Raccogliere i log di Cloudflare
Panoramica
Questo parser gestisce vari tipi di log di Cloudflare (DNS, HTTP, audit, Zero Trust, CASB). Innanzitutto, normalizza i campi comuni e poi applica la logica condizionale in base a campi specifici come QueryName, Action e ID per estrarre e mappare i dati pertinenti all'UDM. Esegue anche conversioni di tipo di dati, corrispondenze Grok per indirizzi IP e hash e gestisce i payload JSON nidificati.
Prima di iniziare
- Assicurati di avere un'istanza Google SecOps.
- Assicurati di disporre dell'accesso con privilegi a Google Cloud IAM.
- Assicurati di disporre dell'accesso con privilegi a Google Cloud Storage.
- Assicurati di disporre dell'accesso con privilegi a Cloudflare.
Crea un bucket Google Cloud Storage
- accedi alla console Google Cloud
Vai alla pagina Bucket Cloud Storage.
Fai clic su Crea.
Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio che segue, fai clic su Continua per passare al passaggio successivo:
Nella sezione Inizia:
- Inserisci un nome univoco che soddisfi i requisiti per i nomi dei bucket (ad esempio cloudflare-data).
- Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per i workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita uno spazio dei nomi gerarchico in questo bucket.
- Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.
- Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.
Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:
- Seleziona un Tipo di località.
- Utilizza l'elenco a discesa del tipo di località per selezionare una località in cui verranno archiviati in modo permanente i dati degli oggetti all'interno del bucket.
- Se selezioni il tipo di località a due regioni, puoi anche scegliere di attivare la replica turbo utilizzando la casella di controllo pertinente.
- Per configurare la replica tra bucket, espandi la sezione Configura la replica tra bucket.
Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket o Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.
Nella sezione Scegli come controllare l'accesso agli oggetti, seleziona no per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.
Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:
- Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
- Per scegliere la modalità di crittografia dei dati degli oggetti, fai clic sulla freccia di espansione etichettata Crittografia dei dati e seleziona un Metodo di crittografia dei dati.
Fai clic su Crea.
Creare un account di servizio Google Cloud
- Vai a IAM e amministrazione > Account di servizio.
- Crea un nuovo account di servizio.
- Assegna un nome descrittivo (ad esempio cloudflare-logs).
- Concedi all'account di servizio il ruolo Creatore oggetti archiviazione nel bucket GCS creato nel passaggio precedente.
- Crea una chiave SSH per l'account di servizio.
- Scarica un file della chiave JSON per l'account di servizio. Mantieni al sicuro questo file.
Attivare l'IAM di Cloudflare per Google Cloud Storage
- Vai a Spazio di archiviazione > Browser > Bucket > Autorizzazioni.
- Aggiungi il membro
logpush@cloudflare-data.iam.gserviceaccount.com
con l'autorizzazione Amministratore oggetti Storage.
Configura un feed in Google SecOps per importare i log di Cloudflare
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuova.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log Cloudflare).
- Seleziona Google Cloud Storage come Tipo di origine.
- Seleziona Cloudflare come Tipo di log.
- Fai clic su Ottieni account di servizio come Account di servizio Chronicle.
- Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URI del bucket di archiviazione: URL del bucket di archiviazione Google Cloud in formato
gs://my-bucket/<value>
. - L'URI è una: seleziona Directory che include sottodirectory.
- Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
- Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
- URI del bucket di archiviazione: URL del bucket di archiviazione Google Cloud in formato
Fai clic su Avanti.
Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.
Configura Cloudflare per inviare i log a Google Cloud Storage
- Accedi alla dashboard di Cloudflare.
- Seleziona l'account o il dominio aziendale (noto anche come zona) da utilizzare con Logpush.
- Vai ad Analytics e log > Logpush.
- Seleziona il job Crea un job Logpush.
- In Seleziona una destinazione, seleziona Google Cloud Storage.
Inserisci o seleziona i seguenti dettagli della destinazione:
- Bucket: nome del bucket GCS
- Percorso: posizione del bucket all'interno del contenitore di archiviazione
- Casella di controllo: organizza i log in sottocartelle giornaliere (opzione consigliata)
Fai clic su Continua.
Verifica della proprietà:
- Cloudflare invierà un file al tuo bucket.
- Copia e incolla il token:
- Accedi alla console Google Cloud > Storage > Bucket Cloudflare.
- Apri il file della contestazione della proprietà.
- Copia il token di proprietà.
- Inserisci il token di proprietà nella console Cloudflare.
- Seleziona Continua.
- Seleziona il set di dati da inviare al bucket.
Configura il job logpush:
- Inserisci il nome del job.
- In Se i log corrispondono, puoi selezionare gli eventi da includere e/o rimuovere dai log.
- Invia i seguenti campi: seleziona Invia tutti i log o scegli in modo selettivo i log da inviare.
Seleziona Invia per finalizzare la configurazione.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
AccountID |
target.resource.id , target.resource.product_object_id |
L'ID account associato all'evento. |
Action |
security_result.action |
Azione intrapresa in base all'evento. allow o allowed* restituisce ALLOW . unknown genera UNKNOWN_ACTION . Gli altri valori generano BLOCK . Per i log di accesso, login corrisponde a USER_LOGIN , logout a USER_LOGOUT e altri valori a USER_RESOURCE_ACCESS se è presente un'email. |
ActionResult |
security_result.action |
Se true , mappa a ALLOW . Se false , mappa a BLOCK . In caso contrario, viene mappato a UNKNOWN_ACTION . |
ActionType |
security_result.description |
Descrizione dell'azione eseguita. |
ActorEmail |
principal.user.email_addresses |
Indirizzo email dell'attore che avvia l'evento. |
ActorID |
principal.user.product_object_id |
ID dell'attore che avvia l'evento. |
ActorIP |
principal.ip , principal.asset.ip |
Indirizzo IP dell'attore che avvia l'evento. |
Allowed |
security_result.action |
Se true , mappa a ALLOW . In caso contrario, viene mappato a BLOCK . |
AppDomain |
target.administrative_domain |
Dominio dell'applicazione coinvolta nell'evento. |
AppUUID |
target.resource.product_object_id |
UUID dell'applicazione coinvolta nell'evento. |
AssetDisplayName |
principal.asset.attribute.labels.value dove la chiave è AssetDisplayName |
Nome visualizzato della risorsa. |
AssetExternalID |
principal.asset_id (con il prefisso "Cloudflare:") |
ID esterno della risorsa. |
AssetLink |
principal.url |
Link associato alla risorsa. |
AssetMetadata.agreedToTerms |
principal.user.attribute.labels.value dove la chiave è agreedToTerms |
Indica se l'utente ha accettato i termini. |
AssetMetadata.changePasswordAtNextLogin |
principal.user.attribute.labels.value dove la chiave è changePasswordAtNextLogin |
Indica se l'utente deve cambiare la password al successivo accesso. |
AssetMetadata.clientId |
principal.user.userid |
L'ID cliente dai metadati della risorsa. |
AssetMetadata.customerId |
principal.user.userid |
L'ID cliente contenuto nei metadati della risorsa. |
AssetMetadata.familyName |
principal.user.last_name |
Cognome dell'utente dai metadati della risorsa. |
AssetMetadata.givenName |
principal.user.first_name |
Nome dell'utente dai metadati della risorsa. |
AssetMetadata.includeInGlobalAddressList |
principal.user.attribute.labels.value dove la chiave è includeInGlobalAddressList |
Se l'utente è incluso nell'elenco indirizzi globale. |
AssetMetadata.ipWhitelisted |
principal.user.attribute.labels.value dove la chiave è ipWhitelisted |
Indica se l'utente è presente nella lista bianca degli IP. |
AssetMetadata.isAdmin |
principal.user.attribute.labels.value dove la chiave è isAdmin |
Indica se l'utente è un amministratore. |
AssetMetadata.isDelegatedAdmin |
principal.user.attribute.labels.value dove la chiave è isDelegatedAdmin |
Indica se l'utente è un amministratore delegato. |
AssetMetadata.isEnforcedIn2Sv |
principal.user.attribute.labels.value dove la chiave è isEnforcedIn2Sv |
Indica se la verifica in due passaggi è impostata come obbligatoria per l'utente. |
AssetMetadata.isEnrolledIn2Sv |
principal.user.attribute.labels.value dove la chiave è isEnrolledIn2Sv |
Indica se l'utente è registrato alla verifica in due passaggi. |
AssetMetadata.kind |
(Non mappato) | Non mappato all'oggetto IDM. |
AssetMetadata.lastLoginTime |
principal.user.attribute.labels.value dove la chiave è lastLoginTime |
Data e ora dell'ultimo accesso dell'utente. |
AssetMetadata.login |
principal.user.userid |
Nome utente dai metadati della risorsa. |
AssetMetadata.name.familyName |
principal.user.last_name |
Il cognome contenuto nei metadati della risorsa. |
AssetMetadata.name.fullName |
principal.user.user_display_name |
Nome completo contenuto nei metadati della risorsa. |
AssetMetadata.name.givenName |
principal.user.first_name |
Nome proprio dai metadati della risorsa. |
AssetMetadata.nativeApp |
security_result.detection_fields.value dove la chiave è nativeApp |
Indica se l'app è nativa. |
AssetMetadata.owner.id |
principal.user.userid |
ID proprietario dai metadati della risorsa. |
AssetMetadata.primaryEmail |
principal.user.email_addresses |
Indirizzo email principale dai metadati della risorsa. |
AssetMetadata.scopes |
(Non mappato) | Non mappato all'oggetto IDM. |
AssetMetadata.site_admin |
principal.user.attribute.labels.value dove la chiave è site_admin |
Indica se l'utente è un amministratore del sito. |
AssetMetadata.suspended |
principal.user.attribute.labels.value dove la chiave è suspended |
Indica se l'utente è sospeso. |
AssetMetadata.url |
principal.url |
URL dai metadati della risorsa. |
AssetMetadata.userKey |
principal.user.attribute.labels.value dove la chiave è userKey |
Chiave utente dai metadati della risorsa. |
BlockedFileHash |
target.file.md5 , target.file.sha1 , target.file.sha256 |
Hash del file bloccato. Analizzati utilizzando grok per estrarre md5, sha1 o sha256. |
BlockedFileName |
security_result.about.file.full_path |
Nome del file bloccato. |
BlockedFileReason |
security_result.summary |
Motivo del blocco del file. |
BlockedFileSize |
target.file.size |
Dimensioni del file bloccato. |
BotScore |
security_result.detection_fields.value dove la chiave è BotScore |
Punteggio del bot assegnato alla richiesta. |
BytesReceived |
network.received_bytes |
Numero di byte ricevuti. |
BytesSent |
network.sent_bytes |
Numero di byte inviati. |
CacheCacheStatus |
additional.fields.value.string_value dove la chiave è CacheCacheStatus |
Stato della cache. |
CacheResponseBytes |
additional.fields.value.string_value dove la chiave è CacheResponseBytes |
Numero di byte nella risposta memorizzata nella cache. |
CacheResponseStatus |
additional.fields.value.string_value dove la chiave è CacheResponseStatus |
Codice di stato della risposta memorizzata nella cache. |
ClientASN |
(Non mappato) | Non mappato all'oggetto IDM. |
ClientCountry |
principal.location.country_or_region |
Il paese del cliente. |
ClientDeviceType |
additional.fields.value.string_value dove la chiave è ClientDeviceType |
Tipo di dispositivo client. |
ClientIP |
principal.ip , principal.asset.ip |
Indirizzo IP del client. |
ClientRequestMethod |
network.http.method |
Metodo di richiesta HTTP utilizzato dal client. |
ClientRequestHost |
target.hostname , target.asset.hostname |
Nome host richiesto dal cliente. |
ClientRequestPath |
(Non mappato) | Non mappato all'oggetto IDM. |
ClientRequestProtocol |
network.application_protocol |
Protocollo utilizzato nella richiesta del client (ad es. HTTP, HTTPS). La versione del protocollo viene rimossa. |
ClientRequestReferer |
network.http.referral_url |
URL referrer della richiesta del client. |
ClientRequestURI |
target.url (combinato con ClientRequestHost , se presente) |
URI richiesto dal client. |
ClientRequestUserAgent |
network.http.user_agent |
User agent della richiesta del client. Inoltre, viene analizzato e mappato a network.http.parsed_user_agent . |
ClientSSLCipher |
network.tls.cipher |
Cifrario SSL utilizzato dal client. |
ClientSSLProtocol |
network.tls.version |
Protocollo SSL utilizzato dal client. |
ClientSrcPort |
principal.port |
Porta di origine del client. |
ClientTCPHandshakeDurationMs |
additional.fields.value.string_value dove la chiave è ClientTCPHandshakeDurationMs |
Durata del handshake TCP del client. |
ClientTLSHandshakeDurationMs |
additional.fields.value.string_value dove la chiave è ClientTLSHandshakeDurationMs |
Durata dell'handshake TLS del client. |
ClientTLSVersion |
network.tls.version |
La versione TLS utilizzata dal client. |
ColoID |
(Non mappato) | Non mappato all'oggetto IDM. |
Connection |
target.resource.attribute.labels.value dove la chiave è Connection |
Tipo di connessione (ad es. saml). |
ConnectionCloseReason |
additional.fields.value.string_value dove la chiave è ConnectionCloseReason |
Motivo della chiusura della connessione. |
ConnectionReuse |
additional.fields.value.string_value dove la chiave è ConnectionReuse |
Indica se si è verificato il riutilizzo della connessione. |
Country |
target.location.country_or_region |
Paese associato all'evento. |
CreatedAt |
metadata.event_timestamp |
Timestamp della creazione dell'evento. |
Datetime |
metadata.event_timestamp |
Data e ora dell'evento. |
DestinationIP |
target.ip , target.asset.ip |
Indirizzo IP di destinazione. |
DestinationPort |
target.port |
Porta di destinazione. |
DestinationTunnelID |
additional.fields.value.string_value dove la chiave è DestinationTunnelID |
ID del tunnel di destinazione. |
DeviceID |
principal.asset_id (con il prefisso "Cloudflare:") |
ID del dispositivo. |
DeviceName |
principal.hostname , principal.asset.hostname , principal.asset.attribute.labels.value dove la chiave è DeviceName |
Nome del dispositivo. |
DownloadedFileNames |
security_result.about.labels.value dove la chiave è DownloadFileNames |
Nomi dei file scaricati. |
DstIP |
target.ip , target.asset.ip |
Indirizzo IP di destinazione. |
DstPort |
target.port |
Porta di destinazione. |
EdgeColoCode |
additional.fields.value.string_value dove la chiave è EdgeColoCode |
Codice della posizione della piattaforma di edge Cloudflare. |
EdgeColoID |
additional.fields.value.string_value dove la chiave è EdgeColoID |
ID posizione edge di Cloudflare. |
EdgeEndTimestamp |
(Non mappato) | Non mappato all'oggetto IDM. |
EdgeResponseBytes |
network.received_bytes |
Numero di byte nella risposta dall'edge. |
EdgeResponseContentType |
target.file.mime_type |
Tipo di contenuti della risposta dell'edge. |
EdgeResponseStatus |
network.http.response_code |
Codice di stato della risposta dell'edge. |
EdgeServerIP |
target.ip , target.asset.ip |
Indirizzo IP del server edge. |
EdgeStartTimestamp |
metadata.event_timestamp |
Timestamp dell'inizio della richiesta all'edge. |
Email |
principal.user.email_addresses , target.user.email_addresses |
Indirizzo email associato all'evento. |
EgressColoName |
additional.fields.value.string_value dove la chiave è EgressColoName |
Nome del colo di uscita. |
EgressIP |
principal.ip , principal.asset.ip |
Indirizzo IP in uscita. Imposta network.direction su OUTBOUND . |
EgressPort |
principal.port |
Porta di uscita. |
EgressRuleID |
additional.fields.value.string_value dove la chiave è EgressRuleID |
ID della regola in uscita. |
EgressRuleName |
additional.fields.value.string_value dove la chiave è EgressRuleName |
Nome della regola in uscita. |
FindingTypeDisplayName |
security_result.description |
Nome visualizzato del tipo di risultato. |
FindingTypeID |
security_result.rule_id |
ID del tipo di risultato. |
FindingTypeSeverity |
security_result.severity |
Gravità del tipo di risultato. |
FirewallMatchesActions |
security_result.action |
Azioni intraprese dalle regole del firewall. allow , Allow , ALLOW , skip , SKIP , Skip mappati a ALLOW . challengeSolved e jschallengeSolved corrispondono a ALLOW_WITH_MODIFICATION . drop e block corrispondono a BLOCK . Gli altri valori vengono mappati a UNKNOWN_ACTION . |
FirewallMatchesRuleIDs |
security_result.rule_id (per il primo ID), gli ID successivi creano nuovi oggetti security_result . |
ID delle regole firewall che hanno dato una corrispondenza. |
FirewallMatchesSources |
security_result.rule_name |
Origini delle regole firewall corrispondenti. |
HTTPHost |
target.hostname |
Host HTTP. |
HTTPMethod |
network.http.method |
Metodo HTTP. |
HTTPVersion |
network.application_protocol |
Se il valore contiene "HTTP", imposta network.application_protocol su HTTP . |
ID |
metadata.product_log_id |
ID dell'evento. |
IngressColoName |
additional.fields.value.string_value dove la chiave è IngressColoName |
Nome della colonna di ingresso. |
InstanceID |
principal.resource.product_object_id |
ID dell'istanza. |
IntegrationDisplayName |
additional.fields.value.string_value dove la chiave è IntegrationDisplayName |
Nome visualizzato dell'integrazione. |
IntegrationID |
metadata.product_deployment_id |
ID dell'integrazione. |
IntegrationPolicyVendor |
additional.fields.value.string_value dove la chiave è IntegrationPolicyVendor |
Fornitore del criterio di integrazione. |
IPAddress |
target.ip , target.asset.ip |
Indirizzo IP associato all'evento. |
IsIsolated |
about.labels.value dove la chiave è IsIsolated , security_result.about.resource.attribute.labels.value dove la chiave è IsIsolated |
Se l'evento è isolato. |
Location |
principal.location.name |
Posizione associata all'evento. |
NewValue |
security_result.about.labels.value dove la chiave è NewValue |
Nuovo valore dopo un aggiornamento. |
Offramp |
additional.fields.value.string_value dove la chiave è Offramp |
Offramp utilizzato nella connessione. |
OldValue |
security_result.about.labels.value dove la chiave è OldValue |
Valore precedente prima di un aggiornamento. |
OriginIP |
intermediary.ip , target.ip , target.asset.ip |
Indirizzo IP di origine. |
OriginPort |
target.port |
Porta di origine. |
OriginResponseBytes |
additional.fields.value.string_value dove la chiave è OriginResponseBytes |
Numero di byte nella risposta dell'origine. |
OriginResponseStatus |
additional.fields.value.string_value dove la chiave è OriginResponseStatus |
Codice di stato della risposta dell'origine. |
OriginResponseTime |
additional.fields.value.string_value dove la chiave è OriginResponseTime |
Tempo di risposta dell'origine. |
OriginSSLProtocol |
(Non mappato) | Non mappato all'oggetto IDM. |
OriginTLSCertificateIssuer |
additional.fields.value.string_value dove la chiave è OriginTLSCertificateIssuer |
Emittente del certificato TLS di origine. |
OriginTLSCertificateValidationResult |
additional.fields.value.string_value dove la chiave è OriginTLSCertificateValidationResult |
Risultato della convalida del certificato TLS di origine. |
OriginTLSCipher |
additional.fields.value.string_value dove la chiave è OriginTLSCipher |
Algoritmo di crittografia utilizzato nella connessione TLS di origine. |
OriginTLSHandshakeDurationMs |
additional.fields.value.string_value dove la chiave è OriginTLSHandshakeDurationMs |
Durata dell'handshake TLS di origine. |
OriginTLSVersion |
additional.fields.value.string_value dove la chiave è OriginTLSVersion |
Versione TLS utilizzata dall'origine. |
OwnerID |
target.user.product_object_id |
ID del proprietario. |
Policy |
security_result.rule_name |
Norme associate all'evento. |
PolicyID |
security_result.rule_id |
ID del criterio. |
PolicyName |
security_result.rule_name |
Nome del criterio. |
Protocol |
network.application_protocol , network.ip_protocol |
Protocollo utilizzato nella connessione. Se non "tls" o "TLS", viene convertito in lettere maiuscole e mappato a network.application_protocol . In caso contrario, viene analizzato utilizzando un file include e mappato a network.ip_protocol . |
PurposeJustificationPrompt |
(Non mappato) | Non mappato all'oggetto IDM. |
PurposeJustificationResponse |
(Non mappato) | Non mappato all'oggetto IDM. |
QueryCategoryIDs |
security_result.about.labels.value , security_result.about.resource.attribute.labels.value dove la chiave è QueryCategoryIDs |
ID delle categorie di query. |
QueryName |
network.dns.questions.name |
Nome della query DNS. Imposta metadata.event_type su NETWORK_DNS e network.application_protocol su DNS . |
QueryNameReversed |
network.dns.questions.name |
Nome invertito della query DNS. |
QuerySize |
network.sent_bytes |
Dimensioni della query. |
QueryType |
network.dns.questions.type |
Tipo di query DNS. Mappato a valori numerici in base ai codici di tipo di query DNS. |
RData |
network.dns.answers.type , network.dns.answers.data |
Dati del record DNS. Ogni elemento dell'array RData crea un nuovo oggetto answer . |
RayID |
metadata.product_log_id |
L'ID Ray associato alla richiesta. |
Referer |
network.http.referral_url |
URL del referrer. |
RequestID |
metadata.product_log_id |
ID della richiesta. |
ResolverDecision |
security_result.summary |
Decisione presa dal risolutore. |
ResourceID |
target.resource.id , target.resource.product_object_id |
ID della risorsa. |
ResourceType |
target.resource.resource_subtype |
Tipo di risorsa. |
RuleEvaluationDurationMs |
additional.fields.value.string_value dove la chiave è RuleEvaluationDurationMs |
Durata della valutazione delle regole. |
SNI |
network.tls.client.server_name |
Indicazione nome server (SNI) nel messaggio di saluto del client TLS. |
SecurityAction |
security_result.action |
Azione di sicurezza intrapresa. Valore vuoto o nessun SecurityAction mappato a ALLOW . challengeSolved o jschallengeSolved corrisponde a ALLOW_WITH_MODIFICATION . drop o block corrisponde a BLOCK . |
SecurityLevel |
security_result.severity |
Livello di sicurezza. high corrisponde a HIGH , med a MEDIUM e low a LOW . |
SessionEndTime |
additional.fields.value.string_value dove la chiave è SessionEndTime |
Ora di fine della sessione. |
SessionID |
network.session_id |
ID della sessione. |
SessionStartTime |
metadata.event_timestamp |
Ora di inizio della sessione. |
SourceIP |
principal.ip , principal.asset.ip , src.ip , src.asset.ip |
Indirizzo IP di origine. |
SourcePort |
principal.port , src.port |
Porta di origine. |
SrcIP |
principal.ip , principal.asset.ip |
Indirizzo IP di origine. |
SrcPort |
principal.port |
Porta di origine. |
TemporaryAccessDuration |
network.session_duration.seconds |
Durata dell'accesso temporaneo. |
Timestamp |
metadata.event_timestamp |
Timestamp dell'evento. |
Transport |
network.ip_protocol |
Protocollo di trasporto. Convertito in lettere maiuscole e analizzato utilizzando un file include. |
UploadedFileNames |
security_result.about.labels.value dove la chiave è UploadedFileNames |
Nomi dei file caricati. |
URL |
target.url |
URL coinvolto nell'evento. |
UserAgent |
network.http.user_agent |
Stringa dello user agent. Inoltre, viene analizzato e mappato a network.http.parsed_user_agent . |
UserID |
principal.user.product_object_id , event.idm.read_only_udm.target.user.product_object_id |
ID dell'utente. |
UserUID |
target.user.product_object_id |
UID dell'utente. |
VirtualNetworkID |
principal.resource.product_object_id |
ID della rete virtuale. |
WAFAction |
security_result.about.labels.value dove la chiave è WAFAction |
Azione intrapresa dal web application firewall (WAF). |
WAFAttackScore |
security_result.about.resource.attribute.labels.value dove la chiave è WAFAttackScore |
Punteggio di attacco assegnato dal WAF. |
WAFFlags |
security_result.about.resource.attribute.labels.value dove la chiave è WAFFlags |
Flag WAF. |
WAFMatchedVar |
(Non mappato) | Non mappato all'oggetto IDM. |
WAFProfile |
security_result.about.labels.value dove la chiave è WAFProfile |
Profilo WAF. |
WAFRCEAttackScore |
security_result.about.resource.attribute.labels.value dove la chiave è WAFRCEAttackScore |
Punteggio dell'attacco di esecuzione di codice remoto (RCE) del WAF. |
WAFRuleID |
security_result.threat_id , security_result.about.labels.value dove la chiave è WAFRuleID |
ID della regola WAF. |
WAFRuleMessage |
security_result.rule_name , security_result.threat_name |
Messaggio associato alla regola WAF. |
WAFSQLiAttackScore |
security_result.about.resource.attribute.labels.value dove la chiave è WAFSQLiAttackScore |
Punteggio dell'attacco SQL injection del WAF. |
WAFXSSAttackScore |
security_result.about.resource.attribute.labels.value dove la chiave è WAFXSSAttackScore |
Punteggio dell'attacco di cross-site scripting (XSS) del WAF. |
ZoneID |
additional.fields.value.string_value dove la chiave è ZoneID |
ID zona. |
event.idm.read_only_udm.metadata.event_type |
metadata.event_type |
Tipo di evento. Impostato dall'analizzatore in base ai dati dei log. Se non è impostato o se un evento NETWORK_DNS non ha un principale o un target, il valore predefinito è GENERIC_EVENT . Può essere NETWORK_DNS , NETWORK_CONNECTION , USER_LOGIN , USER_LOGOUT , USER_RESOURCE_ACCESS , USER_RESOURCE_UPDATE_CONTENT o GENERIC_EVENT . |
event.idm.read_only_udm.metadata.log_type |
metadata.log_type |
Tipo di log, impostato su "CLOUDFLARE". |
event.idm.read_only_udm.metadata.product_deployment_id |
metadata.product_deployment_id |
ID di deployment del prodotto. |
event.idm.read_only_udm.metadata.product_log_id |
metadata.product_log_id |
ID log del prodotto. |
event.idm.read_only_udm.metadata.product_name |
metadata.product_name |
Nome del prodotto. Impostato dall'analizzatore in base ai dati dei log. Può essere "Cloudflare Gateway DNS", "Cloudflare Gateway HTTP", "Cloudflare Audit", "Web Application Firewall". |
event.idm.read_only_udm.metadata.vendor_name |
metadata.vendor_name |
Nome del fornitore, impostato su "Cloudflare". |
event.idm.read_only_udm.metadata.event_timestamp |
metadata.event_timestamp |
Timestamp dell'evento. |
event.idm.read_only_udm.network.application_protocol |
network.application_protocol |
Protocollo di applicazione utilizzato nella connessione di rete. |
event.idm.read_only_udm.network.direction |
network.direction |
Direzione della connessione di rete. Impostato su OUTBOUND quando sono presenti EgressIP e SourceIP . |
event.idm.read_only_udm.network.dns.answers |
network.dns.answers |
Risposte DNS. |
event.idm.read_only_udm.network.dns.questions |
network.dns.questions |
Domande sul DNS. |
event.idm.read_only_udm.network.http.method |
network.http.method |
Metodo HTTP. |
event.idm.read_only_udm.network.http.parsed_user_agent |
network.http.parsed_user_agent |
User agent analizzato. |
event.idm.read_only_udm.network.http.referral_url |
network.http.referral_url |
URL del referral HTTP. |
event.idm.read_only_udm.network.http.response_code |
network.http.response_code |
Codice di risposta HTTP. |
event.idm.read_only_udm.network.http.user_agent |
network.http.user_agent |
User agent HTTP. |
event.idm.read_only_udm.network.ip_protocol |
network.ip_protocol |
Protocollo IP. |
event.idm.read_only_udm.network.received_bytes |
network.received_bytes |
Numero di byte ricevuti. |
event.idm.read_only_udm.network.sent_bytes |
network.sent_bytes |
Numero di byte inviati. |
event.idm.read_only_udm.network.session_duration.seconds |
network.session_duration.seconds |
Durata della sessione di rete in secondi. |
event.idm.read_only_udm.network.session_id |
network.session_id |
ID sessione di rete. |
event.idm.read_only_udm.network.tls.cipher |
network.tls.cipher |
Suite di crittografia TLS. |
event.idm.read_only_udm.network.tls.client.server_name |
network.tls.client.server_name |
Nome del server client TLS. |
event.idm.read_only_udm.network.tls.version |
network.tls.version |
Versione TLS. |
event.idm.read_only_udm.principal.asset.attribute.labels |
principal.asset.attribute.labels |
Etichette associate alla risorsa principale. |
event.idm.read_only_udm.principal.asset.hostname |
principal.asset.hostname |
Nome host della risorsa principale. |
event.idm.read_only_udm.principal.asset.ip |
principal.asset.ip |
Indirizzo IP della risorsa principale. |
event.idm.read_only_udm.principal.asset_id |
principal.asset_id |
ID della risorsa principale. |
event.idm.read_only_udm.principal.hostname |
principal.hostname |
Nome host dell'entità. |
event.idm.read_only_udm.principal.ip |
principal.ip |
Indirizzo IP dell'entità. |
event.idm.read_only_udm.principal.location.country_or_region |
principal.location.country_or_region |
Paese o regione in cui si trova il principale. |
event.idm.read_only_udm.principal.location.name |
principal.location.name |
Nome della sede del principale. |
event.idm.read_only_udm.principal.port |
principal.port |
Porta utilizzata dal principale. |
event.idm.read_only_udm.principal.resource.product_object_id |
principal.resource.product_object_id |
ID oggetto prodotto della risorsa del principale. |
event.idm.read_only_udm.principal.url |
principal.url |
URL associato al principale. |
event.idm.read_only_udm.principal.user.attribute.labels |
principal.user.attribute.labels |
Etichette associate all'utente principale. |
event.idm.read_only_udm.principal.user.email_addresses |
principal.user.email_addresses |
Indirizzi email dell'utente principale. |
event.idm.read_only_udm.principal.user.first_name |
principal.user.first_name |
Nome dell'utente principale. |
event.idm.read_only_udm.principal.user.last_name |
principal.user.last_name |
Cognome dell'utente principale. |
event.idm.read_only_udm.principal.user.product_object_id |
principal.user.product_object_id |
ID oggetto prodotto dell'utente principale. |
event.idm.read_only_udm.principal.user.userid |
principal.user.userid |
ID utente dell'utente principale. |
event.idm.read_only_udm.principal.user.user_display_name |
principal.user.user_display_name |
Nome visualizzato dell'utente principale. |
event.idm.read_only_udm.src.asset.ip |
src.asset.ip |
Indirizzo IP della risorsa di origine. |
event.idm.read_only_udm.src.ip |
src.ip |
Indirizzo IP dell'origine. |
event.idm.read_only_udm.src.port |
src.port |
Porta dell'origine. |
event.idm.read_only_udm.target.administrative_domain |
target.administrative_domain |
Dominio amministrativo della destinazione. |
event.idm.read_only_udm.target.asset.hostname |
target.asset.hostname |
Nome host della risorsa di destinazione. |
event.idm.read_only_udm.target.asset.ip |
target.asset.ip |
Indirizzo IP della risorsa di destinazione. |
event.idm.read_only_udm.target.file.mime_type |
target.file.mime_type |
Tipo MIME del file di destinazione. |
event.idm.read_only_udm.target.file.md5 |
target.file.md5 |
Hash MD5 del file di destinazione. |
event.idm.read_only_udm.target.file.sha1 |
target.file.sha1 |
Hash SHA1 del file di destinazione. |
event.idm.read_only_udm.target.file.sha256 |
target.file.sha256 |
Hash SHA256 del file di destinazione. |
event.idm.read_only_udm.target.file.size |
target.file.size |
Dimensioni del file di destinazione. |
event.idm.read_only_udm.target.hostname |
target.hostname |
Nome host della destinazione. |
event.idm.read_only_udm.target.ip |
target.ip |
Indirizzo IP della destinazione. |
event.idm.read_only_udm.target.location.country_or_region |
target.location.country_or_region |
Paese o regione della località del target. |
event.idm.read_only_udm.target.port |
target.port |
Porta del target. |
event.idm.read_only_udm.target.resource.attribute.labels |
target.resource.attribute.labels |
Etichette associate alla risorsa di destinazione. |
event.idm.read_only_udm.target.resource.id |
target.resource.id |
ID della risorsa di destinazione. |
event.idm.read_only_udm.target.resource.product_object_id |
target.resource.product_object_id |
ID oggetto prodotto della risorsa di destinazione. |
event.idm.read_only_udm.target.resource.resource_subtype |
target.resource.resource_subtype |
Sottotipo della risorsa target. |
event.idm.read_only_udm.target.url |
target.url |
URL della destinazione. |
event.idm.read_only_udm.target.user.email_addresses |
target.user.email_addresses |
Indirizzi email dell'utente di destinazione. |
event.idm.read_only_udm.target.user.product_object_id |
target.user.product_object_id |
ID oggetto prodotto dell'utente di destinazione. |
event.idm.read_only_udm.security_result.about.file.full_path |
security_result.about.file.full_path |
Percorso completo del file coinvolto nel risultato di sicurezza. |
event.idm.read_only_udm.security_result.about.labels |
security_result.about.labels |
Etichette associate al risultato di sicurezza. |
event.idm.read_only_udm.security_result.about.resource.attribute.labels |
security_result.about.resource.attribute.labels |
Etichette associate alla risorsa nel risultato di sicurezza. |
event.idm.read_only_udm.security_result.action |
security_result.action |
Azione intrapresa nel risultato di sicurezza. |
event.idm.read_only_udm.security_result.detection_fields |
security_result.detection_fields |
Campi di rilevamento nel risultato di sicurezza. |
event.idm.read_only_udm.security_result.description |
security_result.description |
Descrizione del risultato di sicurezza. |
event.idm.read_only_udm.security_result.rule_id |
security_result.rule_id |
ID regola del risultato di sicurezza. |
event.idm.read_only_udm.security_result.rule_name |
security_result.rule_name |
Nome della regola del risultato di sicurezza. |
event.idm.read_only_udm.security_result.severity |
security_result.severity |
Gravità del risultato di sicurezza. |
event.idm.read_only_udm.security_result.summary |
security_result.summary |
Riepilogo del risultato della sicurezza. |
event.idm.read_only_udm.security_result.threat_id |
security_result.threat_id |
ID minaccia del risultato di sicurezza. |
event.idm.read_only_udm.security_result.threat_name |
security_result.threat_name |
Nome della minaccia del risultato di sicurezza. |
event.idm.read_only_udm.extensions.auth.type |
extensions.auth.type |
Tipo di autenticazione. Impostato su MACHINE per gli eventi di accesso e disconnessione. |
event.idm.read_only_udm.about |
about |
Informazioni. |
event.idm.read_only_udm.additional.fields |
additional.fields |
Campi aggiuntivi. |
event.idm.read_only_udm.intermediary |
intermediary |
Informazioni sull'intermediario. |
Modifiche
2024-02-19
- Correzione di bug:
- Se non sono presenti dati della macchina principale e di destinazione, "metadata.event_type" viene mappato a "GENERIC_EVENT".
- Quando il campo "Data e ora" non è presente e il campo "Timestamp" è presente, mappa "Timestamp" a "metadata.event_timestamp".
- "ClientIP" è stato mappato a "principal.ip".
- "RayID" è stato mappato a "metadata.product_log_id".
- "EdgeResponseStatus" è stato mappato a "network.http.response_code".
- "ClientRequestMethod" è stato mappato a "network.http.method".
- "ClientRequestURI" è stato mappato a "target.uri".
- "ClientRequestHost" è stato mappato a "target.hostname".
2024-01-31
- "BotScore" è stato mappato a "security_result.detection_fields".
- Mappature "principal.hostname", "target.hostname", "principal.asset.hostname" e "target.asset.hostname" allineate.
- Mappature "principal.ip", "target.ip", "principal.asset.ip" e "target.asset.ip" allineate.
2024-01-08
- Quando "Azione" contiene "consenti", imposta "security_result.action" su "ALLOW".
- È stata aggiunta la mappatura di "DeviceName" a "principal.hostname", "principal.asset.hostname".
- È stata aggiunta la mappatura di "SourceIP" a "principal.ip" per i log DNS.
- È stato aggiunto un controllo condizionale nullo prima della mappatura di "principal" a "event.idm.read_only_udm.principal".
- È stato aggiunto un controllo condizionale nullo prima della mappatura di "target" a "event.idm.read_only_udm.target".
2023-11-22
- "WAFRuleID" è stato mappato a "security_result.threat_id".
- "WAFRuleMessage" è stato mappato a "security_result.threat_name".
- Sono stati mappati "WAFRCEAttackScore", "WAFSQLiAttackScore", "WAFXSSAttackScore", "WAFAttackScore", "WAFFlags" a "security_result.about.resource.attribute.labels".
2023-10-09
- Quando il valore "SecurityAction" è nullo o non è presente, imposta "security_result.action" su "ALLOW".
2023-09-26
- Mappature modificate dall'utilizzo di campi UDM obsoleti a campi alternativi.
- È stata aggiunta la mappatura da "security_result.about.labels" a "security_result.about.resource.attribute.labels".
- È stata aggiunta la mappatura da "about.labels" a "security_result.about.resource.attribute.labels".
- È stata aggiunta la mappatura da "target.resource.id" a "target.resource.product_object_id".
2023-04-25
- Miglioramento per mappare i seguenti campi dei log non elaborati ai campi UDM:
- Sono stati inizializzati su valori null "EdgeStartTimestamp", "ClientIP", "ClientRequestHost", "ClientRequestURI", "ClientRequestMethod", "Datetime", "ActorEmail" e "ActorIP".
- "AssetExternalID" è stato mappato a "principal.asset_id".
- "AssetDisplayName" è stato mappato a "principal.asset.attribute.labels".
- "AssetLink" è stato mappato a "principal.url".
- "AssetMetadata.userKey" è stato mappato a "principal.user.attribute.labels".
- "AssetMetadata.clientId" è stato mappato a "principal.user.userid".
- "AssetMetadata.anonymous" è stato mappato a "security_result.detection_fields".
- "AssetMetadata.nativeApp" è stato mappato a "security_result.detection_fields".
- "DetectedTimestamp" è stato mappato a "metadata.event_timestamp".
- "FindingTypeDisplayName" è stato mappato a "security_result.description".
- "FindingTypeID" è stato mappato a "security_result.rule_id".
- "FindingTypeSeverity" è stato mappato a "security_result.severity".
- "InstanceID" è stato mappato a "principal.resource.product_object_id".
- "IntegrationDisplayName" è stato mappato a "additional.fields".
- "IntegrationID" è stato mappato a "metadata.product_deployment_id".
- "IntegrationPolicyVendor" è stato mappato a "additional.fields".
- "AssetMetadata.customerId" è stato mappato a "principal.user.userid".
- "AssetMetadata.primaryEmail" è stato mappato a "principal.user.email_addresses".
- È stata mappata la colonna "AssetMetadata.agreedToTerms" alla colonna "principal.user.attribute.labels".
- È stata mappata la colonna "AssetMetadata.ipWhitelisted" alla colonna "principal.user.attribute.labels".
- "AssetMetadata.lastLoginTime" è stato mappato a "principal.user.attribute.labels".
- È stata eseguita la mappatura di "AssetMetadata.isEnforcedIn2Sv" a "principal.user.attribute.labels".
- "AssetMetadata.isEnrolledIn2Sv" è stato mappato a "principal.user.attribute.labels".
- "AssetMetadata.isDelegatedAdmin" è stato mappato a "principal.user.attribute.labels".
- È stata mappata la proprietà "AssetMetadata.changePasswordAtNextLogin" a "principal.user.attribute.labels".
- "AssetMetadata.includeInGlobalAddressList" è stato mappato a "principal.user.attribute.labels".
- "AssetMetadata.isAdmin" è stato mappato a "principal.user.attribute.labels".
- "AssetMetadata.suspended" è stato mappato a "principal.user.attribute.labels".
- "AssetMetadata.url" è stato mappato a "principal.url".
- "AssetMetadata.site_admin" è stato mappato a "principal.user.attribute.labels".
- "AssetMetadata.login" è stato mappato a "principal.user.userid".
- "AssetMetadata.owner.id" è stato mappato a "principal.user.userid".
- "AssetMetadata.name.fullName" è stato mappato a "principal.user.user_display_name".
- "AssetMetadata.name.givenName" è stato mappato a "principal.user.first_name".
- "AssetMetadata.name.familyName" è stato mappato a "principal.user.last_name".
- "Consentito" è stato mappato a "security_result.action".
- "AppDomain" è stato mappato a "target.administrative_domain".
- "AppUUID" è stato mappato a "target.resource.product_object_id".
- "Connessione" è stato mappato a "target.resource.attribute.labels".
- "Paese" è stato mappato a "target.location.country_or_region".
- "CreatedAt" è stato mappato a "metadata.event_timestamp".
- "IPAddress" è stato mappato a "target.ip".
- "RayID" è stato mappato a "metadata.product_log_id".
- "Email" è stato mappato a "principal.user.email_addresses" e "target.user.email_addresses".
- "TemporaryAccessDuration" è stato mappato a "network.session_duration.seconds".
- "UserUID" è stato mappato a "target.user.product_object_id".
- "UserAgent" è stato mappato a "network.http.parsed_user_agent".
- "ClientRequestUserAgent" è stato mappato a "network.http.parsed_user_agent".
- "PolicyName" è stato mappato a "security_result.rule_name".
- "SessionID" è stato mappato a "network.session_id".
- "Trasporto" è stato mappato a "network.ip_protocol".
- "SNI" è stato mappato a "tls.client.server_name".
- "DeviceName" è stato mappato a "principal.asset.attribute.labels".
- "BytesReceived" è stato mappato a "network.received_bytes".
- "BytesSent" è stato mappato a "network.sent_bytes".
- "Protocollo" è stato mappato a "network.ip_protocol".
- "ClientTCPHandshakeDurationMs" è stato mappato a "additional.fields".
- "ClientTLSCipher" è stato mappato a "network.tls.cipher".
- "ClientTLSHandshakeDurationMs" è stato mappato a "additional.fields".
- "ClientTLSVersion" è stato mappato a "network.tls.version".
- "ConnectionCloseReason" è stato mappato a "additional.fields".
- "ConnectionReuse" è stato mappato a "additional.fields".
- "DestinationTunnelID" è stato mappato a "additional.fields".
- "EgressIP" è stato mappato a "principal.ip".
- "EgressPort" è stato mappato a "principal.port".
- "EgressRuleID" è stato mappato a "additional.fields".
- "EgressRuleName" è stato mappato a "additional.fields".
- "IngressColoName" è stato mappato a "additional.fields".
- "Offramp" è stato mappato a "additional.fields".
- "OriginIP" è stato mappato a "target.ip".
- "OriginPort" è stato mappato a "target.port".
- "OriginTLSCertificateIssuer" è stato mappato a "additional.fields".
- "OriginTLSCertificateValidationResult" è stato mappato a "additional.fields".
- "OriginTLSCipher" è stato mappato a "additional.fields".
- "OriginTLSHandshakeDurationMs" è stato mappato a "additional.fields".
- "OriginTLSVersion" è stato mappato a "additional.fields".
- "RuleEvaluationDurationMs" è stato mappato a "additional.fields".
- "SessionEndTime" è stato mappato a "additional.fields".
- "SessionStartTime" è stato mappato a "metadata.event_timestamp".
- "SourceIP" è stato mappato a "src.ip".
- "SourcePort" è stato mappato a "src.port".
- "UserID" è stato mappato a "principal.user.product_object_id".
- "VirtualNetworkID" è stato mappato a "principal.resource.product_object_id".
2023-04-06
- Miglioramento: sono stati dichiarati i campi "WAFRuleMessage", "WAFAction", "QueryType", "RayID", "Email" a livello globale.
- "metadata.event_type" è stato mappato come "NETWORK_UNCATEGORIZED" se i campi "QueryName" e "QueryNameReversed" sono null.
- Sono stati aggiunti controlli degli errori per i seguenti campi: RData[n].type, RData[n].data, EdgeResponseBytes, ClientRequestBytes, EdgeResponseStatus.
- È stata aggiunta la conversione di stringhe per i campi "SourcePort" e "DestinationPort".
2022-10-10
- Miglioramento
- "metadata.product_name" è stato mappato a "Web Application Firewall".
- "metadata.vendor_name" è stato mappato a "Cloudflare".
2022-05-23
- Miglioramento per mappare i seguenti elementi dei log non elaborati agli elementi UDM:
- "ClientASN" è stato mappato a "network.asn".
- "ClientSSLCipher" è stato mappato a "network.tls.cipher".
- È stata mappata la proprietà "ClientSSLProtocol" a "network.tls.version".
- È stata mappata la proprietà "EdgeResponseContentType" a "target.file.mime_type".
- "OriginIP" è stato mappato a "intermediary.ip".
- È stata mappata la colonna "FirewallMatchesActions" a "security_result.action".
- È stata eseguita la mappatura di "FirewallMatchesRuleIDs" a "security_result.rule_id".
- "FirewallMatchesSources" è stato mappato a "security_result.rule_name".
- Sono stati mappati "WAFRuleID" e "WAFProfile" a "security_result.about.labels".
- Sono stati mappati "CacheCacheStatus", "CacheResponseBytes", "CacheResponseStatus", "ClientDeviceType", "EdgeColoCode", "EdgeColoID", "OriginResponseBytes", "OriginResponseStatus", "OriginResponseTime", "ZoneID" a "additional.fields".