dengan kunci IntegrationDisplayName |
Nama tampilan integrasi. |
IntegrationID |
metadata.product_deployment_id |
ID integrasi. |
IntegrationPolicyVendor |
additional.fields.value.string_value dengan kunci IntegrationPolicyVendor |
Vendor kebijakan integrasi. |
IPAddress |
target.ip, target.asset.ip |
Alamat IP yang dikaitkan dengan peristiwa. |
IsIsolated |
about.labels.value dengan kunci IsIsolated, security_result.about.resource.attribute.labels.value dengan kunci IsIsolated |
Apakah peristiwa diisolasi. |
Location |
principal.location.name |
Lokasi yang terkait dengan peristiwa. |
NewValue |
security_result.about.labels.value dengan kunci NewValue |
Nilai baru setelah update. |
Offramp |
additional.fields.value.string_value dengan kunci Offramp |
Offramp yang digunakan dalam koneksi. |
OldValue |
security_result.about.labels.value dengan kunci OldValue |
Nilai lama sebelum pembaruan. |
OriginIP |
intermediary.ip, target.ip, target.asset.ip |
Alamat IP asal. |
OriginPort |
target.port |
Port asal. |
OriginResponseBytes |
additional.fields.value.string_value dengan kunci OriginResponseBytes |
Jumlah byte dalam respons origin. |
OriginResponseStatus |
additional.fields.value.string_value dengan kunci OriginResponseStatus |
Kode status respons origin. |
OriginResponseTime |
additional.fields.value.string_value dengan kunci OriginResponseTime |
Waktu respons origin. |
OriginSSLProtocol |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
OriginTLSCertificateIssuer |
additional.fields.value.string_value dengan kunci OriginTLSCertificateIssuer |
Penerbit sertifikat TLS asal. |
OriginTLSCertificateValidationResult |
additional.fields.value.string_value dengan kunci OriginTLSCertificateValidationResult |
Hasil validasi sertifikat TLS asal. |
OriginTLSCipher |
additional.fields.value.string_value dengan kunci OriginTLSCipher |
Cipher yang digunakan dalam koneksi TLS asal. |
OriginTLSHandshakeDurationMs |
additional.fields.value.string_value dengan kunci OriginTLSHandshakeDurationMs |
Durasi handshake TLS asal. |
OriginTLSVersion |
additional.fields.value.string_value dengan kunci OriginTLSVersion |
Versi TLS yang digunakan oleh origin. |
OwnerID |
target.user.product_object_id |
ID pemilik. |
Policy |
security_result.rule_name |
Kebijakan yang terkait dengan peristiwa. |
PolicyID |
security_result.rule_id |
ID kebijakan. |
PolicyName |
security_result.rule_name |
Nama kebijakan. |
Protocol |
network.application_protocol, network.ip_protocol |
Protokol yang digunakan dalam koneksi. Jika bukan "tls" atau "TLS", dikonversi ke huruf besar dan dipetakan ke network.application_protocol. Jika tidak, akan diuraikan menggunakan file include dan dipetakan ke network.ip_protocol. |
PurposeJustificationPrompt |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
PurposeJustificationResponse |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
QueryCategoryIDs |
security_result.about.labels.value, security_result.about.resource.attribute.labels.value dengan kunci QueryCategoryIDs |
ID kategori kueri. |
QueryName |
network.dns.questions.name |
Nama kueri DNS. Menetapkan metadata.event_type ke NETWORK_DNS dan network.application_protocol ke DNS. |
QueryNameReversed |
network.dns.questions.name |
Nama terbalik dari kueri DNS. |
QuerySize |
network.sent_bytes |
Ukuran kueri. |
QueryType |
network.dns.questions.type |
Jenis kueri DNS. Dipetakan ke nilai numerik berdasarkan kode jenis kueri DNS. |
RData |
network.dns.answers.type, network.dns.answers.data |
Data data DNS. Setiap elemen dalam array RData membuat objek answer baru. |
RayID |
metadata.product_log_id |
ID Ray yang terkait dengan permintaan. |
Referer |
network.http.referral_url |
URL perujuk. |
RequestID |
metadata.product_log_id |
ID permintaan. |
ResolverDecision |
security_result.summary |
Keputusan yang dibuat oleh resolver. |
ResourceID |
target.resource.id, target.resource.product_object_id |
ID resource. |
ResourceType |
target.resource.resource_subtype |
Jenis resource. |
RuleEvaluationDurationMs |
additional.fields.value.string_value dengan kunci RuleEvaluationDurationMs |
Durasi evaluasi aturan. |
SNI |
network.tls.client.server_name |
Server Name Indication (SNI) di TLS client hello. |
SecurityAction |
security_result.action |
Tindakan keamanan telah dilakukan. Nilai kosong atau tidak ada SecurityAction yang dipetakan ke ALLOW. challengeSolved atau jschallengeSolved dipetakan ke ALLOW_WITH_MODIFICATION. drop atau block dipetakan ke BLOCK. |
SecurityLevel |
security_result.severity |
Tingkat keamanan. high dipetakan ke HIGH, med ke MEDIUM, low ke LOW. |
SessionEndTime |
additional.fields.value.string_value dengan kunci SessionEndTime |
Waktu akhir sesi. |
SessionID |
network.session_id |
ID sesi. |
SessionStartTime |
metadata.event_timestamp |
Waktu mulai sesi. |
SourceIP |
principal.ip, principal.asset.ip, src.ip, src.asset.ip |
Alamat IP sumber. |
SourcePort |
principal.port, src.port |
Port sumber. |
SrcIP |
principal.ip, principal.asset.ip |
Alamat IP sumber. |
SrcPort |
principal.port |
Port sumber. |
TemporaryAccessDuration |
network.session_duration.seconds |
Durasi akses sementara. |
Timestamp |
metadata.event_timestamp |
Stempel waktu peristiwa. |
Transport |
network.ip_protocol |
Protokol transpor. Dikonversi ke huruf besar dan diuraikan menggunakan file include. |
UploadedFileNames |
security_result.about.labels.value dengan kunci UploadedFileNames |
Nama file yang diupload. |
URL |
target.url |
URL yang terlibat dalam peristiwa. |
UserAgent |
network.http.user_agent |
String agen pengguna. Juga diuraikan dan dipetakan ke network.http.parsed_user_agent. |
UserID |
principal.user.product_object_id, event.idm.read_only_udm.target.user.product_object_id |
ID pengguna. |
UserUID |
target.user.product_object_id |
UID pengguna. |
VirtualNetworkID |
principal.resource.product_object_id |
ID jaringan virtual. |
WAFAction |
security_result.about.labels.value dengan kunci WAFAction |
Tindakan yang dilakukan oleh Web Application Firewall (WAF). |
WAFAttackScore |
security_result.about.resource.attribute.labels.value dengan kunci WAFAttackScore |
Skor serangan yang ditetapkan oleh WAF. |
WAFFlags |
security_result.about.resource.attribute.labels.value dengan kunci WAFFlags |
Flag WAF. |
WAFMatchedVar |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
WAFProfile |
security_result.about.labels.value dengan kunci WAFProfile |
Profil WAF. |
WAFRCEAttackScore |
security_result.about.resource.attribute.labels.value dengan kunci WAFRCEAttackScore |
Skor serangan Eksekusi Kode Jarak Jauh (RCE) WAF. |
WAFRuleID |
security_result.threat_id, security_result.about.labels.value dengan kunci WAFRuleID |
ID aturan WAF. |
WAFRuleMessage |
security_result.rule_name, security_result.threat_name |
Pesan yang terkait dengan aturan WAF. |
WAFSQLiAttackScore |
security_result.about.resource.attribute.labels.value dengan kunci WAFSQLiAttackScore |
Skor serangan Injeksi SQL WAF. |
WAFXSSAttackScore |
security_result.about.resource.attribute.labels.value dengan kunci WAFXSSAttackScore |
Skor serangan Pembuatan Skrip Lintas Situs (XSS) WAF. |
ZoneID |
additional.fields.value.string_value dengan kunci ZoneID |
ID Zona. |
event.idm.read_only_udm.metadata.event_type |
metadata.event_type |
Jenis peristiwa. Ditetapkan oleh parser berdasarkan data log. Setelan defaultnya adalah GENERIC_EVENT jika tidak ditetapkan atau jika peristiwa NETWORK_DNS tidak memiliki akun utama atau target. Dapat berupa NETWORK_DNS, NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_RESOURCE_UPDATE_CONTENT, atau GENERIC_EVENT. |
event.idm.read_only_udm.metadata.log_type |
metadata.log_type |
Jenis log, ditetapkan ke "CLOUDFLARE". |
event.idm.read_only_udm.metadata.product_deployment_id |
metadata.product_deployment_id |
ID deployment produk. |
event.idm.read_only_udm.metadata.product_log_id |
metadata.product_log_id |
ID log produk. |
event.idm.read_only_udm.metadata.product_name |
metadata.product_name |
Nama produk. Ditetapkan oleh parser berdasarkan data log. Dapat berupa "Cloudflare Gateway DNS", "Cloudflare Gateway HTTP", "Cloudflare Audit", "Web Application Firewall". |
event.idm.read_only_udm.metadata.vendor_name |
metadata.vendor_name |
Nama vendor, ditetapkan ke "Cloudflare". |
event.idm.read_only_udm.metadata.event_timestamp |
metadata.event_timestamp |
Stempel waktu peristiwa. |
event.idm.read_only_udm.network.application_protocol |
network.application_protocol |
Protokol aplikasi yang digunakan dalam koneksi jaringan. |
event.idm.read_only_udm.network.direction |
network.direction |
Arah koneksi jaringan. Tetapkan ke OUTBOUND jika EgressIP dan SourceIP ada. |
event.idm.read_only_udm.network.dns.answers |
network.dns.answers |
Jawaban DNS. |
event.idm.read_only_udm.network.dns.questions |
network.dns.questions |
Pertanyaan DNS. |
event.idm.read_only_udm.network.http.method |
network.http.method |
Metode HTTP. |
event.idm.read_only_udm.network.http.parsed_user_agent |
network.http.parsed_user_agent |
Agen pengguna yang diuraikan. |
event.idm.read_only_udm.network.http.referral_url |
network.http.referral_url |
URL rujukan HTTP. |
event.idm.read_only_udm.network.http.response_code |
network.http.response_code |
Kode respons HTTP. |
event.idm.read_only_udm.network.http.user_agent |
network.http.user_agent |
Agen pengguna HTTP. |
event.idm.read_only_udm.network.ip_protocol |
network.ip_protocol |
Protokol IP. |
event.idm.read_only_udm.network.received_bytes |
network.received_bytes |
Jumlah byte yang diterima. |
event.idm.read_only_udm.network.sent_bytes |
network.sent_bytes |
Jumlah byte yang dikirim. |
event.idm.read_only_udm.network.session_duration.seconds |
network.session_duration.seconds |
Durasi sesi jaringan dalam hitungan detik. |
event.idm.read_only_udm.network.session_id |
network.session_id |
ID sesi jaringan. |
event.idm.read_only_udm.network.tls.cipher |
network.tls.cipher |
Suite cipher TLS. |
event.idm.read_only_udm.network.tls.client.server_name |
network.tls.client.server_name |
Nama server klien TLS. |
event.idm.read_only_udm.network.tls.version |
network.tls.version |
Versi TLS. |
event.idm.read_only_udm.principal.asset.attribute.labels |
principal.asset.attribute.labels |
Label yang terkait dengan aset utama. |
event.idm.read_only_udm.principal.asset.hostname |
principal.asset.hostname |
Nama host aset utama. |
event.idm.read_only_udm.principal.asset.ip |
principal.asset.ip |
Alamat IP aset utama. |
event.idm.read_only_udm.principal.asset_id |
principal.asset_id |
ID aset utama. |
event.idm.read_only_udm.principal.hostname |
principal.hostname |
Nama host akun utama. |
event.idm.read_only_udm.principal.ip |
principal.ip |
Alamat IP akun utama. |
event.idm.read_only_udm.principal.location.country_or_region |
principal.location.country_or_region |
Negara atau wilayah lokasi akun utama. |
event.idm.read_only_udm.principal.location.name |
principal.location.name |
Nama lokasi akun utama. |
event.idm.read_only_udm.principal.port |
principal.port |
Port yang digunakan oleh akun utama. |
event.idm.read_only_udm.principal.resource.product_object_id |
principal.resource.product_object_id |
ID objek produk dari resource akun utama. |
event.idm.read_only_udm.principal.url |
principal.url |
URL yang terkait dengan akun utama. |
event.idm.read_only_udm.principal.user.attribute.labels |
principal.user.attribute.labels |
Label yang terkait dengan pengguna utama. |
event.idm.read_only_udm.principal.user.email_addresses |
principal.user.email_addresses |
Alamat email pengguna utama. |
event.idm.read_only_udm.principal.user.first_name |
principal.user.first_name |
Nama depan pengguna utama. |
event.idm.read_only_udm.principal.user.last_name |
principal.user.last_name |
Nama belakang pengguna utama. |
event.idm.read_only_udm.principal.user.product_object_id |
principal.user.product_object_id |
ID objek produk pengguna utama. |
event.idm.read_only_udm.principal.user.userid |
principal.user.userid |
ID pengguna pengguna utama. |
event.idm.read_only_udm.principal.user.user_display_name |
principal.user.user_display_name |
Nama tampilan pengguna utama. |
event.idm.read_only_udm.src.asset.ip |
src.asset.ip |
Alamat IP aset sumber. |
event.idm.read_only_udm.src.ip |
src.ip |
Alamat IP sumber. |
event.idm.read_only_udm.src.port |
src.port |
Port sumber. |
event.idm.read_only_udm.target.administrative_domain |
target.administrative_domain |
Domain administratif target. |
event.idm.read_only_udm.target.asset.hostname |
target.asset.hostname |
Nama host aset target. |
event.idm.read_only_udm.target.asset.ip |
target.asset.ip |
Alamat IP aset target. |
event.idm.read_only_udm.target.file.mime_type |
target.file.mime_type |
Jenis MIME file target. |
event.idm.read_only_udm.target.file.md5 |
target.file.md5 |
Hash MD5 file target. |
event.idm.read_only_udm.target.file.sha1 |
target.file.sha1 |
Hash SHA1 file target. |
event.idm.read_only_udm.target.file.sha256 |
target.file.sha256 |
Hash SHA256 file target. |
event.idm.read_only_udm.target.file.size |
target.file.size |
Ukuran file target. |
event.idm.read_only_udm.target.hostname |
target.hostname |
Nama host target. |
event.idm.read_only_udm.target.ip |
target.ip |
Alamat IP target. |
event.idm.read_only_udm.target.location.country_or_region |
target.location.country_or_region |
Negara atau wilayah lokasi target. |
event.idm.read_only_udm.target.port |
target.port |
Port target. |
event.idm.read_only_udm.target.resource.attribute.labels |
target.resource.attribute.labels |
Label yang terkait dengan resource target. |
event.idm.read_only_udm.target.resource.id |
target.resource.id |
ID resource target. |
event.idm.read_only_udm.target.resource.product_object_id |
target.resource.product_object_id |
ID objek produk dari resource target. |
event.idm.read_only_udm.target.resource.resource_subtype |
target.resource.resource_subtype |
Subjenis resource dari resource target. |
event.idm.read_only_udm.target.url |
target.url |
URL target. |
event.idm.read_only_udm.target.user.email_addresses |
target.user.email_addresses |
Alamat email pengguna target. |
event.idm.read_only_udm.target.user.product_object_id |
target.user.product_object_id |
ID objek produk dari pengguna target. |
event.idm.read_only_udm.security_result.about.file.full_path |
security_result.about.file.full_path |
Jalur lengkap file yang terlibat dalam hasil keamanan. |
event.idm.read_only_udm.security_result.about.labels |
security_result.about.labels |
Label yang terkait dengan hasil keamanan. |
event.idm.read_only_udm.security_result.about.resource.attribute.labels |
security_result.about.resource.attribute.labels |
Label yang terkait dengan resource dalam hasil keamanan. |
event.idm.read_only_udm.security_result.action |
security_result.action |
Tindakan yang diambil dalam hasil keamanan. |
event.idm.read_only_udm.security_result.detection_fields |
security_result.detection_fields |
Kolom deteksi dalam hasil keamanan. |
event.idm.read_only_udm.security_result.description |
security_result.description |
Deskripsi hasil keamanan. |
event.idm.read_only_udm.security_result.rule_id |
security_result.rule_id |
ID aturan dari hasil keamanan. |
event.idm.read_only_udm.security_result.rule_name |
security_result.rule_name |
Nama aturan hasil keamanan. |
event.idm.read_only_udm.security_result.severity |
security_result.severity |
Tingkat keparahan hasil keamanan. |
event.idm.read_only_udm.security_result.summary |
security_result.summary |
Ringkasan hasil keamanan. |
event.idm.read_only_udm.security_result.threat_id |
security_result.threat_id |
ID ancaman dari hasil keamanan. |
event.idm.read_only_udm.security_result.threat_name |
security_result.threat_name |
Nama ancaman dari hasil keamanan. |
event.idm.read_only_udm.extensions.auth.type |
extensions.auth.type |
Jenis autentikasi. Tetapkan ke MACHINE untuk peristiwa login dan logout. |
event.idm.read_only_udm.about |
about |
Informasi tentang. |
event.idm.read_only_udm.additional.fields |
additional.fields |
Kolom tambahan. |
event.idm.read_only_udm.intermediary |
intermediary |
Informasi perantara. |
Perubahan
2024-02-19
- Perbaikan Bug:
- Jika tidak ada data mesin utama dan target, "metadata.event_type" akan dipetakan ke "GENERIC_EVENT".
- Jika kolom "Datetime" tidak ada dan kolom "Timestamp" ada, petakan "Timestamp" ke "metadata.event_timestamp".
- Memetakan "ClientIP" ke "principal.ip".
- Memetakan "RayID" ke "metadata.product_log_id".
- Memetakan "EdgeResponseStatus" ke "network.http.response_code".
- Memetakan "ClientRequestMethod" ke "network.http.method".
- Memetakan "ClientRequestURI" ke "target.uri".
- Memetakan "ClientRequestHost" ke "target.hostname".
2024-01-31
- Memetakan "BotScore" ke "security_result.detection_fields".
- Pemetaan "principal.hostname", "target.hostname", "principal.asset.hostname", dan "target.asset.hostname" yang diselaraskan.
- Pemetaan "principal.ip", "target.ip", "principal.asset.ip", dan "target.asset.ip" yang diselaraskan.
2024-01-08
- Jika "Action" berisi "allow", tetapkan "security_result.action" ke "ALLOW".
- Menambahkan pemetaan "DeviceName" ke "principal.hostname", "principal.asset.hostname".
- Menambahkan pemetaan "SourceIP" ke "principal.ip" untuk log DNS.
- Menambahkan pemeriksaan bersyarat null sebelum memetakan "principal" ke "event.idm.read_only_udm.principal".
- Menambahkan pemeriksaan kondisional null sebelum memetakan "target" ke "event.idm.read_only_udm.target".
2023-11-22
- Memetakan "WAFRuleID" ke "security_result.threat_id".
- Memetakan "WAFRuleMessage" ke "security_result.threat_name".
- Memetakan "WAFRCEAttackScore", "WAFSQLiAttackScore", "WAFXSSAttackScore", "WAFAttackScore", "WAFFlags" ke "security_result.about.resource.attribute.labels".
2023-10-09
- Jika nilai "SecurityAction" null atau tidak ada, tetapkan "security_result.action" ke "ALLOW".
2023-09-26
- Pemetaan yang diubah dari menggunakan kolom UDM yang tidak digunakan lagi ke kolom alternatif.
- Menambahkan pemetaan dari "security_result.about.labels" ke "security_result.about.resource.attribute.labels".
- Menambahkan pemetaan dari "about.labels" ke "security_result.about.resource.attribute.labels".
- Menambahkan pemetaan dari "target.resource.id" ke "target.resource.product_object_id".
2023-04-25
- Peningkatan untuk memetakan kolom log mentah berikut ke kolom UDM:
- Melakukan inisialisasi "EdgeStartTimestamp", "ClientIP", "ClientRequestHost", "ClientRequestURI", "ClientRequestMethod", "Datetime", "ActorEmail", dan "ActorIP" ke null.
- Memetakan "AssetExternalID" ke "principal.asset_id".
- Memetakan "AssetDisplayName" ke "principal.asset.attribute.labels".
- Memetakan "AssetLink" ke "principal.url".
- Memetakan "AssetMetadata.userKey" ke "principal.user.attribute.labels".
- Memetakan "AssetMetadata.clientId" ke "principal.user.userid".
- Memetakan "AssetMetadata.anonymous" ke "security_result.detection_fields".
- Memetakan "AssetMetadata.nativeApp" ke "security_result.detection_fields".
- Memetakan "DetectedTimestamp" ke "metadata.event_timestamp".
- Memetakan "FindingTypeDisplayName" ke "security_result.description".
- Memetakan "FindingTypeID" ke "security_result.rule_id".
- Memetakan "FindingTypeSeverity" ke "security_result.severity".
- Memetakan "InstanceID" ke "principal.resource.product_object_id".
- Memetakan "IntegrationDisplayName" ke "additional.fields".
- Memetakan "IntegrationID" ke "metadata.product_deployment_id".
- Memetakan "IntegrationPolicyVendor" ke "additional.fields".
- Memetakan "AssetMetadata.customerId" ke "principal.user.userid".
- Memetakan "AssetMetadata.primaryEmail" ke "principal.user.email_addresses".
- Memetakan "AssetMetadata.agreedToTerms" ke "principal.user.attribute.labels".
- Memetakan "AssetMetadata.ipWhitelisted" ke "principal.user.attribute.labels".
- Memetakan "AssetMetadata.lastLoginTime" ke "principal.user.attribute.labels".
- Memetakan "AssetMetadata.isEnforcedIn2Sv" ke "principal.user.attribute.labels".
- Memetakan "AssetMetadata.isEnrolledIn2Sv" ke "principal.user.attribute.labels".
- Memetakan "AssetMetadata.isDelegatedAdmin" ke "principal.user.attribute.labels".
- Memetakan "AssetMetadata.changePasswordAtNextLogin" ke "principal.user.attribute.labels".
- Memetakan "AssetMetadata.includeInGlobalAddressList" ke "principal.user.attribute.labels".
- Memetakan "AssetMetadata.isAdmin" ke "principal.user.attribute.labels".
- Memetakan "AssetMetadata.suspended" ke "principal.user.attribute.labels".
- Memetakan "AssetMetadata.url" ke "principal.url".
- Memetakan "AssetMetadata.site_admin" ke "principal.user.attribute.labels".
- Memetakan "AssetMetadata.login" ke "principal.user.userid".
- Memetakan "AssetMetadata.owner.id" ke "principal.user.userid".
- Memetakan "AssetMetadata.name.fullName" ke "principal.user.user_display_name".
- Memetakan "AssetMetadata.name.givenName" ke "principal.user.first_name".
- Memetakan "AssetMetadata.name.familyName" ke "principal.user.last_name".
- Memetakan "Diizinkan" ke "security_result.action".
- Memetakan "AppDomain" ke "target.administrative_domain".
- Memetakan "AppUUID" ke "target.resource.product_object_id".
- Memetakan "Koneksi" ke "target.resource.attribute.labels".
- Memetakan "Negara" ke "target.location.country_or_region".
- Memetakan "CreatedAt" ke "metadata.event_timestamp".
- Memetakan "IPAddress" ke "target.ip".
- Memetakan "RayID" ke "metadata.product_log_id".
- Memetakan "Email" ke "principal.user.email_addresses" dan "target.user.email_addresses".
- Memetakan "TemporaryAccessDuration" ke "network.session_duration.seconds".
- Memetakan "UserUID" ke "target.user.product_object_id".
- Memetakan "UserAgent" ke "network.http.parsed_user_agent".
- Memetakan "ClientRequestUserAgent" ke "network.http.parsed_user_agent".
- Memetakan "PolicyName" ke "security_result.rule_name".
- Memetakan "SessionID" ke "network.session_id".
- Memetakan "Transport" ke "network.ip_protocol".
- Memetakan "SNI" ke "tls.client.server_name".
- Memetakan "DeviceName" ke "principal.asset.attribute.labels".
- Memetakan "BytesReceived" ke "network.received_bytes".
- Memetakan "BytesSent" ke "network.sent_bytes".
- Memetakan "Protocol" ke "network.ip_protocol".
- Memetakan "ClientTCPHandshakeDurationMs" ke "additional.fields".
- Memetakan "ClientTLSCipher" ke "network.tls.cipher".
- Memetakan "ClientTLSHandshakeDurationMs" ke "additional.fields".
- Memetakan "ClientTLSVersion" ke "network.tls.version".
- Memetakan "ConnectionCloseReason" ke "additional.fields".
- Memetakan "ConnectionReuse" ke "additional.fields".
- Memetakan "DestinationTunnelID" ke "additional.fields".
- Memetakan "EgressIP" ke "principal.ip".
- Memetakan "EgressPort" ke "principal.port".
- Memetakan "EgressRuleID" ke "additional.fields".
- Memetakan "EgressRuleName" ke "additional.fields".
- Memetakan "IngressColoName" ke "additional.fields".
- Memetakan "Offramp" ke "additional.fields".
- Memetakan "OriginIP" ke "target.ip".
- Memetakan "OriginPort" ke "target.port".
- Memetakan "OriginTLSCertificateIssuer" ke "additional.fields".
- Memetakan "OriginTLSCertificateValidationResult" ke "additional.fields".
- Memetakan "OriginTLSCipher" ke "additional.fields".
- Memetakan "OriginTLSHandshakeDurationMs" ke "additional.fields".
- Memetakan "OriginTLSVersion" ke "additional.fields".
- Memetakan "RuleEvaluationDurationMs" ke "additional.fields".
- Memetakan "SessionEndTime" ke "additional.fields".
- Memetakan "SessionStartTime" ke "metadata.event_timestamp".
- Memetakan "SourceIP" ke "src.ip".
- Memetakan "SourcePort" ke "src.port".
- Memetakan "UserID" ke "principal.user.product_object_id".
- Memetakan "VirtualNetworkID" ke "principal.resource.product_object_id".
2023-04-06
- Peningkatan - Mendeklarasikan kolom "WAFRuleMessage", "WAFAction", "QueryType", "RayID", "Email" di tingkat global.
- Memetakan "metadata.event_type" sebagai "NETWORK_UNCATEGORIZED" dengan kolom "QueryName" dan "QueryNameReversed" null.
- Ditambahkan pada pemeriksaan error untuk kolom berikut: RData[n].type, RData[n].data, EdgeResponseBytes, ClientRequestBytes, EdgeResponseStatus.
- Menambahkan konversi string untuk kolom "SourcePort" dan "DestinationPort".
2022-10-10
- Penyempurnaan
- Memetakan "metadata.product_name" ke "Web Application Firewall".
- Memetakan "metadata.vendor_name" ke "Cloudflare".
2022-05-23
- Peningkatan untuk memetakan elemen log mentah berikut ke elemen UDM:
- Memetakan 'ClientASN' ke 'network.asn'.
- Memetakan 'ClientSSLCipher' ke 'network.tls.cipher'.
- Memetakan 'ClientSSLProtocol' ke 'network.tls.version'.
- Memetakan 'EdgeResponseContentType' ke 'target.file.mime_type'.
- Memetakan 'OriginIP' ke 'intermediary.ip'.
- Memetakan 'FirewallMatchesActions' ke 'security_result.action'.
- Memetakan 'FirewallMatchesRuleIDs' ke 'security_result.rule_id'.
- Memetakan 'FirewallMatchesSources' ke 'security_result.rule_name'.
- Memetakan 'WAFRuleID', 'WAFProfile' ke 'security_result.about.labels'.
- Memetakan 'CacheCacheStatus', 'CacheResponseBytes', 'CacheResponseStatus', 'ClientDeviceType', 'EdgeColoCode', 'EdgeColoID', 'OriginResponseBytes', 'OriginResponseStatus', 'OriginResponseTime', 'ZoneID' ke 'additional.fields'.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.