Recolha registos da Cloudflare

Compatível com:

Vista geral

Este analisador processa vários tipos de registos do Cloudflare (DNS, HTTP, auditoria, Zero Trust e CASB). Primeiro, normaliza os campos comuns e, em seguida, aplica a lógica condicional com base em campos específicos, como QueryName, Action e ID, para extrair e mapear dados relevantes para o UDM. Também realiza conversões de tipos de dados, correspondência grok para endereços IP e hashes, e processa payloads JSON aninhados.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado ao Google Cloud IAM.
  • Acesso privilegiado ao Google Cloud Storage.
  • Acesso privilegiado à Cloudflare.

Crie um Google Cloud contentor de armazenamento

  1. Inicie sessão na Google Cloud consola.

  2. Aceda à página Contentores do Cloud Storage.

    Aceda aos contentores

  3. Clique em Criar.

  4. Na página Criar um depósito, introduza as informações do depósito. Após cada um dos passos seguintes, clique em Continuar para avançar para o passo seguinte:

    1. Na secção Começar, faça o seguinte:

      1. Introduza um nome exclusivo que cumpra os requisitos de nome do contentor (por exemplo, cloudflare-data).
      2. Para ativar o espaço de nomes hierárquico, clique na seta de expansão para expandir a secção Otimizar para cargas de trabalho orientadas para ficheiros e com grande volume de dados e, de seguida, selecione Ativar espaço de nomes hierárquico neste contentor.
      1. Para adicionar uma etiqueta de grupo, clique na seta de expansão para expandir a secção Etiquetas.
      2. Clique em Adicionar etiqueta e especifique uma chave e um valor para a etiqueta.

    2. Na secção Escolha onde quer armazenar os seus dados, faça o seguinte:

      1. Selecione um Tipo de localização.
      2. Use o menu pendente do tipo de localização para selecionar uma Localização onde os dados de objetos no seu contentor vão ser armazenados permanentemente.
        1. Se selecionar o tipo de localização dupla região, também pode optar por ativar a replicação turbo através da caixa de verificação relevante.
      3. Para configurar a replicação entre contentores, expanda a secção Configurar replicação entre contentores.

    3. Na secção Escolha uma classe de armazenamento para os seus dados, selecione uma classe de armazenamento predefinida para o contentor ou selecione Autoclass para a gestão automática da classe de armazenamento dos dados do seu contentor.

    4. Na secção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e selecione um modelo de controlo de acesso para os objetos do seu contentor.

    5. Na secção Escolha como proteger os dados de objetos, faça o seguinte:

      1. Selecione qualquer uma das opções em Proteção de dados que quer definir para o seu contentor.
      2. Para escolher como os dados de objetos vão ser encriptados, clique na seta de expansão com a etiqueta Encriptação de dados e selecione um Método de encriptação de dados.

  5. Clique em Criar.

Crie uma conta de serviço do Google Cloud

  1. Aceda a IAM e administrador > Contas de serviço.
  2. Crie uma nova conta de serviço.
  3. Atribua-lhe um nome descritivo (por exemplo, cloudflare-logs).
  4. Conceda à conta de serviço a função de criador de objetos de armazenamento no contentor do GCS que criou no passo anterior.
  5. Crie uma chave de conta de serviço para a conta de serviço.
  6. Transfira um ficheiro de chave JSON para a conta de serviço. Mantenha este ficheiro seguro.

Ative o IAM da Cloudflare para o Google Cloud Storage

  1. Aceda a Armazenamento > Navegador > Recipiente > Autorizações.
  2. Adicione o membro logpush@cloudflare-data.iam.gserviceaccount.com com a autorização Administrador de objetos de armazenamento.

Configure feeds

Para configurar um feed, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed (por exemplo, Registos da Cloudflare).
  5. Selecione Google Cloud Storage V2 como Tipo de origem.
  6. Selecione Cloudflare como o Tipo de registo.
  7. Clique em Obter conta de serviço como a conta de serviço do Chronicle.
  8. Clicar em Seguinte.

  9. Especifique valores para os seguintes parâmetros de entrada:

    • URI do contentor de armazenamento: URL do contentor de armazenamento do Google Cloud no formato gs://my-bucket/<value>.
    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.

  10. Clicar em Seguinte.

  11. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Configure o Cloudflare para enviar registos para o Google Cloud Storage

  1. Inicie sessão no painel de controlo da Cloudflare.
  2. Selecione a conta ou o domínio empresarial (também conhecido como zona) que quer usar com o Logpush.
  3. Aceda a Analytics e registos > Logpush.
  4. Selecione Criar uma tarefa Logpush.
  5. Em Selecionar um destino, selecione Google Cloud Storage.

  6. Introduza ou selecione os seguintes detalhes do destino:

    • Contentor: nome do contentor do GCS
    • Caminho: localização do contentor no contentor de armazenamento
    • Caixa de verificação: organize os registos em subpastas diárias (recomendado)

  7. Clique em Continuar.

  8. Validação da propriedade:

    1. A Cloudflare envia um ficheiro para o seu contentor.
    2. Copie e cole o token:
      1. Inicie sessão na Google Cloud consola > Armazenamento > contentor do Cloudflare.
      2. Abra o ficheiro de validação de propriedade.
      3. Copie o token de propriedade.
      4. Introduza o token de propriedade na consola da Cloudflare.
      5. Selecione Continuar.
    3. Selecione o conjunto de dados para enviar para o contentor.

  9. Configurar tarefa logpush:

    1. Introduza o nome da tarefa.
    2. Em Se os registos corresponderem, pode selecionar os eventos a incluir e/ou remover dos seus registos.
    1. Enviar os seguintes campos: selecione esta opção para enviar todos os registos ou escolher seletivamente os registos que quer enviar.

  10. Selecione Enviar para finalizar a configuração.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
AccountID target.resource.id, target.resource.product_object_id O ID da conta associado ao evento.
Action security_result.action Ação realizada com base no evento. allow ou allowed* resulta em ALLOW. unknown resulta em UNKNOWN_ACTION. Outros valores resultam em BLOCK. Para os registos de acesso, login é mapeado para USER_LOGIN, logout para USER_LOGOUT e outros valores para USER_RESOURCE_ACCESS se estiver presente um email.
ActionResult security_result.action Se true, mapeia para ALLOW. Se false, mapeia para BLOCK. Caso contrário, é mapeado para UNKNOWN_ACTION.
ActionType security_result.description Descrição da ação realizada.
ActorEmail principal.user.email_addresses Endereço de email do ator que inicia o evento.
ActorID principal.user.product_object_id ID do ator que inicia o evento.
ActorIP principal.ip, principal.asset.ip Endereço IP do ator que inicia o evento.
Allowed security_result.action Se true, mapeia para ALLOW. Caso contrário, é mapeado para BLOCK.
AppDomain target.administrative_domain Domínio da aplicação envolvida no evento.
AppUUID target.resource.product_object_id UUID da aplicação envolvida no evento.
AssetDisplayName principal.asset.attribute.labels.value where key is AssetDisplayName Nome a apresentar do recurso.
AssetExternalID principal.asset_id (com o prefixo "Cloudflare:") ID externo do recurso.
AssetLink principal.url Link associado ao recurso.
AssetMetadata.agreedToTerms principal.user.attribute.labels.value where key is agreedToTerms Se o utilizador aceitou os termos.
AssetMetadata.changePasswordAtNextLogin principal.user.attribute.labels.value where key is changePasswordAtNextLogin Se o utilizador tem de alterar a palavra-passe no próximo início de sessão.
AssetMetadata.clientId principal.user.userid ID do cliente a partir dos metadados do recurso.
AssetMetadata.customerId principal.user.userid ID de cliente dos metadados do recurso.
AssetMetadata.familyName principal.user.last_name Apelido do utilizador a partir dos metadados do recurso.
AssetMetadata.givenName principal.user.first_name Nome próprio do utilizador a partir dos metadados do recurso.
AssetMetadata.includeInGlobalAddressList principal.user.attribute.labels.value where key is includeInGlobalAddressList Se o utilizador está incluído na lista de endereços global.
AssetMetadata.ipWhitelisted principal.user.attribute.labels.value where key is ipWhitelisted Se o utilizador está na lista de autorizações de IPs.
AssetMetadata.isAdmin principal.user.attribute.labels.value where key is isAdmin Indica se o utilizador é um administrador.
AssetMetadata.isDelegatedAdmin principal.user.attribute.labels.value where key is isDelegatedAdmin Se o utilizador é um administrador delegado.
AssetMetadata.isEnforcedIn2Sv principal.user.attribute.labels.value where key is isEnforcedIn2Sv Indica se a validação em dois passos está aplicada para o utilizador.
AssetMetadata.isEnrolledIn2Sv principal.user.attribute.labels.value where key is isEnrolledIn2Sv Se o utilizador configurou a validação em dois passos.
AssetMetadata.kind (Não mapeado) Não está mapeado para o objeto IDM.
AssetMetadata.lastLoginTime principal.user.attribute.labels.value where key is lastLoginTime Hora do último início de sessão do utilizador.
AssetMetadata.login principal.user.userid Nome de início de sessão a partir dos metadados do recurso.
AssetMetadata.name.familyName principal.user.last_name Apelido a partir dos metadados do recurso.
AssetMetadata.name.fullName principal.user.user_display_name Nome completo a partir dos metadados do recurso.
AssetMetadata.name.givenName principal.user.first_name Nome próprio a partir dos metadados do recurso.
AssetMetadata.nativeApp security_result.detection_fields.value where key is nativeApp Se a app é nativa.
AssetMetadata.owner.id principal.user.userid ID do proprietário a partir dos metadados do recurso.
AssetMetadata.primaryEmail principal.user.email_addresses Email principal dos metadados do recurso.
AssetMetadata.scopes (Não mapeado) Não está mapeado para o objeto IDM.
AssetMetadata.site_admin principal.user.attribute.labels.value where key is site_admin Indica se o utilizador é um administrador do site.
AssetMetadata.suspended principal.user.attribute.labels.value where key is suspended Se o utilizador está suspenso.
AssetMetadata.url principal.url URL dos metadados do recurso.
AssetMetadata.userKey principal.user.attribute.labels.value where key is userKey Chave do utilizador dos metadados do recurso.
BlockedFileHash target.file.md5, target.file.sha1, target.file.sha256 Hash do ficheiro bloqueado. Analisado através do grok para extrair md5, sha1 ou sha256.
BlockedFileName security_result.about.file.full_path Nome do ficheiro bloqueado.
BlockedFileReason security_result.summary Motivo do bloqueio do ficheiro.
BlockedFileSize target.file.size Tamanho do ficheiro bloqueado.
BotScore security_result.detection_fields.value where key is BotScore Pontuação de bot atribuída ao pedido.
BytesReceived network.received_bytes Número de bytes recebidos.
BytesSent network.sent_bytes Número de bytes enviados.
CacheCacheStatus additional.fields.value.string_value where key is CacheCacheStatus Estado da cache.
CacheResponseBytes additional.fields.value.string_value where key is CacheResponseBytes Número de bytes na resposta em cache.
CacheResponseStatus additional.fields.value.string_value where key is CacheResponseStatus Código de estado da resposta em cache.
ClientASN (Não mapeado) Não está mapeado para o objeto IDM.
ClientCountry principal.location.country_or_region O país do cliente.
ClientDeviceType additional.fields.value.string_value where key is ClientDeviceType Tipo de dispositivo cliente.
ClientIP principal.ip, principal.asset.ip Endereço IP do cliente.
ClientRequestMethod network.http.method Método de pedido HTTP usado pelo cliente.
ClientRequestHost target.hostname, target.asset.hostname Nome do anfitrião pedido pelo cliente.
ClientRequestPath (Não mapeado) Não está mapeado para o objeto IDM.
ClientRequestProtocol network.application_protocol Protocolo usado no pedido do cliente (por exemplo, HTTP, HTTPS). A versão do protocolo é removida.
ClientRequestReferer network.http.referral_url URL de referência do pedido do cliente.
ClientRequestURI target.url (combinado com ClientRequestHost, se estiver presente) URI pedido pelo cliente.
ClientRequestUserAgent network.http.user_agent Agente do utilizador do pedido do cliente. Também analisado e mapeado para network.http.parsed_user_agent.
ClientSSLCipher network.tls.cipher A cifra SSL usada pelo cliente.
ClientSSLProtocol network.tls.version Protocolo SSL usado pelo cliente.
ClientSrcPort principal.port Porta de origem do cliente.
ClientTCPHandshakeDurationMs additional.fields.value.string_value where key is ClientTCPHandshakeDurationMs Duração do handshake TCP do cliente.
ClientTLSHandshakeDurationMs additional.fields.value.string_value where key is ClientTLSHandshakeDurationMs Duração do handshake TLS do cliente.
ClientTLSVersion network.tls.version Versão do TLS usada pelo cliente.
ColoID (Não mapeado) Não está mapeado para o objeto IDM.
Connection target.resource.attribute.labels.value where key is Connection Tipo de ligação (por exemplo, saml).
ConnectionCloseReason additional.fields.value.string_value where key is ConnectionCloseReason Motivo do encerramento da ligação.
ConnectionReuse additional.fields.value.string_value where key is ConnectionReuse Indica se ocorreu a reutilização da ligação.
Country target.location.country_or_region País associado ao evento.
CreatedAt metadata.event_timestamp Data/hora de criação do evento.
Datetime metadata.event_timestamp Data e hora do evento.
DestinationIP target.ip, target.asset.ip Endereço IP de destino.
DestinationPort target.port Porta de destino.
DestinationTunnelID additional.fields.value.string_value where key is DestinationTunnelID ID do túnel de destino.
DeviceID principal.asset_id (com o prefixo "Cloudflare:") ID do dispositivo.
DeviceName principal.hostname, principal.asset.hostname, principal.asset.attribute.labels.value onde a chave é DeviceName Nome do dispositivo.
DownloadedFileNames security_result.about.labels.value where key is DownloadFileNames Nomes dos ficheiros transferidos.
DstIP target.ip, target.asset.ip Endereço IP de destino.
DstPort target.port Porta de destino.
EdgeColoCode additional.fields.value.string_value where key is EdgeColoCode Código da localização na periferia da Cloudflare.
EdgeColoID additional.fields.value.string_value where key is EdgeColoID ID da localização na periferia da Cloudflare.
EdgeEndTimestamp (Não mapeado) Não está mapeado para o objeto IDM.
EdgeResponseBytes network.received_bytes Número de bytes na resposta da extremidade.
EdgeResponseContentType target.file.mime_type Tipo de conteúdo da resposta de limite.
EdgeResponseStatus network.http.response_code Código de estado da resposta de limite.
EdgeServerIP target.ip, target.asset.ip Endereço IP do servidor de limite.
EdgeStartTimestamp metadata.event_timestamp Data/hora do início do pedido no limite.
Email principal.user.email_addresses, target.user.email_addresses Endereço de email associado ao evento.
EgressColoName additional.fields.value.string_value where key is EgressColoName Nome do colo de saída.
EgressIP principal.ip, principal.asset.ip Endereço IP de saída. Define network.direction como OUTBOUND.
EgressPort principal.port Porta de saída.
EgressRuleID additional.fields.value.string_value where key is EgressRuleID ID da regra de saída.
EgressRuleName additional.fields.value.string_value where key is EgressRuleName Nome da regra de saída.
FindingTypeDisplayName security_result.description Nome a apresentar do tipo de descoberta.
FindingTypeID security_result.rule_id ID do tipo de descoberta.
FindingTypeSeverity security_result.severity Gravidade do tipo de descoberta.
FirewallMatchesActions security_result.action Ações realizadas pelas regras de firewall. allow, Allow, ALLOW, skip, SKIP e Skip são mapeados para ALLOW. challengeSolved e jschallengeSolved são mapeados para ALLOW_WITH_MODIFICATION. drop e block são mapeados para BLOCK. Outros valores são mapeados para UNKNOWN_ACTION.
FirewallMatchesRuleIDs security_result.rule_id (para o primeiro ID). Os IDs subsequentes criam novos objetos security_result. IDs das regras de firewall que corresponderam.
FirewallMatchesSources security_result.rule_name Origens das regras de firewall que corresponderam.
HTTPHost target.hostname Anfitrião HTTP.
HTTPMethod network.http.method Método HTTP.
HTTPVersion network.application_protocol Se o valor contiver "HTTP", define network.application_protocol como HTTP.
ID metadata.product_log_id ID do evento.
IngressColoName additional.fields.value.string_value where key is IngressColoName Nome do colo de entrada.
InstanceID principal.resource.product_object_id ID da instância.
IntegrationDisplayName additional.fields.value.string_value where key is IntegrationDisplayName Nome a apresentar da integração.
IntegrationID metadata.product_deployment_id ID da integração.
IntegrationPolicyVendor additional.fields.value.string_value where key is IntegrationPolicyVendor Fornecedor da política de integração.
IPAddress target.ip, target.asset.ip Endereço IP associado ao evento.
IsIsolated about.labels.value em que a chave é IsIsolated, security_result.about.resource.attribute.labels.value em que a chave é IsIsolated Se o evento está isolado.
Location principal.location.name Localização associada ao evento.
NewValue security_result.about.labels.value where key is NewValue Novo valor após uma atualização.
Offramp additional.fields.value.string_value where key is Offramp Offramp usado na ligação.
OldValue security_result.about.labels.value where key is OldValue Valor antigo antes de uma atualização.
OriginIP intermediary.ip, target.ip, target.asset.ip Endereço IP de origem.
OriginPort target.port Porta de origem.
OriginResponseBytes additional.fields.value.string_value where key is OriginResponseBytes Número de bytes na resposta de origem.
OriginResponseStatus additional.fields.value.string_value where key is OriginResponseStatus Código de estado da resposta de origem.
OriginResponseTime additional.fields.value.string_value where key is OriginResponseTime Tempo de resposta da origem.
OriginSSLProtocol (Não mapeado) Não está mapeado para o objeto IDM.
OriginTLSCertificateIssuer additional.fields.value.string_value where key is OriginTLSCertificateIssuer Emissor do certificado TLS de origem.
OriginTLSCertificateValidationResult additional.fields.value.string_value where key is OriginTLSCertificateValidationResult Resultado da validação do certificado TLS de origem.
OriginTLSCipher additional.fields.value.string_value where key is OriginTLSCipher Cifra usada na ligação TLS de origem.
OriginTLSHandshakeDurationMs additional.fields.value.string_value where key is OriginTLSHandshakeDurationMs Duração do handshake TLS de origem.
OriginTLSVersion additional.fields.value.string_value where key is OriginTLSVersion Versão do TLS usada pela origem.
OwnerID target.user.product_object_id ID do proprietário.
Policy security_result.rule_name Política associada ao evento.
PolicyID security_result.rule_id ID da política.
PolicyName security_result.rule_name Nome da política.
Protocol network.application_protocol, network.ip_protocol Protocolo usado na ligação. Se não for "tls" ou "TLS", é convertido em maiúsculas e mapeado para network.application_protocol. Caso contrário, são analisados através de um ficheiro de inclusão e mapeados para network.ip_protocol.
PurposeJustificationPrompt (Não mapeado) Não está mapeado para o objeto IDM.
PurposeJustificationResponse (Não mapeado) Não está mapeado para o objeto IDM.
QueryCategoryIDs security_result.about.labels.value, security_result.about.resource.attribute.labels.value onde a chave é QueryCategoryIDs IDs das categorias de consultas.
QueryName network.dns.questions.name Nome da consulta DNS. Define metadata.event_type como NETWORK_DNS e network.application_protocol como DNS.
QueryNameReversed network.dns.questions.name Nome invertido da consulta DNS.
QuerySize network.sent_bytes Tamanho da consulta.
QueryType network.dns.questions.type Tipo de consulta DNS. Mapeado para valores numéricos com base nos códigos de tipo de consulta DNS.
RData network.dns.answers.type, network.dns.answers.data Dados do registo de DNS. Cada elemento na matriz RData cria um novo objeto answer.
RayID metadata.product_log_id O ID do raio associado ao pedido.
Referer network.http.referral_url URL referenciador.
RequestID metadata.product_log_id ID do pedido.
ResolverDecision security_result.summary Decisão tomada pelo responsável pela resolução.
ResourceID target.resource.id, target.resource.product_object_id ID do recurso.
ResourceType target.resource.resource_subtype Tipo de recurso.
RuleEvaluationDurationMs additional.fields.value.string_value where key is RuleEvaluationDurationMs Duração da avaliação da regra.
SNI network.tls.client.server_name Indicação do nome do servidor (SNI) no ClientHello do TLS.
SecurityAction security_result.action Ação de segurança tomada. O valor está vazio ou nenhum SecurityAction é mapeado para ALLOW. challengeSolved ou jschallengeSolved mapeia para ALLOW_WITH_MODIFICATION. drop ou block mapeia para BLOCK.
SecurityLevel security_result.severity Nível de segurança. high é mapeado para HIGH, med para MEDIUM e low para LOW.
SessionEndTime additional.fields.value.string_value where key is SessionEndTime Hora de fim da sessão.
SessionID network.session_id ID da sessão.
SessionStartTime metadata.event_timestamp Hora de início da sessão.
SourceIP principal.ip, principal.asset.ip, src.ip, src.asset.ip Endereço IP de origem.
SourcePort principal.port, src.port Porta de origem.
SrcIP principal.ip, principal.asset.ip Endereço IP de origem.
SrcPort principal.port Porta de origem.
TemporaryAccessDuration network.session_duration.seconds Duração do acesso temporário.
Timestamp metadata.event_timestamp Data/hora do evento.
Transport network.ip_protocol Protocolo de transporte. Convertido em maiúsculas e analisado através de um ficheiro de inclusão.
UploadedFileNames security_result.about.labels.value where key is UploadedFileNames Nomes dos ficheiros carregados.
URL target.url URL envolvido no evento.
UserAgent network.http.user_agent String do agente do utilizador. Também analisado e mapeado para network.http.parsed_user_agent.
UserID principal.user.product_object_id, event.idm.read_only_udm.target.user.product_object_id ID do utilizador.
UserUID target.user.product_object_id UID do utilizador.
VirtualNetworkID principal.resource.product_object_id ID da rede virtual.
WAFAction security_result.about.labels.value where key is WAFAction Ação realizada pela firewall de app Web (WAF).
WAFAttackScore security_result.about.resource.attribute.labels.value where key is WAFAttackScore Pontuação de ataque atribuída pela WAF.
WAFFlags security_result.about.resource.attribute.labels.value where key is WAFFlags Sinalizações de WAF.
WAFMatchedVar (Não mapeado) Não está mapeado para o objeto IDM.
WAFProfile security_result.about.labels.value where key is WAFProfile Perfil do WAF.
WAFRCEAttackScore security_result.about.resource.attribute.labels.value where key is WAFRCEAttackScore Classificação de ataque de execução remota de código (RCE) da WAF.
WAFRuleID security_result.threat_id, security_result.about.labels.value onde a chave é WAFRuleID ID da regra da WAF.
WAFRuleMessage security_result.rule_name, security_result.threat_name Mensagem associada à regra da WAF.
WAFSQLiAttackScore security_result.about.resource.attribute.labels.value where key is WAFSQLiAttackScore Classificação de ataque de injeção SQL do WAF.
WAFXSSAttackScore security_result.about.resource.attribute.labels.value where key is WAFXSSAttackScore Pontuação de ataque de cross-site scripting (XSS) do WAF.
ZoneID additional.fields.value.string_value where key is ZoneID ID da zona.
event.idm.read_only_udm.metadata.event_type metadata.event_type Tipo de evento. Definido pelo analisador com base nos dados de registo. A predefinição é GENERIC_EVENT se não estiver definida ou se um evento NETWORK_DNS não tiver um principal ou um destino. Pode ser NETWORK_DNS, NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_RESOURCE_UPDATE_CONTENT ou GENERIC_EVENT.
event.idm.read_only_udm.metadata.log_type metadata.log_type Tipo de registo, definido como "CLOUDFLARE".
event.idm.read_only_udm.metadata.product_deployment_id metadata.product_deployment_id ID de implementação do produto.
event.idm.read_only_udm.metadata.product_log_id metadata.product_log_id ID do registo do produto.
event.idm.read_only_udm.metadata.product_name metadata.product_name Nome do produto. Definido pelo analisador com base nos dados de registo. Pode ser "DNS do Cloudflare Gateway", "HTTP do Cloudflare Gateway", "Auditoria do Cloudflare" ou "Firewall de app Web".
event.idm.read_only_udm.metadata.vendor_name metadata.vendor_name Nome do fornecedor definido como "Cloudflare".
event.idm.read_only_udm.metadata.event_timestamp metadata.event_timestamp Data/hora do evento.
event.idm.read_only_udm.network.application_protocol network.application_protocol Protocolo de aplicação usado na ligação de rede.
event.idm.read_only_udm.network.direction network.direction Direção da ligação de rede. Definido como OUTBOUND quando EgressIP e SourceIP estão presentes.
event.idm.read_only_udm.network.dns.answers network.dns.answers Respostas de DNS.
event.idm.read_only_udm.network.dns.questions network.dns.questions Dúvidas sobre o DNS.
event.idm.read_only_udm.network.http.method network.http.method Método HTTP.
event.idm.read_only_udm.network.http.parsed_user_agent network.http.parsed_user_agent Agente do utilizador analisado.
event.idm.read_only_udm.network.http.referral_url network.http.referral_url URL de referência HTTP.
event.idm.read_only_udm.network.http.response_code network.http.response_code Código da resposta HTTP.
event.idm.read_only_udm.network.http.user_agent network.http.user_agent Agente do utilizador HTTP.
event.idm.read_only_udm.network.ip_protocol network.ip_protocol Protocolo IP.
event.idm.read_only_udm.network.received_bytes network.received_bytes Número de bytes recebidos.
event.idm.read_only_udm.network.sent_bytes network.sent_bytes Número de bytes enviados.
event.idm.read_only_udm.network.session_duration.seconds network.session_duration.seconds Duração da sessão de rede em segundos.
event.idm.read_only_udm.network.session_id network.session_id ID da sessão de rede.
event.idm.read_only_udm.network.tls.cipher network.tls.cipher Conjunto de cifras TLS.
event.idm.read_only_udm.network.tls.client.server_name network.tls.client.server_name Nome do servidor do cliente TLS.
event.idm.read_only_udm.network.tls.version network.tls.version Versão de TLS.
event.idm.read_only_udm.principal.asset.attribute.labels principal.asset.attribute.labels Etiquetas associadas ao recurso principal.
event.idm.read_only_udm.principal.asset.hostname principal.asset.hostname Nome do anfitrião do recurso principal.
event.idm.read_only_udm.principal.asset.ip principal.asset.ip Endereço IP do recurso principal.
event.idm.read_only_udm.principal.asset_id principal.asset_id ID do recurso principal.
event.idm.read_only_udm.principal.hostname principal.hostname Nome do anfitrião do principal.
event.idm.read_only_udm.principal.ip principal.ip Endereço IP do principal.
event.idm.read_only_udm.principal.location.country_or_region principal.location.country_or_region País ou região da localização do principal.
event.idm.read_only_udm.principal.location.name principal.location.name Nome da localização do principal.
event.idm.read_only_udm.principal.port principal.port Porta usada pelo principal.
event.idm.read_only_udm.principal.resource.product_object_id principal.resource.product_object_id ID do objeto do produto do recurso da entidade principal.
event.idm.read_only_udm.principal.url principal.url URL associado ao principal.
event.idm.read_only_udm.principal.user.attribute.labels principal.user.attribute.labels Etiquetas associadas ao utilizador principal.
event.idm.read_only_udm.principal.user.email_addresses principal.user.email_addresses Endereços de email do utilizador principal.
event.idm.read_only_udm.principal.user.first_name principal.user.first_name Nome próprio do utilizador principal.
event.idm.read_only_udm.principal.user.last_name principal.user.last_name Apelido do utilizador principal.
event.idm.read_only_udm.principal.user.product_object_id principal.user.product_object_id ID do objeto do produto do utilizador principal.
event.idm.read_only_udm.principal.user.userid principal.user.userid ID do utilizador principal.
event.idm.read_only_udm.principal.user.user_display_name principal.user.user_display_name Nome a apresentar do utilizador principal.
event.idm.read_only_udm.src.asset.ip src.asset.ip Endereço IP do recurso de origem.
event.idm.read_only_udm.src.ip src.ip Endereço IP da origem.
event.idm.read_only_udm.src.port src.port Porto da origem.
event.idm.read_only_udm.target.administrative_domain target.administrative_domain Domínio administrativo do alvo.
event.idm.read_only_udm.target.asset.hostname target.asset.hostname Nome do anfitrião do recurso de destino.
event.idm.read_only_udm.target.asset.ip target.asset.ip Endereço IP do recurso de destino.
event.idm.read_only_udm.target.file.mime_type target.file.mime_type Tipo MIME do ficheiro de destino.
event.idm.read_only_udm.target.file.md5 target.file.md5 Hash MD5 do ficheiro de destino.
event.idm.read_only_udm.target.file.sha1 target.file.sha1 Hash SHA1 do ficheiro de destino.
event.idm.read_only_udm.target.file.sha256 target.file.sha256 Hash SHA256 do ficheiro de destino.
event.idm.read_only_udm.target.file.size target.file.size Tamanho do ficheiro de destino.
event.idm.read_only_udm.target.hostname target.hostname Nome do anfitrião do destino.
event.idm.read_only_udm.target.ip target.ip Endereço IP do destino.
event.idm.read_only_udm.target.location.country_or_region target.location.country_or_region País ou região da localização do alvo.
event.idm.read_only_udm.target.port target.port Porta do destino.
event.idm.read_only_udm.target.resource.attribute.labels target.resource.attribute.labels Etiquetas associadas ao recurso de destino.
event.idm.read_only_udm.target.resource.id target.resource.id ID do recurso de destino.
event.idm.read_only_udm.target.resource.product_object_id target.resource.product_object_id ID do objeto do produto do recurso de destino.
event.idm.read_only_udm.target.resource.resource_subtype target.resource.resource_subtype Subtipo de recurso do recurso de destino.
event.idm.read_only_udm.target.url target.url URL do destino.
event.idm.read_only_udm.target.user.email_addresses target.user.email_addresses Endereços de email do utilizador de destino.
event.idm.read_only_udm.target.user.product_object_id target.user.product_object_id ID do objeto de produto do utilizador de destino.
event.idm.read_only_udm.security_result.about.file.full_path security_result.about.file.full_path Caminho completo do ficheiro envolvido no resultado de segurança.
event.idm.read_only_udm.security_result.about.labels security_result.about.labels Etiquetas associadas ao resultado de segurança.
event.idm.read_only_udm.security_result.about.resource.attribute.labels security_result.about.resource.attribute.labels Etiquetas associadas ao recurso no resultado de segurança.
event.idm.read_only_udm.security_result.action security_result.action Ação realizada no resultado de segurança.
event.idm.read_only_udm.security_result.detection_fields security_result.detection_fields Campos de deteção no resultado de segurança.
event.idm.read_only_udm.security_result.description security_result.description Descrição do resultado de segurança.
event.idm.read_only_udm.security_result.rule_id security_result.rule_id ID da regra do resultado de segurança.
event.idm.read_only_udm.security_result.rule_name security_result.rule_name Nome da regra do resultado de segurança.
event.idm.read_only_udm.security_result.severity security_result.severity Gravidade do resultado de segurança.
event.idm.read_only_udm.security_result.summary security_result.summary Resumo do resultado de segurança.
event.idm.read_only_udm.security_result.threat_id security_result.threat_id ID da ameaça do resultado de segurança.
event.idm.read_only_udm.security_result.threat_name security_result.threat_name Nome da ameaça do resultado de segurança.
event.idm.read_only_udm.extensions.auth.type extensions.auth.type Tipo de autenticação. Definido como MACHINE para eventos de início e fim de sessão.
event.idm.read_only_udm.about about Acerca das informações.
event.idm.read_only_udm.additional.fields additional.fields Campos adicionais.
event.idm.read_only_udm.intermediary intermediary Informações do intermediário.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.