Raccogliere i log di Cloudflare

Supportato in:

Panoramica

Questo parser gestisce vari tipi di log di Cloudflare (DNS, HTTP, audit, Zero Trust, CASB). Innanzitutto, normalizza i campi comuni e poi applica la logica condizionale in base a campi specifici come QueryName, Action e ID per estrarre e mappare i dati pertinenti all'UDM. Esegue anche conversioni di tipo di dati, corrispondenze Grok per indirizzi IP e hash e gestisce i payload JSON nidificati.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso con privilegi a Google Cloud IAM.
  • Assicurati di disporre dell'accesso con privilegi a Google Cloud Storage.
  • Assicurati di disporre dell'accesso con privilegi a Cloudflare.

Crea un bucket Google Cloud Storage

  1. accedi alla console Google Cloud
  2. Vai alla pagina Bucket Cloud Storage.

    Vai a Bucket

  3. Fai clic su Crea.

  4. Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio che segue, fai clic su Continua per passare al passaggio successivo:

    1. Nella sezione Inizia:

      1. Inserisci un nome univoco che soddisfi i requisiti per i nomi dei bucket (ad esempio cloudflare-data).
      2. Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per i workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita uno spazio dei nomi gerarchico in questo bucket.
      1. Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.
      2. Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.
    2. Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:

      1. Seleziona un Tipo di località.
      2. Utilizza l'elenco a discesa del tipo di località per selezionare una località in cui verranno archiviati in modo permanente i dati degli oggetti all'interno del bucket.
        1. Se selezioni il tipo di località a due regioni, puoi anche scegliere di attivare la replica turbo utilizzando la casella di controllo pertinente.
      3. Per configurare la replica tra bucket, espandi la sezione Configura la replica tra bucket.
    3. Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket o Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.

    4. Nella sezione Scegli come controllare l'accesso agli oggetti, seleziona no per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.

    5. Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:

      1. Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
      2. Per scegliere la modalità di crittografia dei dati degli oggetti, fai clic sulla freccia di espansione etichettata Crittografia dei dati e seleziona un Metodo di crittografia dei dati.
  5. Fai clic su Crea.

Creare un account di servizio Google Cloud

  1. Vai a IAM e amministrazione > Account di servizio.
  2. Crea un nuovo account di servizio.
  3. Assegna un nome descrittivo (ad esempio cloudflare-logs).
  4. Concedi all'account di servizio il ruolo Creatore oggetti archiviazione nel bucket GCS creato nel passaggio precedente.
  5. Crea una chiave SSH per l'account di servizio.
  6. Scarica un file della chiave JSON per l'account di servizio. Mantieni al sicuro questo file.

Attivare l'IAM di Cloudflare per Google Cloud Storage

  1. Vai a Spazio di archiviazione > Browser > Bucket > Autorizzazioni.
  2. Aggiungi il membro logpush@cloudflare-data.iam.gserviceaccount.com con l'autorizzazione Amministratore oggetti Storage.

Configura un feed in Google SecOps per importare i log di Cloudflare

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuova.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log Cloudflare).
  4. Seleziona Google Cloud Storage come Tipo di origine.
  5. Seleziona Cloudflare come Tipo di log.
  6. Fai clic su Ottieni account di servizio come Account di servizio Chronicle.
  7. Fai clic su Avanti.
  8. Specifica i valori per i seguenti parametri di input:

    • URI del bucket di archiviazione: URL del bucket di archiviazione Google Cloud in formato gs://my-bucket/<value>.
    • L'URI è una: seleziona Directory che include sottodirectory.
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  9. Fai clic su Avanti.

  10. Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.

Configura Cloudflare per inviare i log a Google Cloud Storage

  1. Accedi alla dashboard di Cloudflare.
  2. Seleziona l'account o il dominio aziendale (noto anche come zona) da utilizzare con Logpush.
  3. Vai ad Analytics e log > Logpush.
  4. Seleziona il job Crea un job Logpush.
  5. In Seleziona una destinazione, seleziona Google Cloud Storage.
  6. Inserisci o seleziona i seguenti dettagli della destinazione:

    • Bucket: nome del bucket GCS
    • Percorso: posizione del bucket all'interno del contenitore di archiviazione
    • Casella di controllo: organizza i log in sottocartelle giornaliere (opzione consigliata)
  7. Fai clic su Continua.

  8. Verifica della proprietà:

    1. Cloudflare invierà un file al tuo bucket.
    2. Copia e incolla il token:
      1. Accedi alla console Google Cloud > Storage > Bucket Cloudflare.
      2. Apri il file della contestazione della proprietà.
      3. Copia il token di proprietà.
      4. Inserisci il token di proprietà nella console Cloudflare.
      5. Seleziona Continua.
    3. Seleziona il set di dati da inviare al bucket.
  9. Configura il job logpush:

    1. Inserisci il nome del job.
    2. In Se i log corrispondono, puoi selezionare gli eventi da includere e/o rimuovere dai log.
    1. Invia i seguenti campi: seleziona Invia tutti i log o scegli in modo selettivo i log da inviare.
  10. Seleziona Invia per finalizzare la configurazione.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
AccountID target.resource.id, target.resource.product_object_id L'ID account associato all'evento.
Action security_result.action Azione intrapresa in base all'evento. allow o allowed* restituisce ALLOW. unknown genera UNKNOWN_ACTION. Gli altri valori generano BLOCK. Per i log di accesso, login corrisponde a USER_LOGIN, logout a USER_LOGOUT e altri valori a USER_RESOURCE_ACCESS se è presente un'email.
ActionResult security_result.action Se true, mappa a ALLOW. Se false, mappa a BLOCK. In caso contrario, viene mappato a UNKNOWN_ACTION.
ActionType security_result.description Descrizione dell'azione eseguita.
ActorEmail principal.user.email_addresses Indirizzo email dell'attore che avvia l'evento.
ActorID principal.user.product_object_id ID dell'attore che avvia l'evento.
ActorIP principal.ip, principal.asset.ip Indirizzo IP dell'attore che avvia l'evento.
Allowed security_result.action Se true, mappa a ALLOW. In caso contrario, viene mappato a BLOCK.
AppDomain target.administrative_domain Dominio dell'applicazione coinvolta nell'evento.
AppUUID target.resource.product_object_id UUID dell'applicazione coinvolta nell'evento.
AssetDisplayName principal.asset.attribute.labels.value dove la chiave è AssetDisplayName Nome visualizzato della risorsa.
AssetExternalID principal.asset_id (con il prefisso "Cloudflare:") ID esterno della risorsa.
AssetLink principal.url Link associato alla risorsa.
AssetMetadata.agreedToTerms principal.user.attribute.labels.value dove la chiave è agreedToTerms Indica se l'utente ha accettato i termini.
AssetMetadata.changePasswordAtNextLogin principal.user.attribute.labels.value dove la chiave è changePasswordAtNextLogin Indica se l'utente deve cambiare la password al successivo accesso.
AssetMetadata.clientId principal.user.userid L'ID cliente dai metadati della risorsa.
AssetMetadata.customerId principal.user.userid L'ID cliente contenuto nei metadati della risorsa.
AssetMetadata.familyName principal.user.last_name Cognome dell'utente dai metadati della risorsa.
AssetMetadata.givenName principal.user.first_name Nome dell'utente dai metadati della risorsa.
AssetMetadata.includeInGlobalAddressList principal.user.attribute.labels.value dove la chiave è includeInGlobalAddressList Se l'utente è incluso nell'elenco indirizzi globale.
AssetMetadata.ipWhitelisted principal.user.attribute.labels.value dove la chiave è ipWhitelisted Indica se l'utente è presente nella lista bianca degli IP.
AssetMetadata.isAdmin principal.user.attribute.labels.value dove la chiave è isAdmin Indica se l'utente è un amministratore.
AssetMetadata.isDelegatedAdmin principal.user.attribute.labels.value dove la chiave è isDelegatedAdmin Indica se l'utente è un amministratore delegato.
AssetMetadata.isEnforcedIn2Sv principal.user.attribute.labels.value dove la chiave è isEnforcedIn2Sv Indica se la verifica in due passaggi è impostata come obbligatoria per l'utente.
AssetMetadata.isEnrolledIn2Sv principal.user.attribute.labels.value dove la chiave è isEnrolledIn2Sv Indica se l'utente è registrato alla verifica in due passaggi.
AssetMetadata.kind (Non mappato) Non mappato all'oggetto IDM.
AssetMetadata.lastLoginTime principal.user.attribute.labels.value dove la chiave è lastLoginTime Data e ora dell'ultimo accesso dell'utente.
AssetMetadata.login principal.user.userid Nome utente dai metadati della risorsa.
AssetMetadata.name.familyName principal.user.last_name Il cognome contenuto nei metadati della risorsa.
AssetMetadata.name.fullName principal.user.user_display_name Nome completo contenuto nei metadati della risorsa.
AssetMetadata.name.givenName principal.user.first_name Nome proprio dai metadati della risorsa.
AssetMetadata.nativeApp security_result.detection_fields.value dove la chiave è nativeApp Indica se l'app è nativa.
AssetMetadata.owner.id principal.user.userid ID proprietario dai metadati della risorsa.
AssetMetadata.primaryEmail principal.user.email_addresses Indirizzo email principale dai metadati della risorsa.
AssetMetadata.scopes (Non mappato) Non mappato all'oggetto IDM.
AssetMetadata.site_admin principal.user.attribute.labels.value dove la chiave è site_admin Indica se l'utente è un amministratore del sito.
AssetMetadata.suspended principal.user.attribute.labels.value dove la chiave è suspended Indica se l'utente è sospeso.
AssetMetadata.url principal.url URL dai metadati della risorsa.
AssetMetadata.userKey principal.user.attribute.labels.value dove la chiave è userKey Chiave utente dai metadati della risorsa.
BlockedFileHash target.file.md5, target.file.sha1, target.file.sha256 Hash del file bloccato. Analizzati utilizzando grok per estrarre md5, sha1 o sha256.
BlockedFileName security_result.about.file.full_path Nome del file bloccato.
BlockedFileReason security_result.summary Motivo del blocco del file.
BlockedFileSize target.file.size Dimensioni del file bloccato.
BotScore security_result.detection_fields.value dove la chiave è BotScore Punteggio del bot assegnato alla richiesta.
BytesReceived network.received_bytes Numero di byte ricevuti.
BytesSent network.sent_bytes Numero di byte inviati.
CacheCacheStatus additional.fields.value.string_value dove la chiave è CacheCacheStatus Stato della cache.
CacheResponseBytes additional.fields.value.string_value dove la chiave è CacheResponseBytes Numero di byte nella risposta memorizzata nella cache.
CacheResponseStatus additional.fields.value.string_value dove la chiave è CacheResponseStatus Codice di stato della risposta memorizzata nella cache.
ClientASN (Non mappato) Non mappato all'oggetto IDM.
ClientCountry principal.location.country_or_region Il paese del cliente.
ClientDeviceType additional.fields.value.string_value dove la chiave è ClientDeviceType Tipo di dispositivo client.
ClientIP principal.ip, principal.asset.ip Indirizzo IP del client.
ClientRequestMethod network.http.method Metodo di richiesta HTTP utilizzato dal client.
ClientRequestHost target.hostname, target.asset.hostname Nome host richiesto dal cliente.
ClientRequestPath (Non mappato) Non mappato all'oggetto IDM.
ClientRequestProtocol network.application_protocol Protocollo utilizzato nella richiesta del client (ad es. HTTP, HTTPS). La versione del protocollo viene rimossa.
ClientRequestReferer network.http.referral_url URL referrer della richiesta del client.
ClientRequestURI target.url (combinato con ClientRequestHost, se presente) URI richiesto dal client.
ClientRequestUserAgent network.http.user_agent User agent della richiesta del client. Inoltre, viene analizzato e mappato a network.http.parsed_user_agent.
ClientSSLCipher network.tls.cipher Cifrario SSL utilizzato dal client.
ClientSSLProtocol network.tls.version Protocollo SSL utilizzato dal client.
ClientSrcPort principal.port Porta di origine del client.
ClientTCPHandshakeDurationMs additional.fields.value.string_value dove la chiave è ClientTCPHandshakeDurationMs Durata del handshake TCP del client.
ClientTLSHandshakeDurationMs additional.fields.value.string_value dove la chiave è ClientTLSHandshakeDurationMs Durata dell'handshake TLS del client.
ClientTLSVersion network.tls.version La versione TLS utilizzata dal client.
ColoID (Non mappato) Non mappato all'oggetto IDM.
Connection target.resource.attribute.labels.value dove la chiave è Connection Tipo di connessione (ad es. saml).
ConnectionCloseReason additional.fields.value.string_value dove la chiave è ConnectionCloseReason Motivo della chiusura della connessione.
ConnectionReuse additional.fields.value.string_value dove la chiave è ConnectionReuse Indica se si è verificato il riutilizzo della connessione.
Country target.location.country_or_region Paese associato all'evento.
CreatedAt metadata.event_timestamp Timestamp della creazione dell'evento.
Datetime metadata.event_timestamp Data e ora dell'evento.
DestinationIP target.ip, target.asset.ip Indirizzo IP di destinazione.
DestinationPort target.port Porta di destinazione.
DestinationTunnelID additional.fields.value.string_value dove la chiave è DestinationTunnelID ID del tunnel di destinazione.
DeviceID principal.asset_id (con il prefisso "Cloudflare:") ID del dispositivo.
DeviceName principal.hostname, principal.asset.hostname, principal.asset.attribute.labels.value dove la chiave è DeviceName Nome del dispositivo.
DownloadedFileNames security_result.about.labels.value dove la chiave è DownloadFileNames Nomi dei file scaricati.
DstIP target.ip, target.asset.ip Indirizzo IP di destinazione.
DstPort target.port Porta di destinazione.
EdgeColoCode additional.fields.value.string_value dove la chiave è EdgeColoCode Codice della posizione della piattaforma di edge Cloudflare.
EdgeColoID additional.fields.value.string_value dove la chiave è EdgeColoID ID posizione edge di Cloudflare.
EdgeEndTimestamp (Non mappato) Non mappato all'oggetto IDM.
EdgeResponseBytes network.received_bytes Numero di byte nella risposta dall'edge.
EdgeResponseContentType target.file.mime_type Tipo di contenuti della risposta dell'edge.
EdgeResponseStatus network.http.response_code Codice di stato della risposta dell'edge.
EdgeServerIP target.ip, target.asset.ip Indirizzo IP del server edge.
EdgeStartTimestamp metadata.event_timestamp Timestamp dell'inizio della richiesta all'edge.
Email principal.user.email_addresses, target.user.email_addresses Indirizzo email associato all'evento.
EgressColoName additional.fields.value.string_value dove la chiave è EgressColoName Nome del colo di uscita.
EgressIP principal.ip, principal.asset.ip Indirizzo IP in uscita. Imposta network.direction su OUTBOUND.
EgressPort principal.port Porta di uscita.
EgressRuleID additional.fields.value.string_value dove la chiave è EgressRuleID ID della regola in uscita.
EgressRuleName additional.fields.value.string_value dove la chiave è EgressRuleName Nome della regola in uscita.
FindingTypeDisplayName security_result.description Nome visualizzato del tipo di risultato.
FindingTypeID security_result.rule_id ID del tipo di risultato.
FindingTypeSeverity security_result.severity Gravità del tipo di risultato.
FirewallMatchesActions security_result.action Azioni intraprese dalle regole del firewall. allow, Allow, ALLOW, skip, SKIP, Skip mappati a ALLOW. challengeSolved e jschallengeSolved corrispondono a ALLOW_WITH_MODIFICATION. drop e block corrispondono a BLOCK. Gli altri valori vengono mappati a UNKNOWN_ACTION.
FirewallMatchesRuleIDs security_result.rule_id (per il primo ID), gli ID successivi creano nuovi oggetti security_result. ID delle regole firewall che hanno dato una corrispondenza.
FirewallMatchesSources security_result.rule_name Origini delle regole firewall corrispondenti.
HTTPHost target.hostname Host HTTP.
HTTPMethod network.http.method Metodo HTTP.
HTTPVersion network.application_protocol Se il valore contiene "HTTP", imposta network.application_protocol su HTTP.
ID metadata.product_log_id ID dell'evento.
IngressColoName additional.fields.value.string_value dove la chiave è IngressColoName Nome della colonna di ingresso.
InstanceID principal.resource.product_object_id ID dell'istanza.
IntegrationDisplayName additional.fields.value.string_value dove la chiave è IntegrationDisplayName Nome visualizzato dell'integrazione.
IntegrationID metadata.product_deployment_id ID dell'integrazione.
IntegrationPolicyVendor additional.fields.value.string_value dove la chiave è IntegrationPolicyVendor Fornitore del criterio di integrazione.
IPAddress target.ip, target.asset.ip Indirizzo IP associato all'evento.
IsIsolated about.labels.value dove la chiave è IsIsolated, security_result.about.resource.attribute.labels.value dove la chiave è IsIsolated Se l'evento è isolato.
Location principal.location.name Posizione associata all'evento.
NewValue security_result.about.labels.value dove la chiave è NewValue Nuovo valore dopo un aggiornamento.
Offramp additional.fields.value.string_value dove la chiave è Offramp Offramp utilizzato nella connessione.
OldValue security_result.about.labels.value dove la chiave è OldValue Valore precedente prima di un aggiornamento.
OriginIP intermediary.ip, target.ip, target.asset.ip Indirizzo IP di origine.
OriginPort target.port Porta di origine.
OriginResponseBytes additional.fields.value.string_value dove la chiave è OriginResponseBytes Numero di byte nella risposta dell'origine.
OriginResponseStatus additional.fields.value.string_value dove la chiave è OriginResponseStatus Codice di stato della risposta dell'origine.
OriginResponseTime additional.fields.value.string_value dove la chiave è OriginResponseTime Tempo di risposta dell'origine.
OriginSSLProtocol (Non mappato) Non mappato all'oggetto IDM.
OriginTLSCertificateIssuer additional.fields.value.string_value dove la chiave è OriginTLSCertificateIssuer Emittente del certificato TLS di origine.
OriginTLSCertificateValidationResult additional.fields.value.string_value dove la chiave è OriginTLSCertificateValidationResult Risultato della convalida del certificato TLS di origine.
OriginTLSCipher additional.fields.value.string_value dove la chiave è OriginTLSCipher Algoritmo di crittografia utilizzato nella connessione TLS di origine.
OriginTLSHandshakeDurationMs additional.fields.value.string_value dove la chiave è OriginTLSHandshakeDurationMs Durata dell'handshake TLS di origine.
OriginTLSVersion additional.fields.value.string_value dove la chiave è OriginTLSVersion Versione TLS utilizzata dall'origine.
OwnerID target.user.product_object_id ID del proprietario.
Policy security_result.rule_name Norme associate all'evento.
PolicyID security_result.rule_id ID del criterio.
PolicyName security_result.rule_name Nome del criterio.
Protocol network.application_protocol, network.ip_protocol Protocollo utilizzato nella connessione. Se non "tls" o "TLS", viene convertito in lettere maiuscole e mappato a network.application_protocol. In caso contrario, viene analizzato utilizzando un file include e mappato a network.ip_protocol.
PurposeJustificationPrompt (Non mappato) Non mappato all'oggetto IDM.
PurposeJustificationResponse (Non mappato) Non mappato all'oggetto IDM.
QueryCategoryIDs security_result.about.labels.value, security_result.about.resource.attribute.labels.value dove la chiave è QueryCategoryIDs ID delle categorie di query.
QueryName network.dns.questions.name Nome della query DNS. Imposta metadata.event_type su NETWORK_DNS e network.application_protocol su DNS.
QueryNameReversed network.dns.questions.name Nome invertito della query DNS.
QuerySize network.sent_bytes Dimensioni della query.
QueryType network.dns.questions.type Tipo di query DNS. Mappato a valori numerici in base ai codici di tipo di query DNS.
RData network.dns.answers.type, network.dns.answers.data Dati del record DNS. Ogni elemento dell'array RData crea un nuovo oggetto answer.
RayID metadata.product_log_id L'ID Ray associato alla richiesta.
Referer network.http.referral_url URL del referrer.
RequestID metadata.product_log_id ID della richiesta.
ResolverDecision security_result.summary Decisione presa dal risolutore.
ResourceID target.resource.id, target.resource.product_object_id ID della risorsa.
ResourceType target.resource.resource_subtype Tipo di risorsa.
RuleEvaluationDurationMs additional.fields.value.string_value dove la chiave è RuleEvaluationDurationMs Durata della valutazione delle regole.
SNI network.tls.client.server_name Indicazione nome server (SNI) nel messaggio di saluto del client TLS.
SecurityAction security_result.action Azione di sicurezza intrapresa. Valore vuoto o nessun SecurityAction mappato a ALLOW. challengeSolved o jschallengeSolved corrisponde a ALLOW_WITH_MODIFICATION. drop o block corrisponde a BLOCK.
SecurityLevel security_result.severity Livello di sicurezza. high corrisponde a HIGH, med a MEDIUM e low a LOW.
SessionEndTime additional.fields.value.string_value dove la chiave è SessionEndTime Ora di fine della sessione.
SessionID network.session_id ID della sessione.
SessionStartTime metadata.event_timestamp Ora di inizio della sessione.
SourceIP principal.ip, principal.asset.ip, src.ip, src.asset.ip Indirizzo IP di origine.
SourcePort principal.port, src.port Porta di origine.
SrcIP principal.ip, principal.asset.ip Indirizzo IP di origine.
SrcPort principal.port Porta di origine.
TemporaryAccessDuration network.session_duration.seconds Durata dell'accesso temporaneo.
Timestamp metadata.event_timestamp Timestamp dell'evento.
Transport network.ip_protocol Protocollo di trasporto. Convertito in lettere maiuscole e analizzato utilizzando un file include.
UploadedFileNames security_result.about.labels.value dove la chiave è UploadedFileNames Nomi dei file caricati.
URL target.url URL coinvolto nell'evento.
UserAgent network.http.user_agent Stringa dello user agent. Inoltre, viene analizzato e mappato a network.http.parsed_user_agent.
UserID principal.user.product_object_id, event.idm.read_only_udm.target.user.product_object_id ID dell'utente.
UserUID target.user.product_object_id UID dell'utente.
VirtualNetworkID principal.resource.product_object_id ID della rete virtuale.
WAFAction security_result.about.labels.value dove la chiave è WAFAction Azione intrapresa dal web application firewall (WAF).
WAFAttackScore security_result.about.resource.attribute.labels.value dove la chiave è WAFAttackScore Punteggio di attacco assegnato dal WAF.
WAFFlags security_result.about.resource.attribute.labels.value dove la chiave è WAFFlags Flag WAF.
WAFMatchedVar (Non mappato) Non mappato all'oggetto IDM.
WAFProfile security_result.about.labels.value dove la chiave è WAFProfile Profilo WAF.
WAFRCEAttackScore security_result.about.resource.attribute.labels.value dove la chiave è WAFRCEAttackScore Punteggio dell'attacco di esecuzione di codice remoto (RCE) del WAF.
WAFRuleID security_result.threat_id, security_result.about.labels.value dove la chiave è WAFRuleID ID della regola WAF.
WAFRuleMessage security_result.rule_name, security_result.threat_name Messaggio associato alla regola WAF.
WAFSQLiAttackScore security_result.about.resource.attribute.labels.value dove la chiave è WAFSQLiAttackScore Punteggio dell'attacco SQL injection del WAF.
WAFXSSAttackScore security_result.about.resource.attribute.labels.value dove la chiave è WAFXSSAttackScore Punteggio dell'attacco di cross-site scripting (XSS) del WAF.
ZoneID additional.fields.value.string_value dove la chiave è ZoneID ID zona.
event.idm.read_only_udm.metadata.event_type metadata.event_type Tipo di evento. Impostato dall'analizzatore in base ai dati dei log. Se non è impostato o se un evento NETWORK_DNS non ha un principale o un target, il valore predefinito è GENERIC_EVENT. Può essere NETWORK_DNS, NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_RESOURCE_UPDATE_CONTENT o GENERIC_EVENT.
event.idm.read_only_udm.metadata.log_type metadata.log_type Tipo di log, impostato su "CLOUDFLARE".
event.idm.read_only_udm.metadata.product_deployment_id metadata.product_deployment_id ID di deployment del prodotto.
event.idm.read_only_udm.metadata.product_log_id metadata.product_log_id ID log del prodotto.
event.idm.read_only_udm.metadata.product_name metadata.product_name Nome del prodotto. Impostato dall'analizzatore in base ai dati dei log. Può essere "Cloudflare Gateway DNS", "Cloudflare Gateway HTTP", "Cloudflare Audit", "Web Application Firewall".
event.idm.read_only_udm.metadata.vendor_name metadata.vendor_name Nome del fornitore, impostato su "Cloudflare".
event.idm.read_only_udm.metadata.event_timestamp metadata.event_timestamp Timestamp dell'evento.
event.idm.read_only_udm.network.application_protocol network.application_protocol Protocollo di applicazione utilizzato nella connessione di rete.
event.idm.read_only_udm.network.direction network.direction Direzione della connessione di rete. Impostato su OUTBOUND quando sono presenti EgressIP e SourceIP.
event.idm.read_only_udm.network.dns.answers network.dns.answers Risposte DNS.
event.idm.read_only_udm.network.dns.questions network.dns.questions Domande sul DNS.
event.idm.read_only_udm.network.http.method network.http.method Metodo HTTP.
event.idm.read_only_udm.network.http.parsed_user_agent network.http.parsed_user_agent User agent analizzato.
event.idm.read_only_udm.network.http.referral_url network.http.referral_url URL del referral HTTP.
event.idm.read_only_udm.network.http.response_code network.http.response_code Codice di risposta HTTP.
event.idm.read_only_udm.network.http.user_agent network.http.user_agent User agent HTTP.
event.idm.read_only_udm.network.ip_protocol network.ip_protocol Protocollo IP.
event.idm.read_only_udm.network.received_bytes network.received_bytes Numero di byte ricevuti.
event.idm.read_only_udm.network.sent_bytes network.sent_bytes Numero di byte inviati.
event.idm.read_only_udm.network.session_duration.seconds network.session_duration.seconds Durata della sessione di rete in secondi.
event.idm.read_only_udm.network.session_id network.session_id ID sessione di rete.
event.idm.read_only_udm.network.tls.cipher network.tls.cipher Suite di crittografia TLS.
event.idm.read_only_udm.network.tls.client.server_name network.tls.client.server_name Nome del server client TLS.
event.idm.read_only_udm.network.tls.version network.tls.version Versione TLS.
event.idm.read_only_udm.principal.asset.attribute.labels principal.asset.attribute.labels Etichette associate alla risorsa principale.
event.idm.read_only_udm.principal.asset.hostname principal.asset.hostname Nome host della risorsa principale.
event.idm.read_only_udm.principal.asset.ip principal.asset.ip Indirizzo IP della risorsa principale.
event.idm.read_only_udm.principal.asset_id principal.asset_id ID della risorsa principale.
event.idm.read_only_udm.principal.hostname principal.hostname Nome host dell'entità.
event.idm.read_only_udm.principal.ip principal.ip Indirizzo IP dell'entità.
event.idm.read_only_udm.principal.location.country_or_region principal.location.country_or_region Paese o regione in cui si trova il principale.
event.idm.read_only_udm.principal.location.name principal.location.name Nome della sede del principale.
event.idm.read_only_udm.principal.port principal.port Porta utilizzata dal principale.
event.idm.read_only_udm.principal.resource.product_object_id principal.resource.product_object_id ID oggetto prodotto della risorsa del principale.
event.idm.read_only_udm.principal.url principal.url URL associato al principale.
event.idm.read_only_udm.principal.user.attribute.labels principal.user.attribute.labels Etichette associate all'utente principale.
event.idm.read_only_udm.principal.user.email_addresses principal.user.email_addresses Indirizzi email dell'utente principale.
event.idm.read_only_udm.principal.user.first_name principal.user.first_name Nome dell'utente principale.
event.idm.read_only_udm.principal.user.last_name principal.user.last_name Cognome dell'utente principale.
event.idm.read_only_udm.principal.user.product_object_id principal.user.product_object_id ID oggetto prodotto dell'utente principale.
event.idm.read_only_udm.principal.user.userid principal.user.userid ID utente dell'utente principale.
event.idm.read_only_udm.principal.user.user_display_name principal.user.user_display_name Nome visualizzato dell'utente principale.
event.idm.read_only_udm.src.asset.ip src.asset.ip Indirizzo IP della risorsa di origine.
event.idm.read_only_udm.src.ip src.ip Indirizzo IP dell'origine.
event.idm.read_only_udm.src.port src.port Porta dell'origine.
event.idm.read_only_udm.target.administrative_domain target.administrative_domain Dominio amministrativo della destinazione.
event.idm.read_only_udm.target.asset.hostname target.asset.hostname Nome host della risorsa di destinazione.
event.idm.read_only_udm.target.asset.ip target.asset.ip Indirizzo IP della risorsa di destinazione.
event.idm.read_only_udm.target.file.mime_type target.file.mime_type Tipo MIME del file di destinazione.
event.idm.read_only_udm.target.file.md5 target.file.md5 Hash MD5 del file di destinazione.
event.idm.read_only_udm.target.file.sha1 target.file.sha1 Hash SHA1 del file di destinazione.
event.idm.read_only_udm.target.file.sha256 target.file.sha256 Hash SHA256 del file di destinazione.
event.idm.read_only_udm.target.file.size target.file.size Dimensioni del file di destinazione.
event.idm.read_only_udm.target.hostname target.hostname Nome host della destinazione.
event.idm.read_only_udm.target.ip target.ip Indirizzo IP della destinazione.
event.idm.read_only_udm.target.location.country_or_region target.location.country_or_region Paese o regione della località del target.
event.idm.read_only_udm.target.port target.port Porta del target.
event.idm.read_only_udm.target.resource.attribute.labels target.resource.attribute.labels Etichette associate alla risorsa di destinazione.
event.idm.read_only_udm.target.resource.id target.resource.id ID della risorsa di destinazione.
event.idm.read_only_udm.target.resource.product_object_id target.resource.product_object_id ID oggetto prodotto della risorsa di destinazione.
event.idm.read_only_udm.target.resource.resource_subtype target.resource.resource_subtype Sottotipo della risorsa target.
event.idm.read_only_udm.target.url target.url URL della destinazione.
event.idm.read_only_udm.target.user.email_addresses target.user.email_addresses Indirizzi email dell'utente di destinazione.
event.idm.read_only_udm.target.user.product_object_id target.user.product_object_id ID oggetto prodotto dell'utente di destinazione.
event.idm.read_only_udm.security_result.about.file.full_path security_result.about.file.full_path Percorso completo del file coinvolto nel risultato di sicurezza.
event.idm.read_only_udm.security_result.about.labels security_result.about.labels Etichette associate al risultato di sicurezza.
event.idm.read_only_udm.security_result.about.resource.attribute.labels security_result.about.resource.attribute.labels Etichette associate alla risorsa nel risultato di sicurezza.
event.idm.read_only_udm.security_result.action security_result.action Azione intrapresa nel risultato di sicurezza.
event.idm.read_only_udm.security_result.detection_fields security_result.detection_fields Campi di rilevamento nel risultato di sicurezza.
event.idm.read_only_udm.security_result.description security_result.description Descrizione del risultato di sicurezza.
event.idm.read_only_udm.security_result.rule_id security_result.rule_id ID regola del risultato di sicurezza.
event.idm.read_only_udm.security_result.rule_name security_result.rule_name Nome della regola del risultato di sicurezza.
event.idm.read_only_udm.security_result.severity security_result.severity Gravità del risultato di sicurezza.
event.idm.read_only_udm.security_result.summary security_result.summary Riepilogo del risultato della sicurezza.
event.idm.read_only_udm.security_result.threat_id security_result.threat_id ID minaccia del risultato di sicurezza.
event.idm.read_only_udm.security_result.threat_name security_result.threat_name Nome della minaccia del risultato di sicurezza.
event.idm.read_only_udm.extensions.auth.type extensions.auth.type Tipo di autenticazione. Impostato su MACHINE per gli eventi di accesso e disconnessione.
event.idm.read_only_udm.about about Informazioni.
event.idm.read_only_udm.additional.fields additional.fields Campi aggiuntivi.
event.idm.read_only_udm.intermediary intermediary Informazioni sull'intermediario.

Modifiche

2024-02-19

  • Correzione di bug:
  • Se non sono presenti dati della macchina principale e di destinazione, "metadata.event_type" viene mappato a "GENERIC_EVENT".
  • Quando il campo "Data e ora" non è presente e il campo "Timestamp" è presente, mappa "Timestamp" a "metadata.event_timestamp".
  • "ClientIP" è stato mappato a "principal.ip".
  • "RayID" è stato mappato a "metadata.product_log_id".
  • "EdgeResponseStatus" è stato mappato a "network.http.response_code".
  • "ClientRequestMethod" è stato mappato a "network.http.method".
  • "ClientRequestURI" è stato mappato a "target.uri".
  • "ClientRequestHost" è stato mappato a "target.hostname".

2024-01-31

  • "BotScore" è stato mappato a "security_result.detection_fields".
  • Mappature "principal.hostname", "target.hostname", "principal.asset.hostname" e "target.asset.hostname" allineate.
  • Mappature "principal.ip", "target.ip", "principal.asset.ip" e "target.asset.ip" allineate.

2024-01-08

  • Quando "Azione" contiene "consenti", imposta "security_result.action" su "ALLOW".
  • È stata aggiunta la mappatura di "DeviceName" a "principal.hostname", "principal.asset.hostname".
  • È stata aggiunta la mappatura di "SourceIP" a "principal.ip" per i log DNS.
  • È stato aggiunto un controllo condizionale nullo prima della mappatura di "principal" a "event.idm.read_only_udm.principal".
  • È stato aggiunto un controllo condizionale nullo prima della mappatura di "target" a "event.idm.read_only_udm.target".

2023-11-22

  • "WAFRuleID" è stato mappato a "security_result.threat_id".
  • "WAFRuleMessage" è stato mappato a "security_result.threat_name".
  • Sono stati mappati "WAFRCEAttackScore", "WAFSQLiAttackScore", "WAFXSSAttackScore", "WAFAttackScore", "WAFFlags" a "security_result.about.resource.attribute.labels".

2023-10-09

  • Quando il valore "SecurityAction" è nullo o non è presente, imposta "security_result.action" su "ALLOW".

2023-09-26

  • Mappature modificate dall'utilizzo di campi UDM obsoleti a campi alternativi.
  • È stata aggiunta la mappatura da "security_result.about.labels" a "security_result.about.resource.attribute.labels".
  • È stata aggiunta la mappatura da "about.labels" a "security_result.about.resource.attribute.labels".
  • È stata aggiunta la mappatura da "target.resource.id" a "target.resource.product_object_id".

2023-04-25

  • Miglioramento per mappare i seguenti campi dei log non elaborati ai campi UDM:
  • Sono stati inizializzati su valori null "EdgeStartTimestamp", "ClientIP", "ClientRequestHost", "ClientRequestURI", "ClientRequestMethod", "Datetime", "ActorEmail" e "ActorIP".
  • "AssetExternalID" è stato mappato a "principal.asset_id".
  • "AssetDisplayName" è stato mappato a "principal.asset.attribute.labels".
  • "AssetLink" è stato mappato a "principal.url".
  • "AssetMetadata.userKey" è stato mappato a "principal.user.attribute.labels".
  • "AssetMetadata.clientId" è stato mappato a "principal.user.userid".
  • "AssetMetadata.anonymous" è stato mappato a "security_result.detection_fields".
  • "AssetMetadata.nativeApp" è stato mappato a "security_result.detection_fields".
  • "DetectedTimestamp" è stato mappato a "metadata.event_timestamp".
  • "FindingTypeDisplayName" è stato mappato a "security_result.description".
  • "FindingTypeID" è stato mappato a "security_result.rule_id".
  • "FindingTypeSeverity" è stato mappato a "security_result.severity".
  • "InstanceID" è stato mappato a "principal.resource.product_object_id".
  • "IntegrationDisplayName" è stato mappato a "additional.fields".
  • "IntegrationID" è stato mappato a "metadata.product_deployment_id".
  • "IntegrationPolicyVendor" è stato mappato a "additional.fields".
  • "AssetMetadata.customerId" è stato mappato a "principal.user.userid".
  • "AssetMetadata.primaryEmail" è stato mappato a "principal.user.email_addresses".
  • È stata mappata la colonna "AssetMetadata.agreedToTerms" alla colonna "principal.user.attribute.labels".
  • È stata mappata la colonna "AssetMetadata.ipWhitelisted" alla colonna "principal.user.attribute.labels".
  • "AssetMetadata.lastLoginTime" è stato mappato a "principal.user.attribute.labels".
  • È stata eseguita la mappatura di "AssetMetadata.isEnforcedIn2Sv" a "principal.user.attribute.labels".
  • "AssetMetadata.isEnrolledIn2Sv" è stato mappato a "principal.user.attribute.labels".
  • "AssetMetadata.isDelegatedAdmin" è stato mappato a "principal.user.attribute.labels".
  • È stata mappata la proprietà "AssetMetadata.changePasswordAtNextLogin" a "principal.user.attribute.labels".
  • "AssetMetadata.includeInGlobalAddressList" è stato mappato a "principal.user.attribute.labels".
  • "AssetMetadata.isAdmin" è stato mappato a "principal.user.attribute.labels".
  • "AssetMetadata.suspended" è stato mappato a "principal.user.attribute.labels".
  • "AssetMetadata.url" è stato mappato a "principal.url".
  • "AssetMetadata.site_admin" è stato mappato a "principal.user.attribute.labels".
  • "AssetMetadata.login" è stato mappato a "principal.user.userid".
  • "AssetMetadata.owner.id" è stato mappato a "principal.user.userid".
  • "AssetMetadata.name.fullName" è stato mappato a "principal.user.user_display_name".
  • "AssetMetadata.name.givenName" è stato mappato a "principal.user.first_name".
  • "AssetMetadata.name.familyName" è stato mappato a "principal.user.last_name".
  • "Consentito" è stato mappato a "security_result.action".
  • "AppDomain" è stato mappato a "target.administrative_domain".
  • "AppUUID" è stato mappato a "target.resource.product_object_id".
  • "Connessione" è stato mappato a "target.resource.attribute.labels".
  • "Paese" è stato mappato a "target.location.country_or_region".
  • "CreatedAt" è stato mappato a "metadata.event_timestamp".
  • "IPAddress" è stato mappato a "target.ip".
  • "RayID" è stato mappato a "metadata.product_log_id".
  • "Email" è stato mappato a "principal.user.email_addresses" e "target.user.email_addresses".
  • "TemporaryAccessDuration" è stato mappato a "network.session_duration.seconds".
  • "UserUID" è stato mappato a "target.user.product_object_id".
  • "UserAgent" è stato mappato a "network.http.parsed_user_agent".
  • "ClientRequestUserAgent" è stato mappato a "network.http.parsed_user_agent".
  • "PolicyName" è stato mappato a "security_result.rule_name".
  • "SessionID" è stato mappato a "network.session_id".
  • "Trasporto" è stato mappato a "network.ip_protocol".
  • "SNI" è stato mappato a "tls.client.server_name".
  • "DeviceName" è stato mappato a "principal.asset.attribute.labels".
  • "BytesReceived" è stato mappato a "network.received_bytes".
  • "BytesSent" è stato mappato a "network.sent_bytes".
  • "Protocollo" è stato mappato a "network.ip_protocol".
  • "ClientTCPHandshakeDurationMs" è stato mappato a "additional.fields".
  • "ClientTLSCipher" è stato mappato a "network.tls.cipher".
  • "ClientTLSHandshakeDurationMs" è stato mappato a "additional.fields".
  • "ClientTLSVersion" è stato mappato a "network.tls.version".
  • "ConnectionCloseReason" è stato mappato a "additional.fields".
  • "ConnectionReuse" è stato mappato a "additional.fields".
  • "DestinationTunnelID" è stato mappato a "additional.fields".
  • "EgressIP" è stato mappato a "principal.ip".
  • "EgressPort" è stato mappato a "principal.port".
  • "EgressRuleID" è stato mappato a "additional.fields".
  • "EgressRuleName" è stato mappato a "additional.fields".
  • "IngressColoName" è stato mappato a "additional.fields".
  • "Offramp" è stato mappato a "additional.fields".
  • "OriginIP" è stato mappato a "target.ip".
  • "OriginPort" è stato mappato a "target.port".
  • "OriginTLSCertificateIssuer" è stato mappato a "additional.fields".
  • "OriginTLSCertificateValidationResult" è stato mappato a "additional.fields".
  • "OriginTLSCipher" è stato mappato a "additional.fields".
  • "OriginTLSHandshakeDurationMs" è stato mappato a "additional.fields".
  • "OriginTLSVersion" è stato mappato a "additional.fields".
  • "RuleEvaluationDurationMs" è stato mappato a "additional.fields".
  • "SessionEndTime" è stato mappato a "additional.fields".
  • "SessionStartTime" è stato mappato a "metadata.event_timestamp".
  • "SourceIP" è stato mappato a "src.ip".
  • "SourcePort" è stato mappato a "src.port".
  • "UserID" è stato mappato a "principal.user.product_object_id".
  • "VirtualNetworkID" è stato mappato a "principal.resource.product_object_id".

2023-04-06

  • Miglioramento: sono stati dichiarati i campi "WAFRuleMessage", "WAFAction", "QueryType", "RayID", "Email" a livello globale.
  • "metadata.event_type" è stato mappato come "NETWORK_UNCATEGORIZED" se i campi "QueryName" e "QueryNameReversed" sono null.
  • Sono stati aggiunti controlli degli errori per i seguenti campi: RData[n].type, RData[n].data, EdgeResponseBytes, ClientRequestBytes, EdgeResponseStatus.
  • È stata aggiunta la conversione di stringhe per i campi "SourcePort" e "DestinationPort".

2022-10-10

  • Miglioramento
  • "metadata.product_name" è stato mappato a "Web Application Firewall".
  • "metadata.vendor_name" è stato mappato a "Cloudflare".

2022-05-23

  • Miglioramento per mappare i seguenti elementi dei log non elaborati agli elementi UDM:
  • "ClientASN" è stato mappato a "network.asn".
  • "ClientSSLCipher" è stato mappato a "network.tls.cipher".
  • È stata mappata la proprietà "ClientSSLProtocol" a "network.tls.version".
  • È stata mappata la proprietà "EdgeResponseContentType" a "target.file.mime_type".
  • "OriginIP" è stato mappato a "intermediary.ip".
  • È stata mappata la colonna "FirewallMatchesActions" a "security_result.action".
  • È stata eseguita la mappatura di "FirewallMatchesRuleIDs" a "security_result.rule_id".
  • "FirewallMatchesSources" è stato mappato a "security_result.rule_name".
  • Sono stati mappati "WAFRuleID" e "WAFProfile" a "security_result.about.labels".
  • Sono stati mappati "CacheCacheStatus", "CacheResponseBytes", "CacheResponseStatus", "ClientDeviceType", "EdgeColoCode", "EdgeColoID", "OriginResponseBytes", "OriginResponseStatus", "OriginResponseTime", "ZoneID" a "additional.fields".