Cloudflare のログを収集する
以下でサポートされています。
Google SecOpsSIEM
概要
このパーサーは、さまざまな Cloudflare ログタイプ(DNS、HTTP、監査、ゼロトラスト、CASB)を処理します。まず、一般的なフィールドを正規化し、QueryName、Action、ID などの特定のフィールドに基づいて条件付きロジックを適用し、関連するデータを抽出して UDM にマッピングします。また、データ型の変換、IP アドレスとハッシュの grok マッチング、ネストされた JSON ペイロードの処理も行います。
始める前に
- Google SecOps インスタンスがあることを確認します。
- Google Cloud IAM に対する特権アクセス権があることを確認します。
- Google Cloud Storage に対する特権アクセス権があることを確認します。
- Cloudflare への特権アクセス権があることを確認します。
Google Cloud Storage バケットを作成する
- Google Cloud コンソールにログインする
Cloud Storage バケットのページに移動します。
[作成] をクリックします。
[バケットの作成] ページでユーザーのバケット情報を入力します。以下のステップでは、操作を完了した後に [続行] をクリックして、次のステップに進みます。
[始める] セクションで、次の操作を行います。
- バケット名の要件を満たす一意の名前を入力します(cloudflare-data など)。
- 階層型名前空間を有効にするには、展開矢印をクリックして [Optimize for file oriented and data-intensive workloads] セクションを開き、[Enable Hierarchical namespace on this bucket] を選択します。
- バケットラベルを追加するには、展開矢印をクリックして [ラベル] セクションを開きます。
- [ラベルを追加] をクリックし、ラベルのキーと値を指定します。
[データの保存場所の選択] セクションで、次の操作を行います。
- ロケーション タイプを選択してください。
- ロケーション タイプのプルダウンを使用して、バケット内のオブジェクト データが永続的に保存されるロケーションを選択します。
- ロケーション タイプとして [デュアルリージョン] を選択した場合は、関連するチェックボックスを使用してターボ レプリケーションを有効にすることもできます。
- クロスバケット レプリケーションを設定するには、[クロスバケット レプリケーションを設定する] セクションを開きます。
[データのストレージ クラスを選択する] セクションで、バケットのデフォルトのストレージ クラスを選択します。あるいは、Autoclass を選択して、バケットデータのストレージ クラスを自動的に管理します。
[オブジェクトへのアクセスを制御する方法を選択する] セクションで、[公開アクセスの防止] を適用しない場合は [なし] を選択し、バケットのオブジェクトのアクセス制御モデルを選択します。
[オブジェクト データを保護する方法を選択する] セクションで、次の操作を行います。
- [データ保護] で、バケットに設定するオプションを選択します。
- オブジェクト データの暗号化方法を選択するには、[データ暗号化] というラベルの付いた展開矢印をクリックし、データ暗号化方法を選択します。
[作成] をクリックします。
Google Cloud サービス アカウントを作成する
- [IAM と管理] > [サービス アカウント] に移動します。
- 新しいサービス アカウントを作成します。
- わかりやすい名前を付けます(cloudflare-logs など)。
- 前の手順で作成した GCS バケットに対する ストレージ オブジェクト作成者ロールをサービス アカウントに付与します。
- サービス アカウントのSSH キーを作成します。
- サービス アカウントの JSON キーファイルをダウンロードします。このファイルを安全に保管してください。
Google Cloud Storage への Cloudflare IAM を有効にする
- [ストレージ] > [ブラウザ] > [バケット] > [権限] に移動します。
- ストレージ オブジェクト管理者権限を持つメンバー
logpush@cloudflare-data.iam.gserviceaccount.comを追加します。
Cloudflare ログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Cloudflare ログ)。
- [Source type] として [Google Cloud Storage] を選択します。
- [Log type] として [Cloudflare] を選択します。
- [Chronicle サービス アカウント] として [サービス アカウントを取得する] をクリックします。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
- Storage Bucket URI:
gs://my-bucket/<value>形式の Google Cloud Storage バケット URL。 - URI is a: [サブディレクトリを含むディレクトリ] を選択します。
- ソース削除オプション: 必要に応じて削除オプションを選択します。
- アセットの名前空間: アセットの名前空間。
- 取り込みラベル: このフィードのイベントに適用されるラベル。
- Storage Bucket URI:
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
Google Cloud Storage にログを送信するように Cloudflare を構成する
- Cloudflare ダッシュボードにログインします。
- Logpush で使用するエンタープライズ アカウントまたはドメイン(ゾーン)を選択します。
- [分析とログ] > [Logpush] に移動します。
- [Logpush ジョブを作成] を選択します。
- [宛先の選択] で [Google Cloud Storage] を選択します。
次の宛先の詳細を入力または選択します。
- Bucket: GCS バケット名
- パス: ストレージ コンテナ内のバケットの場所
- チェックボックス: ログを日付ごとのサブフォルダに整理する(推奨)
[続行] をクリックします。
所有権の確認:
- Cloudflare からバケットにファイルが送信されます。
- トークンをコピーして貼り付けます。
- Google Cloud コンソールにログインし、[> ストレージ] > [Cloudflare バケット] に移動します。
- 所有権の再確認ファイルを開きます。
- 所有権トークンをコピーします。
- Cloudflare コンソールに所有権トークンを入力します。
- [続行] を選択します。
- バケットに push するデータセットを選択します。
logpush ジョブを構成します。
- ジョブ名を入力します。
- [ログが一致する場合] で、ログに含めるイベントやログから削除するイベントを選択できます。
- 次のフィールドを送信する: [すべてのログを push] を選択するか、[push するログ] を選択します。
[送信] を選択して構成を確定します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
AccountID |
target.resource.id、target.resource.product_object_id |
イベントに関連付けられているアカウント ID。 |
Action |
security_result.action |
イベントに基づいて実行されるアクション。allow または allowed* は ALLOW になります。unknown の結果は UNKNOWN_ACTION です。他の値は BLOCK になります。アクセスログの場合、login は USER_LOGIN に、logout は USER_LOGOUT に、その他の値はメールアドレスが存在する場合は USER_RESOURCE_ACCESS にマッピングされます。 |
ActionResult |
security_result.action |
true の場合は、ALLOW にマッピングされます。false の場合は、BLOCK にマッピングされます。それ以外の場合は UNKNOWN_ACTION にマッピングされます。 |
ActionType |
security_result.description |
実行されたアクションの説明。 |
ActorEmail |
principal.user.email_addresses |
イベントを開始したユーザーのメールアドレス。 |
ActorID |
principal.user.product_object_id |
イベントを開始したアクターの ID。 |
ActorIP |
principal.ip、principal.asset.ip |
イベントを開始したアクターの IP アドレス。 |
Allowed |
security_result.action |
true の場合は、ALLOW にマッピングされます。それ以外の場合は BLOCK にマッピングされます。 |
AppDomain |
target.administrative_domain |
イベントに関連するアプリケーションのドメイン。 |
AppUUID |
target.resource.product_object_id |
イベントに関連するアプリケーションの UUID。 |
AssetDisplayName |
principal.asset.attribute.labels.value(キーが AssetDisplayName の場合) |
アセットの表示名。 |
AssetExternalID |
principal.asset_id(「Cloudflare:」が接頭辞) |
アセットの外部 ID。 |
AssetLink |
principal.url |
アセットに関連付けられているリンク。 |
AssetMetadata.agreedToTerms |
principal.user.attribute.labels.value(キーが agreedToTerms の場合) |
ユーザーが利用規約に同意したかどうか。 |
AssetMetadata.changePasswordAtNextLogin |
principal.user.attribute.labels.value(キーが changePasswordAtNextLogin の場合) |
ユーザーが次回ログイン時にパスワードを変更する必要があるかどうか。 |
AssetMetadata.clientId |
principal.user.userid |
アセットのメタデータから取得されたクライアント ID。 |
AssetMetadata.customerId |
principal.user.userid |
アセットのメタデータから取得されたお客様 ID。 |
AssetMetadata.familyName |
principal.user.last_name |
アセットのメタデータから取得されたユーザーの姓。 |
AssetMetadata.givenName |
principal.user.first_name |
アセットのメタデータから取得されたユーザーの名前(名)。 |
AssetMetadata.includeInGlobalAddressList |
principal.user.attribute.labels.value(キーが includeInGlobalAddressList の場合) |
ユーザーがグローバル アドレス一覧に含まれているかどうか。 |
AssetMetadata.ipWhitelisted |
principal.user.attribute.labels.value(キーが ipWhitelisted の場合) |
ユーザーが IP ホワイトリストに登録されているかどうか。 |
AssetMetadata.isAdmin |
principal.user.attribute.labels.value(キーが isAdmin の場合) |
ユーザーが管理者かどうか。 |
AssetMetadata.isDelegatedAdmin |
principal.user.attribute.labels.value(キーが isDelegatedAdmin の場合) |
ユーザーが委任管理者かどうか。 |
AssetMetadata.isEnforcedIn2Sv |
principal.user.attribute.labels.value(キーが isEnforcedIn2Sv の場合) |
ユーザーに 2 段階認証プロセスが適用されているかどうか。 |
AssetMetadata.isEnrolledIn2Sv |
principal.user.attribute.labels.value(キーが isEnrolledIn2Sv の場合) |
ユーザーが 2 段階認証プロセスに登録しているかどうか。 |
AssetMetadata.kind |
(マッピングされていません) | IDM オブジェクトにマッピングされていません。 |
AssetMetadata.lastLoginTime |
principal.user.attribute.labels.value(キーが lastLoginTime の場合) |
ユーザーの最終ログイン時間。 |
AssetMetadata.login |
principal.user.userid |
アセットのメタデータから取得されたログイン名。 |
AssetMetadata.name.familyName |
principal.user.last_name |
アセットのメタデータから取得された姓。 |
AssetMetadata.name.fullName |
principal.user.user_display_name |
アセットのメタデータから取得されたフルネーム。 |
AssetMetadata.name.givenName |
principal.user.first_name |
アセットのメタデータから取得された名前。 |
AssetMetadata.nativeApp |
security_result.detection_fields.value(キーが nativeApp の場合) |
アプリがネイティブかどうか。 |
AssetMetadata.owner.id |
principal.user.userid |
アセットのメタデータから取得されたオーナー ID。 |
AssetMetadata.primaryEmail |
principal.user.email_addresses |
アセットのメタデータから取得されたメインのメールアドレス。 |
AssetMetadata.scopes |
(マッピングされていません) | IDM オブジェクトにマッピングされていません。 |
AssetMetadata.site_admin |
principal.user.attribute.labels.value(キーが site_admin の場合) |
ユーザーがサイト管理者かどうか。 |
AssetMetadata.suspended |
principal.user.attribute.labels.value(キーが suspended の場合) |
ユーザーが停止されているかどうか。 |
AssetMetadata.url |
principal.url |
アセットのメタデータから取得された URL。 |
AssetMetadata.userKey |
principal.user.attribute.labels.value(キーが userKey の場合) |
アセットのメタデータのユーザーキー。 |
BlockedFileHash |
target.file.md5、target.file.sha1、target.file.sha256 |
ブロックされたファイルのハッシュ。grok を使用して解析され、md5、sha1、sha256 が抽出されます。 |
BlockedFileName |
security_result.about.file.full_path |
ブロックされたファイルの名前。 |
BlockedFileReason |
security_result.summary |
ファイルをブロックする理由。 |
BlockedFileSize |
target.file.size |
ブロックされたファイルのサイズ。 |
BotScore |
security_result.detection_fields.value(キーが BotScore の場合) |
リクエストに割り当てられたボットスコア。 |
BytesReceived |
network.received_bytes |
受信バイト数。 |
BytesSent |
network.sent_bytes |
送信されたバイト数。 |
CacheCacheStatus |
additional.fields.value.string_value(キーが CacheCacheStatus の場合) |
キャッシュのステータス。 |
CacheResponseBytes |
additional.fields.value.string_value(キーが CacheResponseBytes の場合) |
キャッシュに保存されたレスポンスのバイト数。 |
CacheResponseStatus |
additional.fields.value.string_value(キーが CacheResponseStatus の場合) |
キャッシュに保存されたレスポンスのステータス コード。 |
ClientASN |
(マッピングされていません) | IDM オブジェクトにマッピングされていません。 |
ClientCountry |
principal.location.country_or_region |
クライアントの国。 |
ClientDeviceType |
additional.fields.value.string_value(キーが ClientDeviceType の場合) |
クライアント デバイスのタイプ。 |
ClientIP |
principal.ip、principal.asset.ip |
クライアントの IP アドレス。 |
ClientRequestMethod |
network.http.method |
クライアントが使用する HTTP リクエスト メソッド。 |
ClientRequestHost |
target.hostname、target.asset.hostname |
クライアントがリクエストしたホスト名。 |
ClientRequestPath |
(マッピングされていません) | IDM オブジェクトにマッピングされていません。 |
ClientRequestProtocol |
network.application_protocol |
クライアント リクエストで使用されるプロトコル(HTTP、HTTPS)。プロトコルのバージョンが削除されます。 |
ClientRequestReferer |
network.http.referral_url |
クライアント リクエストの参照 URL。 |
ClientRequestURI |
target.url(ClientRequestHost と組み合わせる場合) |
クライアントがリクエストした URI。 |
ClientRequestUserAgent |
network.http.user_agent |
クライアント リクエストのユーザー エージェント。解析され、network.http.parsed_user_agent にマッピングされます。 |
ClientSSLCipher |
network.tls.cipher |
クライアントで使用される SSL 暗号。 |
ClientSSLProtocol |
network.tls.version |
クライアントが使用する SSL プロトコル。 |
ClientSrcPort |
principal.port |
クライアントの送信元ポート。 |
ClientTCPHandshakeDurationMs |
additional.fields.value.string_value(キーが ClientTCPHandshakeDurationMs の場合) |
クライアント TCP handshake の時間。 |
ClientTLSHandshakeDurationMs |
additional.fields.value.string_value(キーが ClientTLSHandshakeDurationMs の場合) |
クライアント TLS handshake の時間。 |
ClientTLSVersion |
network.tls.version |
クライアントで使用される TLS バージョン。 |
ColoID |
(マッピングされていません) | IDM オブジェクトにマッピングされていません。 |
Connection |
target.resource.attribute.labels.value(キーが Connection の場合) |
接続タイプ(saml など)。 |
ConnectionCloseReason |
additional.fields.value.string_value(キーが ConnectionCloseReason の場合) |
接続を閉じた理由。 |
ConnectionReuse |
additional.fields.value.string_value(キーが ConnectionReuse の場合) |
接続の再利用が発生したかどうか。 |
Country |
target.location.country_or_region |
イベントに関連付けられている国。 |
CreatedAt |
metadata.event_timestamp |
イベント作成時のタイムスタンプ。 |
Datetime |
metadata.event_timestamp |
イベントの日時。 |
DestinationIP |
target.ip、target.asset.ip |
宛先 IP アドレス。 |
DestinationPort |
target.port |
宛先ポート。 |
DestinationTunnelID |
additional.fields.value.string_value(キーが DestinationTunnelID の場合) |
宛先トンネルの ID。 |
DeviceID |
principal.asset_id(「Cloudflare:」が接頭辞) |
デバイスの ID。 |
DeviceName |
principal.hostname、principal.asset.hostname、principal.asset.attribute.labels.value(キーが DeviceName の場合) |
デバイスの名前。 |
DownloadedFileNames |
security_result.about.labels.value(キーが DownloadFileNames の場合) |
ダウンロードしたファイルの名前。 |
DstIP |
target.ip、target.asset.ip |
宛先 IP アドレス。 |
DstPort |
target.port |
宛先ポート。 |
EdgeColoCode |
additional.fields.value.string_value(キーが EdgeColoCode の場合) |
Cloudflare エッジ ロケーション コード。 |
EdgeColoID |
additional.fields.value.string_value(キーが EdgeColoID の場合) |
Cloudflare エッジ ロケーション ID。 |
EdgeEndTimestamp |
(マッピングされていません) | IDM オブジェクトにマッピングされていません。 |
EdgeResponseBytes |
network.received_bytes |
エッジからのレスポンスのバイト数。 |
EdgeResponseContentType |
target.file.mime_type |
エッジ レスポンスのコンテンツ タイプ。 |
EdgeResponseStatus |
network.http.response_code |
エッジ レスポンスのステータス コード。 |
EdgeServerIP |
target.ip、target.asset.ip |
エッジサーバーの IP アドレス。 |
EdgeStartTimestamp |
metadata.event_timestamp |
エッジでのリクエスト開始時のタイムスタンプ。 |
Email |
principal.user.email_addresses、target.user.email_addresses |
イベントに関連付けられているメールアドレス。 |
EgressColoName |
additional.fields.value.string_value(キーが EgressColoName の場合) |
下り(外向き)コロの名前。 |
EgressIP |
principal.ip、principal.asset.ip |
下り(外向き)IP アドレス。network.direction を OUTBOUND に設定します。 |
EgressPort |
principal.port |
下り(外向き)ポート。 |
EgressRuleID |
additional.fields.value.string_value(キーが EgressRuleID の場合) |
下り(外向き)ルールの ID。 |
EgressRuleName |
additional.fields.value.string_value(キーが EgressRuleName の場合) |
下り(外向き)ルールの名前。 |
FindingTypeDisplayName |
security_result.description |
検出結果のタイプの表示名。 |
FindingTypeID |
security_result.rule_id |
検出タイプの ID。 |
FindingTypeSeverity |
security_result.severity |
検出結果の重大度。 |
FirewallMatchesActions |
security_result.action |
ファイアウォール ルールによって実行されるアクション。allow、Allow、ALLOW、skip、SKIP、Skip は ALLOW にマッピングされます。challengeSolved と jschallengeSolved は ALLOW_WITH_MODIFICATION にマッピングされます。drop と block は BLOCK にマッピングされます。その他の値は UNKNOWN_ACTION にマッピングされます。 |
FirewallMatchesRuleIDs |
security_result.rule_id(最初の ID の場合)。それ以降の ID では、新しい security_result オブジェクトが作成されます。 |
一致したファイアウォール ルールの ID。 |
FirewallMatchesSources |
security_result.rule_name |
一致したファイアウォール ルールのソース。 |
HTTPHost |
target.hostname |
HTTP ホスト。 |
HTTPMethod |
network.http.method |
HTTP メソッド。 |
HTTPVersion |
network.application_protocol |
値に「HTTP」が含まれている場合は、network.application_protocol を HTTP に設定します。 |
ID |
metadata.product_log_id |
イベントの ID。 |
IngressColoName |
additional.fields.value.string_value(キーが IngressColoName の場合) |
Ingress colo の名前。 |
InstanceID |
principal.resource.product_object_id |
インスタンスの ID。 |
IntegrationDisplayName |
additional.fields.value.string_value(キーが IntegrationDisplayName の場合) |
統合の表示名。 |
IntegrationID |
metadata.product_deployment_id |
統合の ID。 |
IntegrationPolicyVendor |
additional.fields.value.string_value(キーが IntegrationPolicyVendor の場合) |
統合ポリシーのベンダー。 |
IPAddress |
target.ip、target.asset.ip |
イベントに関連付けられた IP アドレス。 |
IsIsolated |
キーが IsIsolated の場合は about.labels.value、キーが IsIsolated の場合は security_result.about.resource.attribute.labels.value |
イベントが分離されているかどうか。 |
Location |
principal.location.name |
イベントに関連付けられている場所。 |
NewValue |
security_result.about.labels.value(キーが NewValue の場合) |
更新後の新しい値。 |
Offramp |
additional.fields.value.string_value(キーが Offramp の場合) |
接続で使用されるオフランプ。 |
OldValue |
security_result.about.labels.value(キーが OldValue の場合) |
更新前の古い値。 |
OriginIP |
intermediary.ip、target.ip、target.asset.ip |
発信元の IP アドレス。 |
OriginPort |
target.port |
送信元ポート。 |
OriginResponseBytes |
additional.fields.value.string_value(キーが OriginResponseBytes の場合) |
送信元レスポンスのバイト数。 |
OriginResponseStatus |
additional.fields.value.string_value(キーが OriginResponseStatus の場合) |
送信元レスポンスのステータス コード。 |
OriginResponseTime |
additional.fields.value.string_value(キーが OriginResponseTime の場合) |
送信元の応答時間。 |
OriginSSLProtocol |
(マッピングされていません) | IDM オブジェクトにマッピングされていません。 |
OriginTLSCertificateIssuer |
additional.fields.value.string_value(キーが OriginTLSCertificateIssuer の場合) |
送信元 TLS 証明書の発行元。 |
OriginTLSCertificateValidationResult |
additional.fields.value.string_value(キーが OriginTLSCertificateValidationResult の場合) |
送信元 TLS 証明書の検証結果。 |
OriginTLSCipher |
additional.fields.value.string_value(キーが OriginTLSCipher の場合) |
送信元 TLS 接続で使用される暗号。 |
OriginTLSHandshakeDurationMs |
additional.fields.value.string_value(キーが OriginTLSHandshakeDurationMs の場合) |
送信元 TLS handshake の時間。 |
OriginTLSVersion |
additional.fields.value.string_value(キーが OriginTLSVersion の場合) |
送信元で使用される TLS バージョン。 |
OwnerID |
target.user.product_object_id |
オーナーの ID。 |
Policy |
security_result.rule_name |
イベントに関連付けられているポリシー。 |
PolicyID |
security_result.rule_id |
ポリシーの ID。 |
PolicyName |
security_result.rule_name |
ポリシーの名前。 |
Protocol |
network.application_protocol、network.ip_protocol |
接続で使用されるプロトコル。「tls」または「TLS」でない場合、大文字に変換され、network.application_protocol にマッピングされます。それ以外の場合は、インクルード ファイルを使用して解析され、network.ip_protocol にマッピングされます。 |
PurposeJustificationPrompt |
(マッピングされていません) | IDM オブジェクトにマッピングされていません。 |
PurposeJustificationResponse |
(マッピングされていません) | IDM オブジェクトにマッピングされていません。 |
QueryCategoryIDs |
security_result.about.labels.value、security_result.about.resource.attribute.labels.value(キーが QueryCategoryIDs の場合) |
クエリカテゴリの ID。 |
QueryName |
network.dns.questions.name |
DNS クエリの名前。metadata.event_type を NETWORK_DNS に、network.application_protocol を DNS に設定します。 |
QueryNameReversed |
network.dns.questions.name |
DNS クエリの名前を逆にしたものです。 |
QuerySize |
network.sent_bytes |
クエリのサイズ。 |
QueryType |
network.dns.questions.type |
DNS クエリのタイプ。DNS クエリタイプ コードに基づいて数値にマッピングされます。 |
RData |
network.dns.answers.type、network.dns.answers.data |
DNS レコードデータ。RData 配列の各要素は、新しい answer オブジェクトを作成します。 |
RayID |
metadata.product_log_id |
リクエストに関連付けられた Ray ID。 |
Referer |
network.http.referral_url |
参照元 URL。 |
RequestID |
metadata.product_log_id |
リクエストの ID。 |
ResolverDecision |
security_result.summary |
解決策によって下された決定。 |
ResourceID |
target.resource.id、target.resource.product_object_id |
リソースの ID。 |
ResourceType |
target.resource.resource_subtype |
リソースのタイプ。 |
RuleEvaluationDurationMs |
additional.fields.value.string_value(キーが RuleEvaluationDurationMs の場合) |
ルールの評価時間。 |
SNI |
network.tls.client.server_name |
TLS クライアント ハローの Server Name Indication(SNI)。 |
SecurityAction |
security_result.action |
セキュリティ アクションが実施されました。空の値または SecurityAction がない場合、ALLOW にマッピングされます。challengeSolved または jschallengeSolved は ALLOW_WITH_MODIFICATION にマッピングされます。drop または block は BLOCK にマッピングされます。 |
SecurityLevel |
security_result.severity |
セキュリティ レベル。high は HIGH に、med は MEDIUM に、low は LOW にマッピングされます。 |
SessionEndTime |
additional.fields.value.string_value(キーが SessionEndTime の場合) |
セッションの終了時刻。 |
SessionID |
network.session_id |
セッションの ID。 |
SessionStartTime |
metadata.event_timestamp |
セッションの開始時間。 |
SourceIP |
principal.ip、principal.asset.ip、src.ip、src.asset.ip |
送信元 IP アドレス。 |
SourcePort |
principal.port、src.port |
送信元ポート |
SrcIP |
principal.ip、principal.asset.ip |
送信元 IP アドレス。 |
SrcPort |
principal.port |
送信元ポート |
TemporaryAccessDuration |
network.session_duration.seconds |
一時的なアクセス権の有効期間。 |
Timestamp |
metadata.event_timestamp |
イベントのタイムスタンプ。 |
Transport |
network.ip_protocol |
トランスポート プロトコル。大文字に変換され、インクルード ファイルを使用して解析されます。 |
UploadedFileNames |
security_result.about.labels.value(キーが UploadedFileNames の場合) |
アップロードしたファイルの名前。 |
URL |
target.url |
イベントに関連する URL。 |
UserAgent |
network.http.user_agent |
ユーザー エージェント文字列。解析され、network.http.parsed_user_agent にマッピングされます。 |
UserID |
principal.user.product_object_id、event.idm.read_only_udm.target.user.product_object_id |
ユーザの ID |
UserUID |
target.user.product_object_id |
ユーザーの UID。 |
VirtualNetworkID |
principal.resource.product_object_id |
仮想ネットワークの ID。 |
WAFAction |
security_result.about.labels.value(キーが WAFAction の場合) |
ウェブ アプリケーション ファイアウォール(WAF)によって実行されるアクション。 |
WAFAttackScore |
security_result.about.resource.attribute.labels.value(キーが WAFAttackScore の場合) |
WAF によって割り当てられた攻撃スコア。 |
WAFFlags |
security_result.about.resource.attribute.labels.value(キーが WAFFlags の場合) |
WAF フラグ。 |
WAFMatchedVar |
(マッピングされていません) | IDM オブジェクトにマッピングされていません。 |
WAFProfile |
security_result.about.labels.value(キーが WAFProfile の場合) |
WAF プロファイル。 |
WAFRCEAttackScore |
security_result.about.resource.attribute.labels.value(キーが WAFRCEAttackScore の場合) |
WAF リモートコード実行(RCE)攻撃スコア。 |
WAFRuleID |
security_result.threat_id、security_result.about.labels.value(キーが WAFRuleID の場合) |
WAF ルールの ID。 |
WAFRuleMessage |
security_result.rule_name、security_result.threat_name |
WAF ルールに関連付けられたメッセージ。 |
WAFSQLiAttackScore |
security_result.about.resource.attribute.labels.value(キーが WAFSQLiAttackScore の場合) |
WAF SQL インジェクション攻撃スコア。 |
WAFXSSAttackScore |
security_result.about.resource.attribute.labels.value(キーが WAFXSSAttackScore の場合) |
WAF クロスサイト スクリプティング(XSS)攻撃スコア。 |
ZoneID |
additional.fields.value.string_value(キーが ZoneID の場合) |
ゾーン ID。 |
event.idm.read_only_udm.metadata.event_type |
metadata.event_type |
イベントのタイプ。ログデータに基づいてパーサーによって設定されます。設定されていない場合、または NETWORK_DNS イベントにプリンシパルまたはターゲットがない場合、デフォルトは GENERIC_EVENT です。NETWORK_DNS、NETWORK_CONNECTION、USER_LOGIN、USER_LOGOUT、USER_RESOURCE_ACCESS、USER_RESOURCE_UPDATE_CONTENT、GENERIC_EVENT のいずれかです。 |
event.idm.read_only_udm.metadata.log_type |
metadata.log_type |
ログタイプは「CLOUDFLARE」に設定します。 |
event.idm.read_only_udm.metadata.product_deployment_id |
metadata.product_deployment_id |
商品のデプロイ ID。 |
event.idm.read_only_udm.metadata.product_log_id |
metadata.product_log_id |
プロダクト ログ ID。 |
event.idm.read_only_udm.metadata.product_name |
metadata.product_name |
商品名。ログデータに基づいてパーサーによって設定されます。「Cloudflare Gateway DNS」、「Cloudflare Gateway HTTP」、「Cloudflare Audit」、「Web Application Firewall」のいずれかです。 |
event.idm.read_only_udm.metadata.vendor_name |
metadata.vendor_name |
ベンダー名。[Cloudflare] に設定します。 |
event.idm.read_only_udm.metadata.event_timestamp |
metadata.event_timestamp |
イベントのタイムスタンプ。 |
event.idm.read_only_udm.network.application_protocol |
network.application_protocol |
ネットワーク接続で使用されるアプリケーション プロトコル。 |
event.idm.read_only_udm.network.direction |
network.direction |
ネットワーク接続の方向。EgressIP と SourceIP が存在する場合は OUTBOUND に設定します。 |
event.idm.read_only_udm.network.dns.answers |
network.dns.answers |
DNS 回答。 |
event.idm.read_only_udm.network.dns.questions |
network.dns.questions |
DNS に関する質問。 |
event.idm.read_only_udm.network.http.method |
network.http.method |
HTTP メソッド。 |
event.idm.read_only_udm.network.http.parsed_user_agent |
network.http.parsed_user_agent |
解析されたユーザー エージェント。 |
event.idm.read_only_udm.network.http.referral_url |
network.http.referral_url |
HTTP リファラー URL。 |
event.idm.read_only_udm.network.http.response_code |
network.http.response_code |
HTTP レスポンス コード。 |
event.idm.read_only_udm.network.http.user_agent |
network.http.user_agent |
HTTP ユーザー エージェント。 |
event.idm.read_only_udm.network.ip_protocol |
network.ip_protocol |
IP プロトコル。 |
event.idm.read_only_udm.network.received_bytes |
network.received_bytes |
受信バイト数。 |
event.idm.read_only_udm.network.sent_bytes |
network.sent_bytes |
送信されたバイト数。 |
event.idm.read_only_udm.network.session_duration.seconds |
network.session_duration.seconds |
ネットワーク セッションの継続時間(秒単位)。 |
event.idm.read_only_udm.network.session_id |
network.session_id |
ネットワーク セッション ID。 |
event.idm.read_only_udm.network.tls.cipher |
network.tls.cipher |
TLS 暗号スイート。 |
event.idm.read_only_udm.network.tls.client.server_name |
network.tls.client.server_name |
TLS クライアント サーバー名。 |
event.idm.read_only_udm.network.tls.version |
network.tls.version |
TLS バージョン。 |
event.idm.read_only_udm.principal.asset.attribute.labels |
principal.asset.attribute.labels |
プリンシパル アセットに関連付けられているラベル。 |
event.idm.read_only_udm.principal.asset.hostname |
principal.asset.hostname |
プリンシパル アセットのホスト名。 |
event.idm.read_only_udm.principal.asset.ip |
principal.asset.ip |
プリンシパル アセットの IP アドレス。 |
event.idm.read_only_udm.principal.asset_id |
principal.asset_id |
プリンシパル アセットの ID。 |
event.idm.read_only_udm.principal.hostname |
principal.hostname |
プリンシパルのホスト名。 |
event.idm.read_only_udm.principal.ip |
principal.ip |
プリンシパルの IP アドレス。 |
event.idm.read_only_udm.principal.location.country_or_region |
principal.location.country_or_region |
プリンシパルの所在地の国または地域。 |
event.idm.read_only_udm.principal.location.name |
principal.location.name |
プリンシパルの所在地の名前。 |
event.idm.read_only_udm.principal.port |
principal.port |
プリンシパルが使用するポート。 |
event.idm.read_only_udm.principal.resource.product_object_id |
principal.resource.product_object_id |
プリンシパルのリソースのプロダクト オブジェクト ID。 |
event.idm.read_only_udm.principal.url |
principal.url |
プリンシパルに関連付けられている URL。 |
event.idm.read_only_udm.principal.user.attribute.labels |
principal.user.attribute.labels |
プリンシパル ユーザーに関連付けられたラベル。 |
event.idm.read_only_udm.principal.user.email_addresses |
principal.user.email_addresses |
プリンシパル ユーザーのメールアドレス。 |
event.idm.read_only_udm.principal.user.first_name |
principal.user.first_name |
プリンシパル ユーザーの名(ファースト ネーム)。 |
event.idm.read_only_udm.principal.user.last_name |
principal.user.last_name |
プリンシパル ユーザーの姓。 |
event.idm.read_only_udm.principal.user.product_object_id |
principal.user.product_object_id |
プリンシパル ユーザーのプロダクト オブジェクト ID。 |
event.idm.read_only_udm.principal.user.userid |
principal.user.userid |
プリンシパル ユーザーのユーザー ID。 |
event.idm.read_only_udm.principal.user.user_display_name |
principal.user.user_display_name |
プリンシパル ユーザーの表示名。 |
event.idm.read_only_udm.src.asset.ip |
src.asset.ip |
ソースアセットの IP アドレス。 |
event.idm.read_only_udm.src.ip |
src.ip |
送信元の IP アドレス。 |
event.idm.read_only_udm.src.port |
src.port |
送信元のポート。 |
event.idm.read_only_udm.target.administrative_domain |
target.administrative_domain |
ターゲットの管理ドメイン。 |
event.idm.read_only_udm.target.asset.hostname |
target.asset.hostname |
ターゲット アセットのホスト名。 |
event.idm.read_only_udm.target.asset.ip |
target.asset.ip |
ターゲット アセットの IP アドレス。 |
event.idm.read_only_udm.target.file.mime_type |
target.file.mime_type |
ターゲット ファイルの MIME タイプ。 |
event.idm.read_only_udm.target.file.md5 |
target.file.md5 |
ターゲット ファイルの MD5 ハッシュ。 |
event.idm.read_only_udm.target.file.sha1 |
target.file.sha1 |
ターゲット ファイルの SHA1 ハッシュ。 |
event.idm.read_only_udm.target.file.sha256 |
target.file.sha256 |
ターゲット ファイルの SHA256 ハッシュ。 |
event.idm.read_only_udm.target.file.size |
target.file.size |
ターゲット ファイルのサイズ。 |
event.idm.read_only_udm.target.hostname |
target.hostname |
ターゲットのホスト名。 |
event.idm.read_only_udm.target.ip |
target.ip |
ターゲットの IP アドレス。 |
event.idm.read_only_udm.target.location.country_or_region |
target.location.country_or_region |
ターゲットの所在地の国または地域。 |
event.idm.read_only_udm.target.port |
target.port |
ターゲットのポート。 |
event.idm.read_only_udm.target.resource.attribute.labels |
target.resource.attribute.labels |
ターゲット リソースに関連付けられたラベル。 |
event.idm.read_only_udm.target.resource.id |
target.resource.id |
ターゲット リソースの ID。 |
event.idm.read_only_udm.target.resource.product_object_id |
target.resource.product_object_id |
ターゲット リソースのプロダクト オブジェクト ID。 |
event.idm.read_only_udm.target.resource.resource_subtype |
target.resource.resource_subtype |
ターゲット リソースのリソース サブタイプ。 |
event.idm.read_only_udm.target.url |
target.url |
ターゲットの URL。 |
event.idm.read_only_udm.target.user.email_addresses |
target.user.email_addresses |
対象ユーザーのメールアドレス。 |
event.idm.read_only_udm.target.user.product_object_id |
target.user.product_object_id |
ターゲット ユーザーのプロダクト オブジェクト ID。 |
event.idm.read_only_udm.security_result.about.file.full_path |
security_result.about.file.full_path |
セキュリティの結果に関連するファイルのフルパス。 |
event.idm.read_only_udm.security_result.about.labels |
security_result.about.labels |
セキュリティ結果に関連付けられたラベル。 |
event.idm.read_only_udm.security_result.about.resource.attribute.labels |
security_result.about.resource.attribute.labels |
セキュリティ結果のリソースに関連付けられたラベル。 |
event.idm.read_only_udm.security_result.action |
security_result.action |
セキュリティ結果で実行されたアクション。 |
event.idm.read_only_udm.security_result.detection_fields |
security_result.detection_fields |
セキュリティ結果の検出フィールド。 |
event.idm.read_only_udm.security_result.description |
security_result.description |
セキュリティ結果の説明。 |
event.idm.read_only_udm.security_result.rule_id |
security_result.rule_id |
セキュリティ結果のルール ID。 |
event.idm.read_only_udm.security_result.rule_name |
security_result.rule_name |
セキュリティ結果のルール名。 |
event.idm.read_only_udm.security_result.severity |
security_result.severity |
セキュリティ結果の重大度。 |
event.idm.read_only_udm.security_result.summary |
security_result.summary |
セキュリティ結果の概要。 |
event.idm.read_only_udm.security_result.threat_id |
security_result.threat_id |
セキュリティ結果の脅威 ID。 |
event.idm.read_only_udm.security_result.threat_name |
security_result.threat_name |
セキュリティ結果の脅威名。 |
event.idm.read_only_udm.extensions.auth.type |
extensions.auth.type |
認証タイプ。ログイン イベントとログアウト イベントの場合は MACHINE に設定します。 |
event.idm.read_only_udm.about |
about |
概要情報。 |
event.idm.read_only_udm.additional.fields |
additional.fields |
その他のフィールド。 |
event.idm.read_only_udm.intermediary |
intermediary |
仲介業者の情報。 |
変更点
2024-02-19
- バグの修正:
- プリンシパルとターゲット マシンのデータがない場合、「metadata.event_type」を「GENERIC_EVENT」にマッピングしました。
- 「Datetime」フィールドが存在せず、「Timestamp」フィールドが存在する場合は、「Timestamp」を「metadata.event_timestamp」にマッピングしました。
- 「ClientIP」を「principal.ip」にマッピングしました。
- 「RayID」を「metadata.product_log_id」にマッピングしました。
- 「EdgeResponseStatus」を「network.http.response_code」にマッピングしました。
- 「ClientRequestMethod」を「network.http.method」にマッピングしました。
- 「ClientRequestURI」を「target.uri」にマッピングしました。
- 「ClientRequestHost」を「target.hostname」にマッピングしました。
2024-01-31
- 「BotScore」を「security_result.detection_fields」にマッピングしました。
- 「principal.hostname」、「target.hostname」、「principal.asset.hostname」、「target.asset.hostname」のマッピングを調整しました。
- 「principal.ip」、「target.ip」、「principal.asset.ip」、「target.asset.ip」のマッピングを調整しました。
2024-01-08
- 「Action」に「allow」が含まれている場合は、「security_result.action」を「ALLOW」に設定します。
- 「DeviceName」を「principal.hostname」、「principal.asset.hostname」にマッピングしました。
- DNS ログの「SourceIP」から「principal.ip」へのマッピングを追加しました。
- 「principal」を「event.idm.read_only_udm.principal」にマッピングする前に、null 条件チェックを追加しました。
- 「target」を「event.idm.read_only_udm.target」にマッピングする前に、null 条件付きチェックを追加しました。
2023-11-22
- 「WAFRuleID」を「security_result.threat_id」にマッピングしました。
- 「WAFRuleMessage」を「security_result.threat_name」にマッピングしました。
- 「WAFRCEAttackScore」、「WAFSQLiAttackScore」、「WAFXSSAttackScore」、「WAFAttackScore」、「WAFFlags」を「security_result.about.resource.attribute.labels」にマッピングしました。
2023-10-09
- 「SecurityAction」の値が null の場合や存在しない場合は、「security_result.action」を「ALLOW」に設定します。
2023-09-26
- 非推奨の UDM フィールドから代替フィールドにマッピングを変更しました。
- 「security_result.about.labels」から「security_result.about.resource.attribute.labels」へのマッピングを追加しました。
- 「about.labels」から「security_result.about.resource.attribute.labels」へのマッピングを追加しました。
- 「target.resource.id」から「target.resource.product_object_id」へのマッピングを追加しました。
2023-04-25
- 次の未加工ログフィールドを UDM フィールドにマッピングする機能強化:
- 「EdgeStartTimestamp」、「ClientIP」、「ClientRequestHost」、「ClientRequestURI」、「ClientRequestMethod」、「Datetime」、「ActorEmail」、「ActorIP」を null に初期化しました。
- 「AssetExternalID」を「principal.asset_id」にマッピングしました。
- 「AssetDisplayName」を「principal.asset.attribute.labels」にマッピングしました。
- 「AssetLink」を「principal.url」にマッピングしました。
- 「AssetMetadata.userKey」を「principal.user.attribute.labels」にマッピングしました。
- 「AssetMetadata.clientId」を「principal.user.userid」にマッピングしました。
- 「AssetMetadata.anonymous」を「security_result.detection_fields」にマッピングしました。
- 「AssetMetadata.nativeApp」を「security_result.detection_fields」にマッピングしました。
- 「DetectedTimestamp」を「metadata.event_timestamp」にマッピングしました。
- 「FindingTypeDisplayName」を「security_result.description」にマッピングしました。
- 「FindingTypeID」を「security_result.rule_id」にマッピングしました。
- 「FindingTypeSeverity」を「security_result.severity」にマッピングしました。
- 「InstanceID」を「principal.resource.product_object_id」にマッピングしました。
- 「IntegrationDisplayName」を「additional.fields」にマッピングしました。
- 「IntegrationID」を「metadata.product_deployment_id」にマッピングしました。
- 「IntegrationPolicyVendor」を「additional.fields」にマッピングしました。
- 「AssetMetadata.customerId」を「principal.user.userid」にマッピングしました。
- 「AssetMetadata.primaryEmail」を「principal.user.email_addresses」にマッピングしました。
- 「AssetMetadata.agreedToTerms」を「principal.user.attribute.labels」にマッピングしました。
- 「AssetMetadata.ipWhitelisted」を「principal.user.attribute.labels」にマッピングしました。
- 「AssetMetadata.lastLoginTime」を「principal.user.attribute.labels」にマッピングしました。
- 「AssetMetadata.isEnforcedIn2Sv」を「principal.user.attribute.labels」にマッピングしました。
- 「AssetMetadata.isEnrolledIn2Sv」を「principal.user.attribute.labels」にマッピングしました。
- 「AssetMetadata.isDelegatedAdmin」を「principal.user.attribute.labels」にマッピングしました。
- 「AssetMetadata.changePasswordAtNextLogin」を「principal.user.attribute.labels」にマッピングしました。
- 「AssetMetadata.includeInGlobalAddressList」を「principal.user.attribute.labels」にマッピングしました。
- 「AssetMetadata.isAdmin」を「principal.user.attribute.labels」にマッピングしました。
- 「AssetMetadata.suspended」を「principal.user.attribute.labels」にマッピングしました。
- 「AssetMetadata.url」を「principal.url」にマッピングしました。
- 「AssetMetadata.site_admin」を「principal.user.attribute.labels」にマッピングしました。
- 「AssetMetadata.login」を「principal.user.userid」にマッピングしました。
- 「AssetMetadata.owner.id」を「principal.user.userid」にマッピングしました。
- 「AssetMetadata.name.fullName」を「principal.user.user_display_name」にマッピングしました。
- 「AssetMetadata.name.givenName」を「principal.user.first_name」にマッピングしました。
- 「AssetMetadata.name.familyName」を「principal.user.last_name」にマッピングしました。
- 「Allowed」を「security_result.action」にマッピングしました。
- 「AppDomain」を「target.administrative_domain」にマッピングしました。
- 「AppUUID」を「target.resource.product_object_id」にマッピングしました。
- 「Connection」を「target.resource.attribute.labels」にマッピングしました。
- 「Country」を「target.location.country_or_region」にマッピングしました。
- 「CreatedAt」を「metadata.event_timestamp」にマッピングしました。
- 「IPAddress」を「target.ip」にマッピングしました。
- 「RayID」を「metadata.product_log_id」にマッピングしました。
- 「Email」を「principal.user.email_addresses」と「target.user.email_addresses」にマッピングしました。
- 「TemporaryAccessDuration」を「network.session_duration.seconds」にマッピングしました。
- 「UserUID」を「target.user.product_object_id」にマッピングしました。
- 「UserAgent」を「network.http.parsed_user_agent」にマッピングしました。
- 「ClientRequestUserAgent」を「network.http.parsed_user_agent」にマッピングしました。
- 「PolicyName」を「security_result.rule_name」にマッピングしました。
- 「SessionID」を「network.session_id」にマッピングしました。
- 「Transport」を「network.ip_protocol」にマッピングしました。
- 「SNI」を「tls.client.server_name」にマッピングしました。
- 「DeviceName」を「principal.asset.attribute.labels」にマッピングしました。
- 「BytesReceived」を「network.received_bytes」にマッピングしました。
- 「BytesSent」を「network.sent_bytes」にマッピングしました。
- 「Protocol」を「network.ip_protocol」にマッピングしました。
- 「ClientTCPHandshakeDurationMs」を「additional.fields」にマッピングしました。
- 「ClientTLSCipher」を「network.tls.cipher」にマッピングしました。
- 「ClientTLSHandshakeDurationMs」を「additional.fields」にマッピングしました。
- 「ClientTLSVersion」を「network.tls.version」にマッピングしました。
- 「ConnectionCloseReason」を「additional.fields」にマッピングしました。
- 「ConnectionReuse」を「additional.fields」にマッピングしました。
- 「DestinationTunnelID」を「additional.fields」にマッピングしました。
- 「EgressIP」を「principal.ip」にマッピングしました。
- 「EgressPort」を「principal.port」にマッピングしました。
- 「EgressRuleID」を「additional.fields」にマッピングしました。
- 「EgressRuleName」を「additional.fields」にマッピングしました。
- 「IngressColoName」を「additional.fields」にマッピングしました。
- 「Offramp」を「additional.fields」にマッピングしました。
- 「OriginIP」を「target.ip」にマッピングしました。
- 「OriginPort」を「target.port」にマッピングしました。
- 「OriginTLSCertificateIssuer」を「additional.fields」にマッピングしました。
- 「OriginTLSCertificateValidationResult」を「additional.fields」にマッピングしました。
- 「OriginTLSCipher」を「additional.fields」にマッピングしました。
- 「OriginTLSHandshakeDurationMs」を「additional.fields」にマッピングしました。
- 「OriginTLSVersion」を「additional.fields」にマッピングしました。
- 「RuleEvaluationDurationMs」を「additional.fields」にマッピングしました。
- 「SessionEndTime」を「additional.fields」にマッピングしました。
- 「SessionStartTime」を「metadata.event_timestamp」にマッピングしました。
- 「SourceIP」を「src.ip」にマッピングしました。
- 「SourcePort」を「src.port」にマッピングしました。
- 「UserID」を「principal.user.product_object_id」にマッピングしました。
- 「VirtualNetworkID」を「principal.resource.product_object_id」にマッピングしました。
2023-04-06
- 機能強化 - グローバル レベルで「WAFRuleMessage」、「WAFAction」、「QueryType」、「RayID」、「Email」のフィールドを宣言しました。
- フィールド「QueryName」と「QueryNameReversed」が null の場合、「metadata.event_type」を「NETWORK_UNCATEGORIZED」にマッピングしました。
- 次のフィールドのエラーチェックを追加しました。RData[n].type、RData[n].data、EdgeResponseBytes、ClientRequestBytes、EdgeResponseStatus。
- 「SourcePort」フィールドと「DestinationPort」フィールドの文字列変換を追加しました。
2022-10-10
- 強化
- 「metadata.product_name」を「Web Application Firewall」にマッピングしました。
- 「metadata.vendor_name」を「Cloudflare」にマッピングしました。
2022-05-23
- 次の未加工ログ要素を UDM 要素にマッピングする機能強化:
- 「ClientASN」を「network.asn」にマッピングしました。
- 「ClientSSLCipher」を「network.tls.cipher」にマッピングしました。
- 「ClientSSLProtocol」を「network.tls.version」にマッピングしました。
- 「EdgeResponseContentType」を「target.file.mime_type」にマッピングしました。
- 「OriginIP」を「intermediary.ip」にマッピングしました。
- 「FirewallMatchesActions」を「security_result.action」にマッピングしました。
- 「FirewallMatchesRuleIDs」を「security_result.rule_id」にマッピングしました。
- 「FirewallMatchesSources」を「security_result.rule_name」にマッピングしました。
- 「WAFRuleID」、「WAFProfile」を「security_result.about.labels」にマッピングしました。
- 「CacheCacheStatus」、「CacheResponseBytes」、「CacheResponseStatus」、「ClientDeviceType」、「EdgeColoCode」、「EdgeColoID」、「OriginResponseBytes」、「OriginResponseStatus」、「OriginResponseTime」、「ZoneID」を「additional.fields」にマッピングしました。