Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Cloudflare

Supportato in:

Google SecOps SIEM

Panoramica

Questo parser gestisce vari tipi di log di Cloudflare (DNS, HTTP, audit, Zero Trust, CASB). Innanzitutto, normalizza i campi comuni e poi applica la logica condizionale in base a campi specifici come QueryName, Action e ID per estrarre e mappare i dati pertinenti all'UDM. Esegue anche conversioni di tipo di dati, corrispondenze Grok per indirizzi IP e hash e gestisce i payload JSON nidificati.

Prima di iniziare

Assicurati di avere un'istanza Google SecOps.
Assicurati di disporre dell'accesso con privilegi a Google Cloud IAM.
Assicurati di disporre dell'accesso con privilegi a Google Cloud Storage.
Assicurati di disporre dell'accesso con privilegi a Cloudflare.

Crea un bucket Google Cloud Storage

accedi alla console Google Cloud
Vai alla pagina Bucket Cloud Storage.

Vai a Bucket
Fai clic su Crea.
Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio che segue, fai clic su Continua per passare al passaggio successivo:
1. Nella sezione Inizia:
  1. Inserisci un nome univoco che soddisfi i requisiti per i nomi dei bucket (ad esempio cloudflare-data).
  2. Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per i workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita uno spazio dei nomi gerarchico in questo bucket.
  Nota: non puoi attivare lo spazio dei nomi gerarchico in un bucket esistente.
  1. Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.
  2. Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.
2. Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:
  1. Seleziona un Tipo di località.
  2. Utilizza l'elenco a discesa del tipo di località per selezionare una località in cui verranno archiviati definitivamente i dati degli oggetti all'interno del bucket.
    1. Se selezioni il tipo di località a due regioni, puoi anche scegliere di attivare la replica turbo utilizzando la casella di controllo pertinente.
  3. Per configurare la replica tra bucket, espandi la sezione Configura la replica tra bucket.
3. Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket oppure Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.
4. Nella sezione Scegli come controllare l'accesso agli oggetti, seleziona no per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.
  
  Nota: se la prevenzione dell'accesso pubblico è già applicata dal criterio dell'organizzazione del progetto, la casella di controllo Impedisci accesso pubblico è bloccata.
5. Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:
  1. Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
  2. Per scegliere la modalità di crittografia dei dati degli oggetti, fai clic sulla freccia di espansione etichettata Crittografia dei dati e seleziona un Metodo di crittografia dei dati.
Fai clic su Crea.

Creare un account di servizio Google Cloud

Vai a IAM e amministrazione > Account di servizio.
Crea un nuovo account di servizio.
Assegna un nome descrittivo (ad esempio cloudflare-logs).
Concedi all'account di servizio il ruolo Creatore oggetti archiviazione nel bucket GCS creato nel passaggio precedente.
Crea una chiave SSH per l'account di servizio.
Scarica un file della chiave JSON per l'account di servizio. Mantieni al sicuro questo file.

Attivare l'IAM di Cloudflare per Google Cloud Storage

Vai a Spazio di archiviazione > Browser > Bucket > Autorizzazioni.
Aggiungi il membro logpush@cloudflare-data.iam.gserviceaccount.com con l'autorizzazione Amministratore oggetti Storage.

Configurare un feed in Google SecOps per importare i log di Cloudflare

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log Cloudflare).
Seleziona Google Cloud Storage come Tipo di origine.
Seleziona Cloudflare come Tipo di log.
Fai clic su Ricevi account di servizio come Account di servizio Chronicle.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URI del bucket di archiviazione: URL del bucket di archiviazione Google Cloud in formato gs://my-bucket/<value>.
- L'URI è una: seleziona Directory che include sottodirectory.
- Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
Nota: se selezioni l'opzione Delete transferred files o Delete transferred files and empty directories, assicurati di aver concesso le autorizzazioni appropriate all'account di servizio.
- Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
Fai clic su Avanti.
Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.

Configura Cloudflare per inviare i log a Google Cloud Storage

Accedi alla dashboard di Cloudflare.
Seleziona l'account o il dominio Enterprise (noto anche come zona) da utilizzare con Logpush.
Vai ad Analytics e log > Logpush.
Seleziona il job Crea un job Logpush.
In Seleziona una destinazione, seleziona Google Cloud Storage.
Inserisci o seleziona i seguenti dettagli della destinazione:
- Bucket: nome del bucket GCS
- Percorso: posizione del bucket all'interno del contenitore di archiviazione
- Casella di controllo: organizza i log in sottocartelle giornaliere (opzione consigliata)
Nota: assicurati che il tuo bucket abbia IAM di Cloudflare come utente con il ruolo Amministratore oggetti Storage.
Fai clic su Continua.
Verifica della proprietà:
1. Cloudflare invierà un file al tuo bucket.
2. Copia e incolla il token:
  1. Accedi alla console Google Cloud > Storage > Bucket Cloudflare.
  2. Apri il file della contestazione della proprietà.
  3. Copia il token di proprietà.
  4. Inserisci il token di proprietà nella console Cloudflare.
  5. Seleziona Continua.
3. Seleziona il set di dati da inviare al bucket.
Configura il job logpush:
1. Inserisci il nome del job.
2. In Se i log corrispondono, puoi selezionare gli eventi da includere e/o rimuovere dai log.
Nota: questa opzione non è disponibile per tutti i set di dati.
1. Invia i seguenti campi: seleziona Invia tutti i log o scegli in modo selettivo i log da inviare.
Seleziona Invia per finalizzare la configurazione.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
`AccountID`	`target.resource.id`, `target.resource.product_object_id`	L'ID account associato all'evento.
`Action`	`security_result.action`	Azione intrapresa in base all'evento. `allow` o `allowed*` restituisce `ALLOW`. `unknown` genera `UNKNOWN_ACTION`. Gli altri valori generano `BLOCK`. Per i log di accesso, `login` corrisponde a `USER_LOGIN`, `logout` a `USER_LOGOUT` e altri valori a `USER_RESOURCE_ACCESS` se è presente un'email.
`ActionResult`	`security_result.action`	Se `true`, mappa a `ALLOW`. Se `false`, mappa a `BLOCK`. In caso contrario, viene mappato a `UNKNOWN_ACTION`.
`ActionType`	`security_result.description`	Descrizione dell'azione eseguita.
`ActorEmail`	`principal.user.email_addresses`	Indirizzo email dell'attore che avvia l'evento.
`ActorID`	`principal.user.product_object_id`	ID dell'attore che avvia l'evento.
`ActorIP`	`principal.ip`, `principal.asset.ip`	Indirizzo IP dell'attore che avvia l'evento.
`Allowed`	`security_result.action`	Se `true`, mappa a `ALLOW`. In caso contrario, viene mappato a `BLOCK`.
`AppDomain`	`target.administrative_domain`	Dominio dell'applicazione coinvolta nell'evento.
`AppUUID`	`target.resource.product_object_id`	UUID dell'applicazione coinvolta nell'evento.
`AssetDisplayName`	`principal.asset.attribute.labels.value` dove la chiave è `AssetDisplayName`	Nome visualizzato della risorsa.
`AssetExternalID`	`principal.asset_id` (con il prefisso "Cloudflare:")	ID esterno della risorsa.
`AssetLink`	`principal.url`	Link associato alla risorsa.
`AssetMetadata.agreedToTerms`	`principal.user.attribute.labels.value` dove la chiave è `agreedToTerms`	Indica se l'utente ha accettato i termini.
`AssetMetadata.changePasswordAtNextLogin`	`principal.user.attribute.labels.value` dove la chiave è `changePasswordAtNextLogin`	Indica se l'utente deve cambiare la password al successivo accesso.
`AssetMetadata.clientId`	`principal.user.userid`	L'ID cliente dai metadati della risorsa.
`AssetMetadata.customerId`	`principal.user.userid`	L'ID cliente dai metadati della risorsa.
`AssetMetadata.familyName`	`principal.user.last_name`	Cognome dell'utente dai metadati della risorsa.
`AssetMetadata.givenName`	`principal.user.first_name`	Nome dell'utente dai metadati della risorsa.
`AssetMetadata.includeInGlobalAddressList`	`principal.user.attribute.labels.value` dove la chiave è `includeInGlobalAddressList`	Se l'utente è incluso nell'elenco indirizzi globale.
`AssetMetadata.ipWhitelisted`	`principal.user.attribute.labels.value` dove la chiave è `ipWhitelisted`	Indica se l'utente è presente nella lista bianca degli IP.
`AssetMetadata.isAdmin`	`principal.user.attribute.labels.value` dove la chiave è `isAdmin`	Indica se l'utente è un amministratore.
`AssetMetadata.isDelegatedAdmin`	`principal.user.attribute.labels.value` dove la chiave è `isDelegatedAdmin`	Indica se l'utente è un amministratore delegato.
`AssetMetadata.isEnforcedIn2Sv`	`principal.user.attribute.labels.value` dove la chiave è `isEnforcedIn2Sv`	Indica se la verifica in due passaggi è impostata per l'utente.
`AssetMetadata.isEnrolledIn2Sv`	`principal.user.attribute.labels.value` dove la chiave è `isEnrolledIn2Sv`	Indica se l'utente è registrato alla verifica in due passaggi.
`AssetMetadata.kind`	(Non mappato)	Non mappato all'oggetto IDM.
`AssetMetadata.lastLoginTime`	`principal.user.attribute.labels.value` dove la chiave è `lastLoginTime`	Data e ora dell'ultimo accesso dell'utente.
`AssetMetadata.login`	`principal.user.userid`	Nome utente dai metadati della risorsa.
`AssetMetadata.name.familyName`	`principal.user.last_name`	Il cognome contenuto nei metadati della risorsa.
`AssetMetadata.name.fullName`	`principal.user.user_display_name`	Nome completo contenuto nei metadati della risorsa.
`AssetMetadata.name.givenName`	`principal.user.first_name`	Nome proprio contenuto nei metadati della risorsa.
`AssetMetadata.nativeApp`	`security_result.detection_fields.value` dove la chiave è `nativeApp`	Indica se l'app è nativa.
`AssetMetadata.owner.id`	`principal.user.userid`	ID proprietario dai metadati della risorsa.
`AssetMetadata.primaryEmail`	`principal.user.email_addresses`	Indirizzo email principale dai metadati della risorsa.
`AssetMetadata.scopes`	(Non mappato)	Non mappato all'oggetto IDM.
`AssetMetadata.site_admin`	`principal.user.attribute.labels.value` dove la chiave è `site_admin`	Indica se l'utente è un amministratore del sito.
`AssetMetadata.suspended`	`principal.user.attribute.labels.value` dove la chiave è `suspended`	Indica se l'utente è sospeso.
`AssetMetadata.url`	`principal.url`	URL dai metadati della risorsa.
`AssetMetadata.userKey`	`principal.user.attribute.labels.value` dove la chiave è `userKey`	Chiave utente dai metadati della risorsa.
`BlockedFileHash`	`target.file.md5`, `target.file.sha1`, `target.file.sha256`	Hash del file bloccato. Analizzata utilizzando grok per estrarre md5, sha1 o sha256.
`BlockedFileName`	`security_result.about.file.full_path`	Nome del file bloccato.
`BlockedFileReason`	`security_result.summary`	Motivo del blocco del file.
`BlockedFileSize`	`target.file.size`	Dimensioni del file bloccato.
`BotScore`	`security_result.detection_fields.value` dove la chiave è `BotScore`	Punteggio del bot assegnato alla richiesta.
`BytesReceived`	`network.received_bytes`	Numero di byte ricevuti.
`BytesSent`	`network.sent_bytes`	Numero di byte inviati.
`CacheCacheStatus`	`additional.fields.value.string_value` dove la chiave è `CacheCacheStatus`	Stato della cache.
`CacheResponseBytes`	`additional.fields.value.string_value` dove la chiave è `CacheResponseBytes`	Numero di byte nella risposta memorizzata nella cache.
`CacheResponseStatus`	`additional.fields.value.string_value` dove la chiave è `CacheResponseStatus`	Codice di stato della risposta memorizzata nella cache.
`ClientASN`	(Non mappato)	Non mappato all'oggetto IDM.
`ClientCountry`	`principal.location.country_or_region`	Il paese del cliente.
`ClientDeviceType`	`additional.fields.value.string_value` dove la chiave è `ClientDeviceType`	Tipo di dispositivo client.
`ClientIP`	`principal.ip`, `principal.asset.ip`	Indirizzo IP del client.
`ClientRequestMethod`	`network.http.method`	Metodo di richiesta HTTP utilizzato dal client.
`ClientRequestHost`	`target.hostname`, `target.asset.hostname`	Nome host richiesto dal cliente.
`ClientRequestPath`	(Non mappato)	Non mappato all'oggetto IDM.
`ClientRequestProtocol`	`network.application_protocol`	Protocollo utilizzato nella richiesta del client (ad es. HTTP, HTTPS). La versione del protocollo viene rimossa.
`ClientRequestReferer`	`network.http.referral_url`	URL referrer della richiesta del client.
`ClientRequestURI`	`target.url` (combinato con `ClientRequestHost`, se presente)	URI richiesto dal client.
`ClientRequestUserAgent`	`network.http.user_agent`	User agent della richiesta del client. Inoltre, viene analizzato e mappato a `network.http.parsed_user_agent`.
`ClientSSLCipher`	`network.tls.cipher`	Algoritmo di crittografia SSL utilizzato dal client.
`ClientSSLProtocol`	`network.tls.version`	Protocollo SSL utilizzato dal client.
`ClientSrcPort`	`principal.port`	Porta di origine del client.
`ClientTCPHandshakeDurationMs`	`additional.fields.value.string_value` dove la chiave è `ClientTCPHandshakeDurationMs`	Durata del handshake TCP del client.
`ClientTLSHandshakeDurationMs`	`additional.fields.value.string_value` dove la chiave è `ClientTLSHandshakeDurationMs`	Durata dell'handshake TLS del client.
`ClientTLSVersion`	`network.tls.version`	La versione TLS utilizzata dal client.
`ColoID`	(Non mappato)	Non mappato all'oggetto IDM.
`Connection`	`target.resource.attribute.labels.value` dove la chiave è `Connection`	Tipo di connessione (ad es. saml).
`ConnectionCloseReason`	`additional.fields.value.string_value` dove la chiave è `ConnectionCloseReason`	Motivo della chiusura della connessione.
`ConnectionReuse`	`additional.fields.value.string_value` dove la chiave è `ConnectionReuse`	Indica se si è verificato il riutilizzo della connessione.
`Country`	`target.location.country_or_region`	Paese associato all'evento.
`CreatedAt`	`metadata.event_timestamp`	Timestamp della creazione dell'evento.
`Datetime`	`metadata.event_timestamp`	Data e ora dell'evento.
`DestinationIP`	`target.ip`, `target.asset.ip`	Indirizzo IP di destinazione.
`DestinationPort`	`target.port`	Porta di destinazione.
`DestinationTunnelID`	`additional.fields.value.string_value` dove la chiave è `DestinationTunnelID`	ID del tunnel di destinazione.
`DeviceID`	`principal.asset_id` (con il prefisso "Cloudflare:")	ID del dispositivo.
`DeviceName`	`principal.hostname`, `principal.asset.hostname`, `principal.asset.attribute.labels.value` dove la chiave è `DeviceName`	Nome del dispositivo.
`DownloadedFileNames`	`security_result.about.labels.value` dove la chiave è `DownloadFileNames`	Nomi dei file scaricati.
`DstIP`	`target.ip`, `target.asset.ip`	Indirizzo IP di destinazione.
`DstPort`	`target.port`	Porta di destinazione.
`EdgeColoCode`	`additional.fields.value.string_value` dove la chiave è `EdgeColoCode`	Codice della posizione della piattaforma di edge Cloudflare.
`EdgeColoID`	`additional.fields.value.string_value` dove la chiave è `EdgeColoID`	ID posizione edge di Cloudflare.
`EdgeEndTimestamp`	(Non mappato)	Non mappato all'oggetto IDM.
`EdgeResponseBytes`	`network.received_bytes`	Numero di byte nella risposta dall'edge.
`EdgeResponseContentType`	`target.file.mime_type`	Tipo di contenuti della risposta dell'edge.
`EdgeResponseStatus`	`network.http.response_code`	Codice di stato della risposta dell'edge.
`EdgeServerIP`	`target.ip`, `target.asset.ip`	Indirizzo IP del server edge.
`EdgeStartTimestamp`	`metadata.event_timestamp`	Timestamp dell'inizio della richiesta all'edge.
`Email`	`principal.user.email_addresses`, `target.user.email_addresses`	Indirizzo email associato all'evento.
`EgressColoName`	`additional.fields.value.string_value` dove la chiave è `EgressColoName`	Nome del colo di uscita.
`EgressIP`	`principal.ip`, `principal.asset.ip`	Indirizzo IP in uscita. Imposta `network.direction` su `OUTBOUND`.
`EgressPort`	`principal.port`	Porta di uscita.
`EgressRuleID`	`additional.fields.value.string_value` dove la chiave è `EgressRuleID`	ID della regola in uscita.
`EgressRuleName`	`additional.fields.value.string_value` dove la chiave è `EgressRuleName`	Nome della regola in uscita.
`FindingTypeDisplayName`	`security_result.description`	Nome visualizzato del tipo di risultato.
`FindingTypeID`	`security_result.rule_id`	ID del tipo di risultato.
`FindingTypeSeverity`	`security_result.severity`	Gravità del tipo di risultato.
`FirewallMatchesActions`	`security_result.action`	Azioni intraprese dalle regole del firewall. `allow`, `Allow`, `ALLOW`, `skip`, `SKIP`, `Skip` mappati a `ALLOW`. `challengeSolved` e `jschallengeSolved` corrispondono a `ALLOW_WITH_MODIFICATION`. `drop` e `block` corrispondono a `BLOCK`. Gli altri valori vengono mappati a `UNKNOWN_ACTION`.
`FirewallMatchesRuleIDs`	`security_result.rule_id` (per il primo ID), gli ID successivi creano nuovi oggetti `security_result`.	ID delle regole firewall che hanno dato una corrispondenza.
`FirewallMatchesSources`	`security_result.rule_name`	Origini delle regole firewall corrispondenti.
`HTTPHost`	`target.hostname`	Host HTTP.
`HTTPMethod`	`network.http.method`	Metodo HTTP.
`HTTPVersion`	`network.application_protocol`	Se il valore contiene "HTTP", imposta `network.application_protocol` su `HTTP`.
`ID`	`metadata.product_log_id`	ID dell'evento.
`IngressColoName`	`additional.fields.value.string_value` dove la chiave è `IngressColoName`	Nome della colonna di ingresso.
`InstanceID`	`principal.resource.product_object_id`	ID dell'istanza.
`IntegrationDisplayName`	`additional.fields.value.string_value` dove la chiave è `IntegrationDisplayName`	Nome visualizzato dell'integrazione.
`IntegrationID`	`metadata.product_deployment_id`	ID dell'integrazione.
`IntegrationPolicyVendor`	`additional.fields.value.string_value` dove la chiave è `IntegrationPolicyVendor`	Fornitore del criterio di integrazione.
`IPAddress`	`target.ip`, `target.asset.ip`	Indirizzo IP associato all'evento.
`IsIsolated`	`about.labels.value` dove la chiave è `IsIsolated`, `security_result.about.resource.attribute.labels.value` dove la chiave è `IsIsolated`	Se l'evento è isolato.
`Location`	`principal.location.name`	Posizione associata all'evento.
`NewValue`	`security_result.about.labels.value` dove la chiave è `NewValue`	Nuovo valore dopo un aggiornamento.
`Offramp`	`additional.fields.value.string_value` dove la chiave è `Offramp`	Offramp utilizzato nella connessione.
`OldValue`	`security_result.about.labels.value` dove la chiave è `OldValue`	Valore precedente prima di un aggiornamento.
`OriginIP`	`intermediary.ip`, `target.ip`, `target.asset.ip`	Indirizzo IP di origine.
`OriginPort`	`target.port`	Porta di origine.
`OriginResponseBytes`	`additional.fields.value.string_value` dove la chiave è `OriginResponseBytes`	Numero di byte nella risposta dell'origine.
`OriginResponseStatus`	`additional.fields.value.string_value` dove la chiave è `OriginResponseStatus`	Codice di stato della risposta dell'origine.
`OriginResponseTime`	`additional.fields.value.string_value` dove la chiave è `OriginResponseTime`	Tempo di risposta dell'origine.
`OriginSSLProtocol`	(Non mappato)	Non mappato all'oggetto IDM.
`OriginTLSCertificateIssuer`	`additional.fields.value.string_value` dove la chiave è `OriginTLSCertificateIssuer`	Emittente del certificato TLS di origine.
`OriginTLSCertificateValidationResult`	`additional.fields.value.string_value` dove la chiave è `OriginTLSCertificateValidationResult`	Risultato della convalida del certificato TLS di origine.
`OriginTLSCipher`	`additional.fields.value.string_value` dove la chiave è `OriginTLSCipher`	Algoritmo di crittografia utilizzato nella connessione TLS di origine.
`OriginTLSHandshakeDurationMs`	`additional.fields.value.string_value` dove la chiave è `OriginTLSHandshakeDurationMs`	Durata dell'handshake TLS di origine.
`OriginTLSVersion`	`additional.fields.value.string_value` dove la chiave è `OriginTLSVersion`	Versione TLS utilizzata dall'origine.
`OwnerID`	`target.user.product_object_id`	ID del proprietario.
`Policy`	`security_result.rule_name`	Norme associate all'evento.
`PolicyID`	`security_result.rule_id`	ID del criterio.
`PolicyName`	`security_result.rule_name`	Nome del criterio.
`Protocol`	`network.application_protocol`, `network.ip_protocol`	Protocollo utilizzato nella connessione. Se non "tls" o "TLS", viene convertito in lettere maiuscole e mappato a `network.application_protocol`. In caso contrario, viene analizzato utilizzando un file include e mappato a `network.ip_protocol`.
`PurposeJustificationPrompt`	(Non mappato)	Non mappato all'oggetto IDM.
`PurposeJustificationResponse`	(Non mappato)	Non mappato all'oggetto IDM.
`QueryCategoryIDs`	`security_result.about.labels.value`, `security_result.about.resource.attribute.labels.value` dove la chiave è `QueryCategoryIDs`	ID delle categorie di query.
`QueryName`	`network.dns.questions.name`	Nome della query DNS. Imposta `metadata.event_type` su `NETWORK_DNS` e `network.application_protocol` su `DNS`.
`QueryNameReversed`	`network.dns.questions.name`	Nome invertito della query DNS.
`QuerySize`	`network.sent_bytes`	Dimensioni della query.
`QueryType`	`network.dns.questions.type`	Tipo di query DNS. Mappato a valori numerici in base ai codici di tipo di query DNS.
`RData`	`network.dns.answers.type`, `network.dns.answers.data`	Dati del record DNS. Ogni elemento dell'array `RData` crea un nuovo oggetto `answer`.
`RayID`	`metadata.product_log_id`	L'ID Ray associato alla richiesta.
`Referer`	`network.http.referral_url`	URL del referrer.
`RequestID`	`metadata.product_log_id`	ID della richiesta.
`ResolverDecision`	`security_result.summary`	Decisione presa dal risolutore.
`ResourceID`	`target.resource.id`, `target.resource.product_object_id`	ID della risorsa.
`ResourceType`	`target.resource.resource_subtype`	Tipo di risorsa.
`RuleEvaluationDurationMs`	`additional.fields.value.string_value` dove la chiave è `RuleEvaluationDurationMs`	Durata della valutazione delle regole.
`SNI`	`network.tls.client.server_name`	Indicazione nome server (SNI) nel messaggio di saluto del client TLS.
`SecurityAction`	`security_result.action`	Azione di sicurezza intrapresa. Valore vuoto o nessun `SecurityAction` corrisponde a `ALLOW`. `challengeSolved` o `jschallengeSolved` corrisponde a `ALLOW_WITH_MODIFICATION`. `drop` o `block` corrisponde a `BLOCK`.
`SecurityLevel`	`security_result.severity`	Livello di sicurezza. `high` corrisponde a `HIGH`, `med` a `MEDIUM` e `low` a `LOW`.
`SessionEndTime`	`additional.fields.value.string_value` dove la chiave è `SessionEndTime`	Ora di fine della sessione.
`SessionID`	`network.session_id`	ID della sessione.
`SessionStartTime`	`metadata.event_timestamp`	Ora di inizio della sessione.
`SourceIP`	`principal.ip`, `principal.asset.ip`, `src.ip`, `src.asset.ip`	Indirizzo IP di origine.
`SourcePort`	`principal.port`, `src.port`	Porta di origine.
`SrcIP`	`principal.ip`, `principal.asset.ip`	Indirizzo IP di origine.
`SrcPort`	`principal.port`	Porta di origine.
`TemporaryAccessDuration`	`network.session_duration.seconds`	Durata dell'accesso temporaneo.
`Timestamp`	`metadata.event_timestamp`	Timestamp dell'evento.
`Transport`	`network.ip_protocol`	Protocollo di trasporto. Convertito in lettere maiuscole e analizzato utilizzando un file include.
`UploadedFileNames`	`security_result.about.labels.value` dove la chiave è `UploadedFileNames`	Nomi dei file caricati.
`URL`	`target.url`	URL coinvolto nell'evento.
`UserAgent`	`network.http.user_agent`	Stringa dello user agent. Inoltre, viene analizzato e mappato a `network.http.parsed_user_agent`.
`UserID`	`principal.user.product_object_id`, `event.idm.read_only_udm.target.user.product_object_id`	ID dell'utente.
`UserUID`	`target.user.product_object_id`	UID dell'utente.
`VirtualNetworkID`	`principal.resource.product_object_id`	ID della rete virtuale.
`WAFAction`	`security_result.about.labels.value` dove la chiave è `WAFAction`	Azione intrapresa dal web application firewall (WAF).
`WAFAttackScore`	`security_result.about.resource.attribute.labels.value` dove la chiave è `WAFAttackScore`	Punteggio di attacco assegnato dal WAF.
`WAFFlags`	`security_result.about.resource.attribute.labels.value` dove la chiave è `WAFFlags`	Flag WAF.
`WAFMatchedVar`	(Non mappato)	Non mappato all'oggetto IDM.
`WAFProfile`	`security_result.about.labels.value` dove la chiave è `WAFProfile`	Profilo WAF.
`WAFRCEAttackScore`	`security_result.about.resource.attribute.labels.value` dove la chiave è `WAFRCEAttackScore`	Punteggio dell'attacco di esecuzione di codice remoto (RCE) del WAF.
`WAFRuleID`	`security_result.threat_id`, `security_result.about.labels.value` dove la chiave è `WAFRuleID`	ID della regola WAF.
`WAFRuleMessage`	`security_result.rule_name`, `security_result.threat_name`	Messaggio associato alla regola WAF.
`WAFSQLiAttackScore`	`security_result.about.resource.attribute.labels.value` dove la chiave è `WAFSQLiAttackScore`	Punteggio dell'attacco SQL injection del WAF.
`WAFXSSAttackScore`	`security_result.about.resource.attribute.labels.value` dove la chiave è `WAFXSSAttackScore`	Punteggio dell'attacco di cross-site scripting (XSS) del WAF.
`ZoneID`	`additional.fields.value.string_value` dove la chiave è `ZoneID`	ID zona.
`event.idm.read_only_udm.metadata.event_type`	`metadata.event_type`	Tipo di evento. Impostato dall'analizzatore in base ai dati dei log. Se non è impostato o se un evento `NETWORK_DNS` non ha un principale o un target, il valore predefinito è `GENERIC_EVENT`. Può essere `NETWORK_DNS`, `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_LOGOUT`, `USER_RESOURCE_ACCESS`, `USER_RESOURCE_UPDATE_CONTENT` o `GENERIC_EVENT`.
`event.idm.read_only_udm.metadata.log_type`	`metadata.log_type`	Tipo di log, impostato su "CLOUDFLARE".
`event.idm.read_only_udm.metadata.product_deployment_id`	`metadata.product_deployment_id`	ID di deployment del prodotto.
`event.idm.read_only_udm.metadata.product_log_id`	`metadata.product_log_id`	ID log del prodotto.
`event.idm.read_only_udm.metadata.product_name`	`metadata.product_name`	Nome del prodotto. Impostato dall'analizzatore in base ai dati dei log. Può essere "Cloudflare Gateway DNS", "Cloudflare Gateway HTTP", "Cloudflare Audit", "Web Application Firewall".
`event.idm.read_only_udm.metadata.vendor_name`	`metadata.vendor_name`	Nome del fornitore, impostato su "Cloudflare".
`event.idm.read_only_udm.metadata.event_timestamp`	`metadata.event_timestamp`	Timestamp dell'evento.
`event.idm.read_only_udm.network.application_protocol`	`network.application_protocol`	Protocollo di applicazione utilizzato nella connessione di rete.
`event.idm.read_only_udm.network.direction`	`network.direction`	Direzione della connessione di rete. Impostato su `OUTBOUND` quando sono presenti `EgressIP` e `SourceIP`.
`event.idm.read_only_udm.network.dns.answers`	`network.dns.answers`	Risposte DNS.
`event.idm.read_only_udm.network.dns.questions`	`network.dns.questions`	Domande sul DNS.
`event.idm.read_only_udm.network.http.method`	`network.http.method`	Metodo HTTP.
`event.idm.read_only_udm.network.http.parsed_user_agent`	`network.http.parsed_user_agent`	User agent analizzato.
`event.idm.read_only_udm.network.http.referral_url`	`network.http.referral_url`	URL del referral HTTP.
`event.idm.read_only_udm.network.http.response_code`	`network.http.response_code`	Codice di risposta HTTP.
`event.idm.read_only_udm.network.http.user_agent`	`network.http.user_agent`	User agent HTTP.
`event.idm.read_only_udm.network.ip_protocol`	`network.ip_protocol`	Protocollo IP.
`event.idm.read_only_udm.network.received_bytes`	`network.received_bytes`	Numero di byte ricevuti.
`event.idm.read_only_udm.network.sent_bytes`	`network.sent_bytes`	Numero di byte inviati.
`event.idm.read_only_udm.network.session_duration.seconds`	`network.session_duration.seconds`	Durata della sessione di rete in secondi.
`event.idm.read_only_udm.network.session_id`	`network.session_id`	ID sessione di rete.
`event.idm.read_only_udm.network.tls.cipher`	`network.tls.cipher`	Suite di crittografia TLS.
`event.idm.read_only_udm.network.tls.client.server_name`	`network.tls.client.server_name`	Nome del server client TLS.
`event.idm.read_only_udm.network.tls.version`	`network.tls.version`	Versione TLS.
`event.idm.read_only_udm.principal.asset.attribute.labels`	`principal.asset.attribute.labels`	Etichette associate alla risorsa principale.
`event.idm.read_only_udm.principal.asset.hostname`	`principal.asset.hostname`	Nome host della risorsa principale.
`event.idm.read_only_udm.principal.asset.ip`	`principal.asset.ip`	Indirizzo IP della risorsa principale.
`event.idm.read_only_udm.principal.asset_id`	`principal.asset_id`	ID della risorsa principale.
`event.idm.read_only_udm.principal.hostname`	`principal.hostname`	Nome host dell'entità.
`event.idm.read_only_udm.principal.ip`	`principal.ip`	Indirizzo IP dell'entità.
`event.idm.read_only_udm.principal.location.country_or_region`	`principal.location.country_or_region`	Paese o regione in cui si trova il principale.
`event.idm.read_only_udm.principal.location.name`	`principal.location.name`	Nome della sede del principale.
`event.idm.read_only_udm.principal.port`	`principal.port`	Porta utilizzata dal principale.
`event.idm.read_only_udm.principal.resource.product_object_id`	`principal.resource.product_object_id`	ID oggetto prodotto della risorsa del principale.
`event.idm.read_only_udm.principal.url`	`principal.url`	URL associato al principale.
`event.idm.read_only_udm.principal.user.attribute.labels`	`principal.user.attribute.labels`	Etichette associate all'utente principale.
`event.idm.read_only_udm.principal.user.email_addresses`	`principal.user.email_addresses`	Indirizzi email dell'utente principale.
`event.idm.read_only_udm.principal.user.first_name`	`principal.user.first_name`	Nome dell'utente principale.
`event.idm.read_only_udm.principal.user.last_name`	`principal.user.last_name`	Cognome dell'utente principale.
`event.idm.read_only_udm.principal.user.product_object_id`	`principal.user.product_object_id`	ID oggetto prodotto dell'utente principale.
`event.idm.read_only_udm.principal.user.userid`	`principal.user.userid`	ID utente dell'utente principale.
`event.idm.read_only_udm.principal.user.user_display_name`	`principal.user.user_display_name`	Nome visualizzato dell'utente principale.
`event.idm.read_only_udm.src.asset.ip`	`src.asset.ip`	Indirizzo IP della risorsa di origine.
`event.idm.read_only_udm.src.ip`	`src.ip`	Indirizzo IP dell'origine.
`event.idm.read_only_udm.src.port`	`src.port`	Porta dell'origine.
`event.idm.read_only_udm.target.administrative_domain`	`target.administrative_domain`	Dominio amministrativo della destinazione.
`event.idm.read_only_udm.target.asset.hostname`	`target.asset.hostname`	Nome host della risorsa di destinazione.
`event.idm.read_only_udm.target.asset.ip`	`target.asset.ip`	Indirizzo IP della risorsa di destinazione.
`event.idm.read_only_udm.target.file.mime_type`	`target.file.mime_type`	Tipo MIME del file di destinazione.
`event.idm.read_only_udm.target.file.md5`	`target.file.md5`	Hash MD5 del file di destinazione.
`event.idm.read_only_udm.target.file.sha1`	`target.file.sha1`	Hash SHA1 del file di destinazione.
`event.idm.read_only_udm.target.file.sha256`	`target.file.sha256`	Hash SHA256 del file di destinazione.
`event.idm.read_only_udm.target.file.size`	`target.file.size`	Dimensioni del file di destinazione.
`event.idm.read_only_udm.target.hostname`	`target.hostname`	Nome host della destinazione.
`event.idm.read_only_udm.target.ip`	`target.ip`	Indirizzo IP della destinazione.
`event.idm.read_only_udm.target.location.country_or_region`	`target.location.country_or_region`	Paese o regione della località del target.
`event.idm.read_only_udm.target.port`	`target.port`	Porta del target.
`event.idm.read_only_udm.target.resource.attribute.labels`	`target.resource.attribute.labels`	Etichette associate alla risorsa di destinazione.
`event.idm.read_only_udm.target.resource.id`	`target.resource.id`	ID della risorsa di destinazione.
`event.idm.read_only_udm.target.resource.product_object_id`	`target.resource.product_object_id`	ID oggetto prodotto della risorsa di destinazione.
`event.idm.read_only_udm.target.resource.resource_subtype`	`target.resource.resource_subtype`	Sottotipo della risorsa target.
`event.idm.read_only_udm.target.url`	`target.url`	URL della destinazione.
`event.idm.read_only_udm.target.user.email_addresses`	`target.user.email_addresses`	Indirizzi email dell'utente di destinazione.
`event.idm.read_only_udm.target.user.product_object_id`	`target.user.product_object_id`	ID oggetto prodotto dell'utente di destinazione.
`event.idm.read_only_udm.security_result.about.file.full_path`	`security_result.about.file.full_path`	Percorso completo del file coinvolto nel risultato di sicurezza.
`event.idm.read_only_udm.security_result.about.labels`	`security_result.about.labels`	Etichette associate al risultato di sicurezza.
`event.idm.read_only_udm.security_result.about.resource.attribute.labels`	`security_result.about.resource.attribute.labels`	Etichette associate alla risorsa nel risultato di sicurezza.
`event.idm.read_only_udm.security_result.action`	`security_result.action`	Azione intrapresa nel risultato di sicurezza.
`event.idm.read_only_udm.security_result.detection_fields`	`security_result.detection_fields`	Campi di rilevamento nel risultato di sicurezza.
`event.idm.read_only_udm.security_result.description`	`security_result.description`	Descrizione del risultato di sicurezza.
`event.idm.read_only_udm.security_result.rule_id`	`security_result.rule_id`	ID regola del risultato di sicurezza.
`event.idm.read_only_udm.security_result.rule_name`	`security_result.rule_name`	Nome della regola del risultato di sicurezza.
`event.idm.read_only_udm.security_result.severity`	`security_result.severity`	Gravità del risultato di sicurezza.
`event.idm.read_only_udm.security_result.summary`	`security_result.summary`	Riepilogo del risultato della sicurezza.
`event.idm.read_only_udm.security_result.threat_id`	`security_result.threat_id`	ID minaccia del risultato di sicurezza.
`event.idm.read_only_udm.security_result.threat_name`	`security_result.threat_name`	Nome della minaccia del risultato di sicurezza.
`event.idm.read_only_udm.extensions.auth.type`	`extensions.auth.type`	Tipo di autenticazione. Impostato su `MACHINE` per gli eventi di accesso e disconnessione.
`event.idm.read_only_udm.about`	`about`	Informazioni.
`event.idm.read_only_udm.additional.fields`	`additional.fields`	Campi aggiuntivi.
`event.idm.read_only_udm.intermediary`	`intermediary`	Informazioni sull'intermediario.

Modifiche

2024-02-19

Correzione di bug:
Se non sono presenti dati della macchina principale e di destinazione, "metadata.event_type" viene mappato a "GENERIC_EVENT".
Quando il campo "Data e ora" non è presente e il campo "Timestamp" è presente, mappa "Timestamp" a "metadata.event_timestamp".
"ClientIP" è stato mappato a "principal.ip".
"RayID" è stato mappato a "metadata.product_log_id".
"EdgeResponseStatus" è stato mappato a "network.http.response_code".
"ClientRequestMethod" è stato mappato a "network.http.method".
"ClientRequestURI" è stato mappato a "target.uri".
"ClientRequestHost" è stato mappato a "target.hostname".

2024-01-31

"BotScore" è stato mappato a "security_result.detection_fields".
Mappature "principal.hostname", "target.hostname", "principal.asset.hostname" e "target.asset.hostname" allineate.
Mappature "principal.ip", "target.ip", "principal.asset.ip" e "target.asset.ip" allineate.

2024-01-08

Quando "Azione" contiene "consenti", imposta "security_result.action" su "ALLOW".
È stata aggiunta la mappatura di "DeviceName" a "principal.hostname", "principal.asset.hostname".
È stata aggiunta la mappatura di "SourceIP" a "principal.ip" per i log DNS.
È stato aggiunto un controllo condizionale nullo prima della mappatura di "principal" a "event.idm.read_only_udm.principal".
È stato aggiunto un controllo condizionale nullo prima della mappatura di "target" a "event.idm.read_only_udm.target".

2023-11-22

"WAFRuleID" è stato mappato a "security_result.threat_id".
"WAFRuleMessage" è stato mappato a "security_result.threat_name".
"WAFRCEAttackScore", "WAFSQLiAttackScore", "WAFXSSAttackScore", "WAFAttackScore", "WAFFlags" sono stati mappati a "security_result.about.resource.attribute.labels".

2023-10-09

Quando il valore "SecurityAction" è nullo o non è presente, imposta "security_result.action" su "ALLOW".

2023-09-26

Mappature modificate dall'utilizzo di campi UDM obsoleti a campi alternativi.
È stata aggiunta la mappatura da "security_result.about.labels" a "security_result.about.resource.attribute.labels".
È stata aggiunta la mappatura da "about.labels" a "security_result.about.resource.attribute.labels".
È stata aggiunta la mappatura da "target.resource.id" a "target.resource.product_object_id".

2023-04-25

Miglioramento per mappare i seguenti campi dei log non elaborati ai campi UDM:
Sono stati inizializzati su valori null "EdgeStartTimestamp", "ClientIP", "ClientRequestHost", "ClientRequestURI", "ClientRequestMethod", "Datetime", "ActorEmail" e "ActorIP".
"AssetExternalID" è stato mappato a "principal.asset_id".
"AssetDisplayName" è stato mappato a "principal.asset.attribute.labels".
"AssetLink" è stato mappato a "principal.url".
"AssetMetadata.userKey" è stato mappato a "principal.user.attribute.labels".
"AssetMetadata.clientId" è stato mappato a "principal.user.userid".
"AssetMetadata.anonymous" è stato mappato a "security_result.detection_fields".
"AssetMetadata.nativeApp" è stato mappato a "security_result.detection_fields".
"DetectedTimestamp" è stato mappato a "metadata.event_timestamp".
"FindingTypeDisplayName" è stato mappato a "security_result.description".
"FindingTypeID" è stato mappato a "security_result.rule_id".
"FindingTypeSeverity" è stato mappato a "security_result.severity".
"InstanceID" è stato mappato a "principal.resource.product_object_id".
"IntegrationDisplayName" è stato mappato a "additional.fields".
"IntegrationID" è stato mappato a "metadata.product_deployment_id".
"IntegrationPolicyVendor" è stato mappato a "additional.fields".
"AssetMetadata.customerId" è stato mappato a "principal.user.userid".
"AssetMetadata.primaryEmail" è stato mappato a "principal.user.email_addresses".
È stata mappata la colonna "AssetMetadata.agreedToTerms" a "principal.user.attribute.labels".
È stata mappata la colonna "AssetMetadata.ipWhitelisted" alla colonna "principal.user.attribute.labels".
"AssetMetadata.lastLoginTime" è stato mappato a "principal.user.attribute.labels".
È stata eseguita la mappatura di "AssetMetadata.isEnforcedIn2Sv" a "principal.user.attribute.labels".
"AssetMetadata.isEnrolledIn2Sv" è stato mappato a "principal.user.attribute.labels".
"AssetMetadata.isDelegatedAdmin" è stato mappato a "principal.user.attribute.labels".
È stata mappata la proprietà "AssetMetadata.changePasswordAtNextLogin" a "principal.user.attribute.labels".
"AssetMetadata.includeInGlobalAddressList" è stato mappato a "principal.user.attribute.labels".
"AssetMetadata.isAdmin" è stato mappato a "principal.user.attribute.labels".
"AssetMetadata.suspended" è stato mappato a "principal.user.attribute.labels".
"AssetMetadata.url" è stato mappato a "principal.url".
"AssetMetadata.site_admin" è stato mappato a "principal.user.attribute.labels".
"AssetMetadata.login" è stato mappato a "principal.user.userid".
"AssetMetadata.owner.id" è stato mappato a "principal.user.userid".
"AssetMetadata.name.fullName" è stato mappato a "principal.user.user_display_name".
"AssetMetadata.name.givenName" è stato mappato a "principal.user.first_name".
"AssetMetadata.name.familyName" è stato mappato a "principal.user.last_name".
"Consentito" è stato mappato a "security_result.action".
"AppDomain" è stato mappato a "target.administrative_domain".
"AppUUID" è stato mappato a "target.resource.product_object_id".
"Connessione" è stato mappato a "target.resource.attribute.labels".
"Paese" è stato mappato a "target.location.country_or_region".
"CreatedAt" è stato mappato a "metadata.event_timestamp".
"IPAddress" è stato mappato a "target.ip".
"RayID" è stato mappato a "metadata.product_log_id".
"Email" è stato mappato a "principal.user.email_addresses" e "target.user.email_addresses".
"TemporaryAccessDuration" è stato mappato a "network.session_duration.seconds".
"UserUID" è stato mappato a "target.user.product_object_id".
"UserAgent" è stato mappato a "network.http.parsed_user_agent".
"ClientRequestUserAgent" è stato mappato a "network.http.parsed_user_agent".
"PolicyName" è stato mappato a "security_result.rule_name".
"SessionID" è stato mappato a "network.session_id".
"Trasporto" è stato mappato a "network.ip_protocol".
"SNI" è stato mappato a "tls.client.server_name".
"DeviceName" è stato mappato a "principal.asset.attribute.labels".
"BytesReceived" è stato mappato a "network.received_bytes".
"BytesSent" è stato mappato a "network.sent_bytes".
"Protocollo" è stato mappato a "network.ip_protocol".
"ClientTCPHandshakeDurationMs" è stato mappato a "additional.fields".
"ClientTLSCipher" è stato mappato a "network.tls.cipher".
"ClientTLSHandshakeDurationMs" è stato mappato a "additional.fields".
"ClientTLSVersion" è stato mappato a "network.tls.version".
"ConnectionCloseReason" è stato mappato a "additional.fields".
"ConnectionReuse" è stato mappato a "additional.fields".
"DestinationTunnelID" è stato mappato a "additional.fields".
"EgressIP" è stato mappato a "principal.ip".
"EgressPort" è stato mappato a "principal.port".
"EgressRuleID" è stato mappato a "additional.fields".
"EgressRuleName" è stato mappato a "additional.fields".
"IngressColoName" è stato mappato a "additional.fields".
"Offramp" è stato mappato a "additional.fields".
"OriginIP" è stato mappato a "target.ip".
"OriginPort" è stato mappato a "target.port".
"OriginTLSCertificateIssuer" è stato mappato a "additional.fields".
"OriginTLSCertificateValidationResult" è stato mappato a "additional.fields".
"OriginTLSCipher" è stato mappato a "additional.fields".
"OriginTLSHandshakeDurationMs" è stato mappato a "additional.fields".
"OriginTLSVersion" è stato mappato a "additional.fields".
"RuleEvaluationDurationMs" è stato mappato a "additional.fields".
"SessionEndTime" è stato mappato a "additional.fields".
"SessionStartTime" è stato mappato a "metadata.event_timestamp".
"SourceIP" è stato mappato a "src.ip".
"SourcePort" è stato mappato a "src.port".
"UserID" è stato mappato a "principal.user.product_object_id".
"VirtualNetworkID" è stato mappato a "principal.resource.product_object_id".

2023-04-06

Miglioramento: sono stati dichiarati i campi "WAFRuleMessage", "WAFAction", "QueryType", "RayID", "Email" a livello globale.
"metadata.event_type" è stato mappato come "NETWORK_UNCATEGORIZED" se i campi "QueryName" e "QueryNameReversed" sono null.
Sono stati aggiunti controlli degli errori per i seguenti campi: RData[n].type, RData[n].data, EdgeResponseBytes, ClientRequestBytes, EdgeResponseStatus.
È stata aggiunta la conversione di stringhe per i campi "SourcePort" e "DestinationPort".

2022-10-10

Miglioramento
"metadata.product_name" è stato mappato a "Web Application Firewall".
"metadata.vendor_name" è stato mappato a "Cloudflare".

2022-05-23

Miglioramento per mappare i seguenti elementi dei log non elaborati agli elementi UDM:
"ClientASN" è stato mappato a "network.asn".
"ClientSSLCipher" è stato mappato a "network.tls.cipher".
È stata mappata la proprietà "ClientSSLProtocol" a "network.tls.version".
È stata mappata la proprietà "EdgeResponseContentType" a "target.file.mime_type".
"OriginIP" è stato mappato a "intermediary.ip".
È stata mappata la colonna "FirewallMatchesActions" a "security_result.action".
È stata eseguita la mappatura di "FirewallMatchesRuleIDs" a "security_result.rule_id".
"FirewallMatchesSources" è stato mappato a "security_result.rule_name".
Sono stati mappati "WAFRuleID" e "WAFProfile" a "security_result.about.labels".
Sono stati mappati "CacheCacheStatus", "CacheResponseBytes", "CacheResponseStatus", "ClientDeviceType", "EdgeColoCode", "EdgeColoID", "OriginResponseBytes", "OriginResponseStatus", "OriginResponseTime", "ZoneID" a "additional.fields".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.