收集 GitHub 审核日志
支持的平台:
Google SecOps
SIEM
概览
此解析器处理 JSON 格式的 GitHub 审核日志。它会通过移除许多字段来清理输入,根据 process_type 字段执行多项 Grok 和键值对操作以提取相关信息,将提取的字段映射到 UDM,并为 Google SecOps 提取进行输出结构化处理。它还会处理特定的边缘情况,并针对 GitHub 审核日志中的不同日志子类型执行数据转换。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您对 GitHub 代码库具有特权访问权限。
在 Google SecOps 中配置 Feed 以提取 GitHub 日志
- 依次前往 SIEM 设置 > Feed。
- 点击新增。
- 在Feed 名称字段中,输入 Feed 的名称(例如 GitHub 日志)。
- 选择Webhook 作为来源类型。
- 选择 GitHub 作为日志类型。
- 点击下一步。
- 可选:为以下输入参数指定值:
- 分隔符:用于分隔日志行的分隔符,例如
\n。 - 资源命名空间:资源命名空间。
- 提取标签:应用于此 Feed 中的事件的标签。
- 分隔符:用于分隔日志行的分隔符,例如
- 点击下一步。
- 在最终确定界面中查看 Feed 配置,然后点击提交。
- 点击生成 Secret 密钥,生成用于对此 Feed 进行身份验证的 Secret 密钥。
- 复制并存储密钥。您将无法再查看此密钥。如有必要,您可以重新生成新的 Secret 密钥,但此操作会使之前的 Secret 密钥过时。
- 在详情标签页中,从端点信息字段复制 Feed 端点网址。您需要在客户端应用中指定此端点网址。
- 点击完成。
为该网站钩子 Feed 创建 API 密钥
依次前往 Google Cloud 控制台 > 凭据。
点击创建凭据,然后选择 API 密钥。
限制 API 密钥对 Google Security Operations API 的访问权限。
指定端点网址
- 在客户端应用中,指定 webhook Feed 中提供的 HTTPS 端点网址。
通过在自定义标头中指定 API 密钥和密钥(格式如下)来启用身份验证:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET建议:将 API 密钥作为标头指定,而不是在网址中指定。如果您的 webhook 客户端不支持自定义标头,您可以使用以下格式的查询参数指定 API 密钥和密钥:
ENDPOINT_URL?key=API_KEY&secret=SECRET
替换以下内容:
ENDPOINT_URL:Feed 端点网址。API_KEY:用于对 Google Security Operations 进行身份验证的 API 密钥。SECRET:您为对 Feed 进行身份验证而生成的密钥。
在 GitHub 上创建 Webhook
本指南提供了有关如何在 GitHub 上创建 Webhook 以将数据发送到 Google SecOps 的分步说明。
- 前往您的 GitHub 代码库。
- 转到设置。
- 点击网络钩子。
- 点击 Add webhook。
- 在 Payload 网址(载荷网址)字段中,输入 Google SecOps API 端点网址。
选择 application/json 作为内容类型。
可选:为增强安全性,请设置密钥。这会为 webhook 载荷生成签名,以便您在 Google SecOps 端验证其真实性。如果您使用 Secret,请在 Google SecOps Feed 中进行相应配置。
选择触发该 webhook 的事件。如需进行全面的日志记录,请选择让我选择各个事件,然后选中相关事件(例如推送、拉取请求、问题)。如果您不确定,请先从仅限
push事件入手。确保选中 Active 复选框。
点击添加网络钩子以保存您的配置。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
_document_id |
read_only_udm.additional.fields.[].key,read_only_udm.additional.fields.[].value.string_value |
原始日志中的 _document_id 会映射到 UDM 内的 additional.fields 数组中的键值对。 |
action |
read_only_udm.metadata.product_event_type,read_only_udm.security_result.summary |
action 字段会映射到元数据中的 product_event_type 和 security_result 中的 summary。 |
actor |
read_only_udm.principal.user.userid |
actor 字段(表示执行操作的用户)会映射到 principal.user.userid。 |
actor_id |
read_only_udm.principal.user.attribute.labels.[].key,read_only_udm.principal.user.attribute.labels.[].value |
actor_id 会映射为 principal.user.attribute.labels 数组中的标签。 |
actor_ip |
read_only_udm.principal.ip |
操作者的 IP 地址会映射到 principal.ip。 |
actor_location.country_code |
read_only_udm.principal.location.country_or_region |
演员的国家/地区代码已映射到 principal.location.country_or_region。 |
application_name |
read_only_udm.target.application |
应用名称会映射到 target.application。 |
business |
read_only_udm.target.user.company_name、read_only_udm.additional.fields.[].key、read_only_udm.additional.fields.[].value.string_value |
商家名称会映射到 target.user.company_name,并作为 additional.fields 中的键值对。 |
business_id |
read_only_udm.target.resource.attribute.labels.[].key,read_only_udm.target.resource.attribute.labels.[].value |
商家 ID 会映射为 target.resource.attribute.labels 数组中的标签。 |
config.url |
read_only_udm.target.url |
配置网址会映射到 target.url。 |
created_at |
read_only_udm.metadata.event_timestamp |
created_at 时间戳会转换为适当的格式并映射到 metadata.event_timestamp。 |
data.cancelled_at |
read_only_udm.extensions.vulns.vulnerabilities.scan_end_time |
data.cancelled_at 时间戳会转换并映射到 extensions.vulns.vulnerabilities.scan_end_time。 |
data.email |
read_only_udm.target.email |
数据字段中的电子邮件地址会映射到 target.email。 |
data.event |
read_only_udm.security_result.about.labels.[].key,read_only_udm.security_result.about.labels.[].value |
数据字段中的事件会映射为 security_result.about.labels 数组中的标签。 |
data.events |
read_only_udm.security_result.about.labels.[].key,read_only_udm.security_result.about.labels.[].value |
数据字段中的事件会映射为 security_result.about.labels 数组中的标签。 |
data.head_branch |
read_only_udm.security_result.about.labels.[].key,read_only_udm.security_result.about.labels.[].value |
数据字段中的主分支会映射为 security_result.about.labels 数组中的标签。 |
data.head_sha |
read_only_udm.target.file.sha256 |
数据字段中的头部 SHA 会映射到 target.file.sha256。 |
data.hook_id |
read_only_udm.target.resource.attribute.labels.[].key,read_only_udm.target.resource.attribute.labels.[].value |
数据字段中的钩子 ID 会映射为 target.resource.attribute.labels 数组中的标签。 |
data.started_at |
read_only_udm.extensions.vulns.vulnerabilities.scan_start_time |
data.started_at 时间戳会转换并映射到 extensions.vulns.vulnerabilities.scan_start_time。 |
data.team |
read_only_udm.target.user.group_identifiers |
数据字段中的团队会映射到 target.user.group_identifiers。 |
data.trigger_id |
read_only_udm.security_result.about.labels.[].key,read_only_udm.security_result.about.labels.[].value |
数据字段中的触发器 ID 会映射为 security_result.about.labels 数组中的标签。 |
data.workflow_id |
read_only_udm.security_result.about.labels.[].key,read_only_udm.security_result.about.labels.[].value |
数据字段中的工作流 ID 会映射为 security_result.about.labels 数组中的标签。 |
data.workflow_run_id |
read_only_udm.security_result.about.labels.[].key,read_only_udm.security_result.about.labels.[].value |
数据字段中的工作流运行 ID 会映射为 security_result.about.labels 数组中的标签。 |
enterprise.name |
read_only_udm.additional.fields.[].key,read_only_udm.additional.fields.[].value.string_value |
企业名称会在 additional.fields 中映射为键值对。 |
external_identity_nameid |
read_only_udm.target.user.userid,read_only_udm.target.user.email_addresses |
如果 external_identity_nameid 是电子邮件地址,系统会提取用户名部分并将其映射到 target.user.userid,并将完整电子邮件地址添加到 target.user.email_addresses。否则,整个值会映射到 target.user.userid。 |
external_identity_username |
read_only_udm.target.user.user_display_name |
外部身份用户名已映射到 target.user.user_display_name。 |
hashed_token |
read_only_udm.network.session_id |
经过哈希处理的令牌会映射到 network.session_id。 |
org |
read_only_udm.target.administrative_domain |
组织会映射到 target.administrative_domain。 |
org_id |
read_only_udm.additional.fields.[].key,read_only_udm.additional.fields.[].value.string_value |
组织 ID 会在 additional.fields 中映射为键值对。 |
programmatic_access_type |
read_only_udm.additional.fields.[].key,read_only_udm.additional.fields.[].value.string_value |
以程序化方式访问类型在 additional.fields 中映射为键值对。 |
public_repo |
read_only_udm.additional.fields.[].key、read_only_udm.additional.fields.[].value.string_value、read_only_udm.target.location.name |
public_repo 值决定了映射到 additional.fields 和 target.location.name 中的键值对的值。“false”会映射到“PRIVATE”,其他值会映射到“PUBLIC”。 |
query_string |
read_only_udm.additional.fields.[].key,read_only_udm.additional.fields.[].value.string_value |
查询字符串会在 additional.fields 中映射为键值对。 |
rate_limit_remaining |
read_only_udm.additional.fields.[].key,read_only_udm.additional.fields.[].value.string_value |
剩余速率限制会在 additional.fields 中映射为键值对。 |
repo |
read_only_udm.target.resource.name |
该代码库会映射到 target.resource.name。 |
repo_id |
read_only_udm.additional.fields.[].key,read_only_udm.additional.fields.[].value.string_value |
代码库 ID 会在 additional.fields 中映射为键值对。 |
repository_public |
read_only_udm.additional.fields.[].key,read_only_udm.additional.fields.[].value.string_value |
代码库公开标志在 additional.fields 中映射为键值对。 |
request_body |
read_only_udm.additional.fields.[].key,read_only_udm.additional.fields.[].value.string_value |
请求正文会在 additional.fields 中映射为键值对。 |
request_method |
read_only_udm.network.http.method |
请求方法会转换为大写形式并映射到 network.http.method。 |
route |
read_only_udm.additional.fields.[].key,read_only_udm.additional.fields.[].value.string_value |
路线会在 additional.fields 中映射为键值对。 |
status_code |
read_only_udm.network.http.response_code |
状态代码会转换为整数并映射到 network.http.response_code。 |
token_id |
read_only_udm.additional.fields.[].key,read_only_udm.additional.fields.[].value.string_value |
令牌 ID 会在 additional.fields 中映射为键值对。 |
token_scopes |
read_only_udm.additional.fields.[].key,read_only_udm.additional.fields.[].value.string_value |
令牌作用域在 additional.fields 中映射为键值对。 |
transport_protocol_name |
read_only_udm.network.application_protocol |
传输协议名称会转换为大写并映射到 network.application_protocol。 |
url_path |
read_only_udm.target.url |
网址路径会映射到 target.url。 |
user |
read_only_udm.target.user.user_display_name |
用户会映射到 target.user.user_display_name。 |
user_agent |
read_only_udm.network.http.user_agent,read_only_udm.network.http.parsed_user_agent |
用户代理会映射到 network.http.user_agent,其解析版本会映射到 network.http.parsed_user_agent。 |
user_id |
read_only_udm.target.user.userid |
用户 ID 会映射到 target.user.userid。 |
workflow.name |
read_only_udm.security_result.about.labels.[].key,read_only_udm.security_result.about.labels.[].value |
工作流名称会映射为 security_result.about.labels 数组中的标签。 |
workflow_run.event |
read_only_udm.additional.fields.[].key,read_only_udm.additional.fields.[].value.string_value |
工作流运行事件在 additional.fields 中映射为键值对。 |
workflow_run.head_branch |
read_only_udm.security_result.about.labels.[].key,read_only_udm.security_result.about.labels.[].value |
工作流运行主分支会映射为 security_result.about.labels 数组中的标签。 |
workflow_run.head_sha |
read_only_udm.target.file.sha256 |
工作流运行头 SHA 会映射到 target.file.sha256。 |
workflow_run.id |
read_only_udm.target.resource.attribute.labels.[].key,read_only_udm.target.resource.attribute.labels.[].value |
工作流运行 ID 会映射为 target.resource.attribute.labels 数组中的标签。 |
workflow_run.workflow_id |
read_only_udm.security_result.about.labels.[].key,read_only_udm.security_result.about.labels.[].value |
工作流作业工作流 ID 会映射为 security_result.about.labels 数组中的标签。 |
| (Parser Logic) | read_only_udm.metadata.event_type |
事件类型由解析器根据其他字段(例如 data.team、action 和 actor)的存在性和值确定。如果未满足任何其他特定条件,则默认为 USER_RESOURCE_ACCESS。 |
| (Parser Logic) | read_only_udm.metadata.log_type |
日志类型已硬编码为“GITHUB”。 |
| (Parser Logic) | read_only_udm.metadata.product_name |
产品名称已硬编码为“GITHUB”。 |
| (Parser Logic) | read_only_udm.metadata.vendor_name |
供应商名称已硬编码为“GITHUB”。 |
| (Parser Logic) | read_only_udm.target.resource.resource_type |
当存在 repo 字段时,资源类型会设为 STORAGE_OBJECT。 |
| (Parser Logic) | read_only_udm.target.resource.type |
资源类型派生自 action 字段。 |
| (Parser Logic) | read_only_udm.security_result.action |
安全操作(ALLOW/BLOCK)派生自 at 或 raw.at 字段(如果存在且等于“success”)。 |
| (Parser Logic) | read_only_udm.security_result.severity |
安全严重程度派生自 level 或 SeverityText 字段(如果存在)。“INFO”会映射到“INFORMATIONAL”“WARN”会映射到“MEDIUM”,其他值会直接映射。对于 git-daemon 日志,“严重”会映射到“严重”。 |
| (Parser Logic) | read_only_udm.network.application_protocol |
应用协议派生自 protocol、proto、babeld_proto、transport_protocol_name 或 raw.protocol 字段,并转换为大写,然后检查是否为“HTTP”“HTTPS”和“SSH”。 |
| (Parser Logic) | read_only_udm.network.application_protocol_version |
应用协议版本派生自 http_version 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.network.http.parsed_user_agent |
解析后的用户代理派生自 user_agent、column5、http_ua 或 content 字段(如果有)。 |
| (Parser Logic) | read_only_udm.network.received_bytes |
接收的字节派生自 column3、read_bytes、fs_recv 或 uploaded_bytes 字段(如果有),并转换为无符号整数。 |
| (Parser Logic) | read_only_udm.network.received_packets |
接收的数据包派生自 client_recv 字段(如果存在),并转换为整数。 |
| (Parser Logic) | read_only_udm.network.response_code |
响应代码派生自 column2、status、status_code 或 http_status 字段(如果有),并转换为整数。 |
| (Parser Logic) | read_only_udm.network.sent_bytes |
发送的字节派生自 client_sent 字段(如果存在),并转换为无符号整数。 |
| (Parser Logic) | read_only_udm.network.sent_packets |
已发送的数据包派生自 fs_sent 字段(如果存在),并转换为整数。 |
| (Parser Logic) | read_only_udm.network.session_duration.seconds |
会话时长(以秒为单位)派生自 time_duration 字段(如果存在),并转换为整数。 |
| (Parser Logic) | read_only_udm.target.file.full_path |
目标文件的完整路径派生自 path、git_dir 或 dir 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.target.file.sha1 |
目标文件 SHA1 派生自 sha 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.target.hostname |
目标主机名派生自 client_hostname 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.target.ip |
目标 IP 地址派生自 x_real_ip、remote_address、client_ip 或 remote_addr 字段(如果有)。 |
| (Parser Logic) | read_only_udm.target.location.name |
目标位置名称派生自 datacenter 或 public_repo 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.target.port |
目标端口派生自 client_port、dstp 或 remote_port 字段(如果存在),并转换为整数。 |
| (Parser Logic) | read_only_udm.target.process.command_line |
目标进程命令行派生自 command、ssh_cmd、cmdline 或 cmd 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.target.process.parent_process.pid |
目标进程父进程 ID 派生自 ppid 字段(如果存在),并转换为字符串。 |
| (Parser Logic) | read_only_udm.target.process.pid |
目标进程 ID 派生自 pid 字段(如果有),并转换为字符串。 |
| (Parser Logic) | read_only_udm.target.url |
目标网址派生自 url、http_url、request_url、http_request、dest_url、config.url 或 url_path 字段(如果有)。也可以使用 path_info 和 query_string 构建。 |
| (Parser Logic) | read_only_udm.target.user.attribute.roles.[].name |
目标用户角色派生自 actor_type 或 user_type 字段(如果有)。 |
| (Parser Logic) | read_only_udm.target.user.email_addresses |
目标用户电子邮件地址派生自 external_identity_nameid 字段(如果它是电子邮件地址)。 |
| (Parser Logic) | read_only_udm.target.user.group_identifiers |
目标用户群组标识符派生自 data.team 字段(如果有)。 |
| (Parser Logic) | read_only_udm.target.user.userid |
目标用户 ID 派生自 userid、external_identity_nameid、current_user、member、user_id、actor_id 或 raw.user_id 字段(如果有)。 |
| (Parser Logic) | read_only_udm.target.user.user_display_name |
目标用户显示名称派生自 login、user、external_identity_username、user_login 或 raw.login 字段(如果有)。 |
| (Parser Logic) | read_only_udm.principal.asset.asset_id |
主要素材资源 ID 派生自 guid 字段,前缀为“GUID:”。 |
| (Parser Logic) | read_only_udm.principal.hostname |
主机名派生自 hostname、request_host、host 或 principal_hostname 字段(如果有)。 |
| (Parser Logic) | read_only_udm.principal.ip |
主 IP 地址派生自 column6、ip、x_real_ip、remote_address、raw.ip、actor_ip 或 log:source:ip 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.principal.location.country_or_region |
主要位置国家/地区派生自 actor_location.country_code 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.principal.port |
主端口派生自 srcp 或 log:source:port 字段(如果存在),并转换为整数。 |
| (Parser Logic) | read_only_udm.principal.resource.name |
主要资源名称派生自 service.name 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.principal.resource.product_object_id |
主要资源商品对象 ID 派生自 service.instance.id 或 subject_id 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.principal.url |
主网址派生自 repo 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.principal.user.userid |
主要用户 ID 派生自 repository_owner_id 字段(如果存在),并转换为字符串。 |
| (Parser Logic) | read_only_udm.principal.user.user_display_name |
主要用户显示名称派生自 repo_name 字段(如果有)。 |
| (Parser Logic) | read_only_udm.intermediary.hostname |
中继主机名派生自 hostname 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.intermediary.ip |
中继 IP 地址派生自 x_forwarded_for 或 xff_ip 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.metadata.description |
元数据说明派生自 content、at 或 raw.message 字段(如果有)。 |
| (Parser Logic) | read_only_udm.metadata.product_event_type |
商品事件类型派生自 process_type 或 action 字段(如果有)。 |
| (Parser Logic) | read_only_udm.metadata.product_log_id |
商品日志 ID 派生自 github_request_id、id、request_id 或 raw.request_id 字段(如果有)。 |
| (Parser Logic) | read_only_udm.metadata.product_version |
产品版本派生自 version 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.security_result.about.labels.[].key,read_only_udm.security_result.about.labels.[].value |
系统会根据 data.events、data.workflow_id、workflow.name、data.head_branch、data.trigger_id、data.workflow_run_id 和 data.event 等字段的存在性和值,向 security_result.about.labels 数组添加各种标签。 |
| (Parser Logic) | read_only_udm.security_result.description |
安全结果说明派生自 auth_status、data_msg、msg、Body、desc 或 content 字段(如果有)。 |
| (Parser Logic) | read_only_udm.security_result.severity_details |
安全结果严重程度详情派生自 userid 字段(如果有)。 |
| (Parser Logic) | read_only_udm.security_result.summary |
安全结果摘要派生自 creason、action 或 reason 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.network.http.referral_url |
HTTP 引荐网址派生自 column4 或 referer 字段(如果有)。 |
| (Parser Logic) | read_only_udm.network.http.user_agent |
HTTP 用户代理派生自 column5、http_ua 或 user_agent 字段(如果存在)。 |
| (Parser Logic) | read_only_udm.network.sent_bytes |
网络发送的字节派生自 client_sent 或 fs_sent 字段(如果有),并转换为无符号整数。 |
| (Parser Logic) | read_only_udm.additional.fields.[].key,read_only_udm.additional.fields.[].value.string_value |
许多字段会在 additional.fields 数组中按条件映射为键值对,包括 auth_fingerprint、controller、oauth_access_id、oauth_application_id、oauth_scopes、route、worker_request_count、repo、repo_visibility、auth、content_length、elapsed、catalog_service、action、method、failure_type、failure_reason、hashed_token、token_type、gitauth_version、enterprise.name、programmatic_access_type、token_id、token_scopes、integration、query_string、rate_limit_remaining、request_body、org_id、repo_id、repository_public、raw.method、raw.failure_type、raw.failure_reason、raw.from、raw.raw_login、device_cookie、operation、operation_type、category_type、business、note、read、pre_perform_allocation_count、backend、queue、class、success、env、job_id 和 job。解析器代码中详细介绍了每个字段的具体逻辑。 |
| (Parser Logic) | read_only_udm.security_result.detection_fields.[].key,read_only_udm.security_result.detection_fields.[].value |
controller_action、two_factor、delay_time、queued_time、delivery_build、delivery_send 和 stages 字段会有条件地映射到 security_result.detection_fields 数组。 |
| (Parser Logic) | read_only_udm.target.resource.attribute.labels.[].key,read_only_udm.target.resource.attribute.labels.[].value |
hook_id、job_name、job_workflow_ref、runner_group_id、runner_group_name、runner_name、runner_id、workflow_run_id 和 business_id 字段会根据条件映射为 target.resource.attribute.labels 数组中的标签。 |
| (Parser Logic) | read_only_udm.metadata.event_timestamp |
如果时间戳未以支持的格式直接提供,解析器会尝试从各种字段(包括 ts、now、created_at、Timestamp、time 和 raw.now)中提取并转换时间戳。 |
| (Parser Logic) | read_only_udm.network.http.method |
HTTP 方法派生自 method、column1、request_method、http_method 或 raw.method 字段,并转换为大写形式。 |
| (Parser Logic) | read_only_udm.target.application |
目标应用派生自 process、program 或 app 字段(如果存在)。 |
变化
2023-12-18
- bug 修复:
- 如果“process_type”为“github_production”,则添加了 Grok 模式以提取“kv_data”。
- 如果“process_type”为“github_production”,则将“user”映射到“target.user.user_display_name”。
- 如果“process_type”为“github_production”,则将“user_id”映射到“target.user.userid”。
- 将“referrer”映射到“network.http.referral_url”。
- 将“user_session_id”映射到“network.session_id”。
- 将“ip”映射到“principal.ip”。
- 将“from”映射到“additional.fields”。
- 将“request_category”映射到“additional.fields”。
- 将“device_cookie”映射到“additional.fields”。
- 将“operation_type”映射到“additional.fields”。
- 将“category_type”映射到“additional.fields”。
- 将“note”映射到“additional.fields”。
- 将“read”映射到“additional.fields”。
- 将“pre_perform_allocation_count”映射到“additional.fields”。
- 将“后端”映射到“additional.fields”。
- 将“queue”映射到“additional.fields”。
- 将“class”映射到“additional.fields”。
- 将“success”映射到“additional.fields”。
- 将“controller_action”映射到“security_result.detection_fields”。
- 将“two_factor”映射到“security_result.detection_fields”。
2023-10-25
- 如果“public_repo”为“false”,请将“target.location.name”设为“PRIVATE”,否则设为“PUBLIC”。
2023-10-11
- 将“user_agent”映射到“network.http.user_agent”和“network.http.parsed_user_agent”。
- 将“request_method”映射到“network.http.method”。
- 将“application_name”映射到“target.application”。
- 将“status_code”映射到“network.http.response_code”。
- 将“url_path”映射到“target.url”。
- 将“user_id”映射到“target.userid”。
- 将“transport_protocol_name”映射到“network.application_protocol”。
- 将“raw.now”映射到“metadata.event_timestamp”。
- 将“raw.ip”映射到“principal.ip”。
- 将“raw.request_id”映射到“metadata.product_log_id”。
- 将“raw.repo”映射到“target.url”。
- 将“raw.action”映射到“security_result.summary”。
- 将“raw.protocol”映射到“network.application_protocol”。
- 将“raw.message”映射到“metadata.description”。
- 将“raw.at”映射到“security_result.action”。
- 将“raw.login”映射到“target.user_display_name”。
- 将“raw.user_id”映射到“target.userid”。
- 将“raw.failure_reason”“raw.failure_type”“raw.raw_login”和“raw.from”映射到“additional.fields”。
- 将“programmatic_access_type”“actor_id”“token_id”“token_scopes”“integration”“query_string”“rate_limit_remaining”“request_body”“route”“business”“org_id”“repo_id”“public_repo”“_document_id”“operation_type”“repository_public”映射到“additional.fields”。
2023-07-31
- bug 修复:
- 向 Grok 模式添加了“on_error”。
- 将“workflow_run.id”映射到“target.resource.attribute.labels”。
- 将“workflow_run.event”映射到“additional.fields”。
- 将“workflow_run.actor.login”映射到“principal.user.userid”。
- 将“workflow_run.head_branch”映射到“security_result.about.labels”。
- 将“workflow_run.head_sha”映射到“target.file.sha256”。
- 将“enterprise.name”映射到“additional.fields”。
- 将“workflow.name”映射到“security_result.about.labels”。
- 将“workflow_run.workflow_id”映射到“security_result.about.labels”。
2023-06-22
- 添加了对“github_auth”“haproxy”“github_access”“github_unicorn”“github_production”“hookshot-go”“babeld”“github_gitauth”“babeld2hydro”“authzd”“gitrpcd”“agent”“git-daemon”“github_resqued”“sudo”“systemd”和“github_audit”Syslog 日志格式的支持。
2023-06-09
- 增强功能-
- 如果采用电子邮件格式,将“external_identity_nameid”映射到“target.user.email_addresses”。
- 从“external_identity_nameid”提取用户名,并映射到“target.user.userid”。
2023-01-13
- 增强功能-
- 将“actor_ip”映射到“principal.ip”。
- 将“hashed_token”映射到“network.session_id”。
- 将“external_identity_nameid”映射到“target.user.userid”
- 将“external_identity_username”映射到“target.user.user_display_name”。
2022-11-28
- 增强功能 - 将“config.url”映射到“target.url”。
2022-07-07
- 增强功能 - 系统已处理和解析操作为“git.clone”“git.push”和“workflows.prepared_workflow_job”的新提取的 JSON 格式日志。
- “job_name”已映射到“target.resource.attribute.labels”。
- “job_workflow_ref”映射到“target.resource.attribute.labels”。
- “runner_group_id”已映射到“target.resource.attribute.labels”。
- “runner_group_name”已映射到“target.resource.attribute.labels”。
- “runner_name”已映射到“target.resource.attribute.labels”。
- “runner_id”已映射到“target.resource.attribute.labels”。
- “workflow_run_id”已映射到“target.resource.attribute.labels”。
- “actor_location.country_code”映射到“principal.location.country_or_region”。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。