Raccogliere i log di Palo Alto Prisma Cloud

Supportato in:

Questo documento descrive come raccogliere i log di Palo Alto Prisma Cloud configurando un feed di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione PAN_PRISMA_CLOUD.

Configura Palo Alto Prisma Cloud

  1. Accedi alla console Palo Alto Prisma Cloud con un account amministratore.
  2. Nel menu Impostazioni, fai clic su Chiavi di accesso.
  3. Fai clic su Aggiungi nuovo e inserisci un nome.

  4. Fai clic su Crea. Vengono visualizzati i valori ID chiave di accesso e Chiave segreta.

  5. Salva i valori ID chiave di accesso e Chiave segreta. Questi valori sono obbligatori quando configuri il feed di Google Security Operations.

Configura un feed di Google Security Operations per importare i log di Palo Alto Prisma Cloud

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Add New (Aggiungi nuovo).
  3. Inserisci un nome univoco per il nome del campo.
  4. Seleziona API di terze parti come Tipo di origine.
  5. Seleziona Palo Alto Prisma Cloud come Tipo di log.
  6. Fai clic su Avanti.
  7. Configura i seguenti parametri di input obbligatori:
    • Nome utente: specifica l'ID chiave di accesso ottenuto in precedenza.
    • Password:specifica la chiave segreta ottenuta in precedenza.
    • Nome host dell'API: specifica il nome host dell'API.
  8. Fai clic su Avanti e poi su Invia.

Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo codice del parser estrae i campi dai log PAN PRISMA CLOUD in formato JSON, esegue trasformazioni e mappature dei dati per strutturarli nello schema UDM di Chronicle. Gestisce varie strutture di messaggi di log, inclusi oggetti e array nidificati, per normalizzare diversi eventi di sicurezza e informazioni contestuali per l'analisi in Chronicle.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
accountName read_only_udm.target.resource.attribute.cloud.project.id Mappato direttamente dal campo accountName.
accountId read_only_udm.target.hostname Mappato direttamente dal campo accountId.
accountId read_only_udm.target.asset.hostname Mappato direttamente dal campo accountId.
accountId read_only_udm.principal.cloud.project.id Mappato direttamente dal campo accountId nell'array aggregatedAlerts.
azione read_only_udm.security_result.description Mappato direttamente dal campo action dopo la rimozione della parte JSON.
alertId read_only_udm.metadata.product_log_id Mappato direttamente dal campo alertId.
alertRules.0.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_0 Mappato direttamente dal campo alertRules.0.allowAutoRemediate.
alertRules.0.enabled read_only_udm.security_result.detection_fields.enabled_0 Mappato direttamente dal campo alertRules.0.enabled.
alertRules.0.name read_only_udm.security_result.detection_fields.name_0 Mappato direttamente dal campo alertRules.0.name.
alertRules.0.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_0 Mappato direttamente dal campo alertRules.0.notifyOnDismissed.
alertRules.0.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_0 Mappato direttamente dal campo alertRules.0.notifyOnOpen.
alertRules.0.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_0 Mappato direttamente dal campo alertRules.0.notifyOnResolved.
alertRules.0.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 Mappato direttamente dal campo alertRules.0.notifyOnSnoozed.
alertRules.0.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_0 Mappato direttamente dal campo alertRules.0.policyScanConfigId.
alertRules.0.scanAll read_only_udm.security_result.detection_fields.scanAll_0 Mappato direttamente dal campo alertRules.0.scanAll.
alertRules.1.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_1 Mappato direttamente dal campo alertRules.1.allowAutoRemediate.
alertRules.1.createdBy read_only_udm.principal.user.email_addresses Mappato direttamente dal campo alertRules.1.createdBy.
alertRules.1.enabled read_only_udm.security_result.detection_fields.enabled_1 Mappato direttamente dal campo alertRules.1.enabled.
alertRules.1.name read_only_udm.security_result.detection_fields.name_1 Mappato direttamente dal campo alertRules.1.name.
alertRules.1.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_1 Mappato direttamente dal campo alertRules.1.notifyOnDismissed.
alertRules.1.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_1 Mappato direttamente dal campo alertRules.1.notifyOnOpen.
alertRules.1.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_1 Mappato direttamente dal campo alertRules.1.notifyOnResolved.
alertRules.1.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 Mappato direttamente dal campo alertRules.1.notifyOnSnoozed.
alertRules.1.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_1 Mappato direttamente dal campo alertRules.1.policyScanConfigId.
alertRules.1.scanAll read_only_udm.security_result.detection_fields.scanAll_1 Mappato direttamente dal campo alertRules.1.scanAll.
alertRules.2.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_2 Mappato direttamente dal campo alertRules.2.allowAutoRemediate.
alertRules.2.createdBy read_only_udm.principal.user.email_addresses Mappato direttamente dal campo alertRules.2.createdBy.
alertRules.2.enabled read_only_udm.security_result.detection_fields.enabled_2 Mappato direttamente dal campo alertRules.2.enabled.
alertRules.2.name read_only_udm.security_result.detection_fields.name_2 Mappato direttamente dal campo alertRules.2.name.
alertRules.2.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_2 Mappato direttamente dal campo alertRules.2.notifyOnDismissed.
alertRules.2.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_2 Mappato direttamente dal campo alertRules.2.notifyOnOpen.
alertRules.2.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_2 Mappato direttamente dal campo alertRules.2.notifyOnResolved.
alertRules.2.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 Mappato direttamente dal campo alertRules.2.notifyOnSnoozed.
alertRules.2.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_2 Mappato direttamente dal campo alertRules.2.policyScanConfigId.
alertRules.2.scanAll read_only_udm.security_result.detection_fields.scanAll_2 Mappato direttamente dal campo alertRules.2.scanAll.
alertRuleId read_only_udm.security_result.rule_id Mappato direttamente dal campo alertRuleId.
alertRuleName read_only_udm.security_result.rule_name Mappato direttamente dal campo alertRuleName.
alertStatus read_only_udm.security_result.detection_fields.event message alertStatus Mappato direttamente dal campo alertStatus nell'oggetto event_data.msg_data.
alertTs read_only_udm.metadata.event_timestamp.seconds Mappato direttamente dal campo alertTs dopo la conversione in timestamp UNIX.
alertTs read_only_udm.metadata.event_timestamp.nanos Mappato direttamente dal campo alertTs dopo la conversione in timestamp UNIX.
callbackUrl read_only_udm.metadata.url_back_to_product Mappato direttamente dal campo callbackUrl.
cloudServiceName read_only_udm.target.resource.attribute.labels.cloudServiceName Mappato direttamente dal campo cloudServiceName.
cloudType read_only_udm.target.resource.attribute.cloud.environment Mappato dal campo cloudType. Se cloudType è "gcp", il valore viene impostato su "GOOGLE_CLOUD_PLATFORM". Se cloudType è "aws", il valore viene impostato su "AMAZON_WEB_SERVICES".
complianceMetadata.0.requirementId read_only_udm.security_result.rule_id Mappato direttamente dal campo complianceMetadata.0.requirementId.
complianceMetadata.0.requirementName read_only_udm.security_result.summary Mappato direttamente dal campo complianceMetadata.0.requirementName.
complianceMetadata.0.standardName read_only_udm.security_result.rule_name Mappato direttamente dal campo complianceMetadata.0.standardName.
complianceMetadata.1.requirementId read_only_udm.security_result.rule_id Mappato direttamente dal campo complianceMetadata.1.requirementId.
complianceMetadata.1.requirementName read_only_udm.security_result.summary Mappato direttamente dal campo complianceMetadata.1.requirementName.
complianceMetadata.1.standardName read_only_udm.security_result.rule_name Mappato direttamente dal campo complianceMetadata.1.standardName.
complianceMetadata.2.requirementId read_only_udm.security_result.rule_id Mappato direttamente dal campo complianceMetadata.2.requirementId.
complianceMetadata.2.requirementName read_only_udm.security_result.summary Mappato direttamente dal campo complianceMetadata.2.requirementName.
complianceMetadata.2.standardName read_only_udm.security_result.rule_name Mappato direttamente dal campo complianceMetadata.2.standardName.
complianceMetadata.3.requirementId read_only_udm.security_result.rule_id Mappato direttamente dal campo complianceMetadata.3.requirementId.
complianceMetadata.3.requirementName read_only_udm.security_result.summary Mappato direttamente dal campo complianceMetadata.3.requirementName.
complianceMetadata.3.standardName read_only_udm.security_result.rule_name Mappato direttamente dal campo complianceMetadata.3.standardName.
complianceMetadata.4.requirementId read_only_udm.security_result.rule_id Mappato direttamente dal campo complianceMetadata.4.requirementId.
complianceMetadata.4.requirementName read_only_udm.security_result.summary Mappato direttamente dal campo complianceMetadata.4.requirementName.
complianceMetadata.4.standardName read_only_udm.security_result.rule_name Mappato direttamente dal campo complianceMetadata.4.standardName.
event_data.app read_only_udm.target.application Mappato direttamente dal campo event_data.app.
event_data.msg_data.account.cloudType read_only_udm.target.resource.attribute.cloud.environment Mappato dal campo event_data.msg_data.account.cloudType. Se il valore è "aws", viene impostato su "AMAZON_WEB_SERVICES".
event_data.msg_data.account.id read_only_udm.target.cloud.project.id Mappato direttamente dal campo event_data.msg_data.account.id.
event_data.msg_data.account.name read_only_udm.target.cloud.project.name Mappato direttamente dal campo event_data.msg_data.account.name.
event_data.msg_data.accountIDs read_only_udm.principal.resource.attribute.labels.event message accountId {index} Mappata direttamente dall'array event_data.msg_data.accountIDs.
event_data.msg_data.aggregatedAlerts.0.category read_only_udm.security_result.category_details Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.category.
event_data.msg_data.aggregatedAlerts.0.command read_only_udm.principal.process.command_line Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.command.
event_data.msg_data.aggregatedAlerts.0.collections read_only_udm.target.resource.attribute.labels.Collection {index} Mappata direttamente dall'array event_data.msg_data.aggregatedAlerts.0.collections.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category read_only_udm.security_result.category_details Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description read_only_udm.security_result.description Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity read_only_udm.security_result.severity Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity dopo la conversione in maiuscolo.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title read_only_udm.security_result.action_details Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title.
event_data.msg_data.aggregatedAlerts.0.container read_only_udm.target.resource.name Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.container.
event_data.msg_data.aggregatedAlerts.0.containerID read_only_udm.target.resource.product_object_id Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.containerID.
event_data.msg_data.aggregatedAlerts.0.fqdn read_only_udm.principal.domain.name Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.fqdn.
event_data.msg_data.aggregatedAlerts.0.host read_only_udm.principal.hostname Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.host.
event_data.msg_data.aggregatedAlerts.0.host read_only_udm.principal.asset.hostname Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.host.
event_data.msg_data.aggregatedAlerts.0.image read_only_udm.target.resource.attribute.labels.image Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.image.
event_data.msg_data.aggregatedAlerts.0.imageID read_only_udm.target.resource.attribute.labels.imageID Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.imageID.
event_data.msg_data.aggregatedAlerts.0.labels.controller-uid read_only_udm.target.user.product_object_id Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.labels.controller-uid.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name read_only_udm.target.hostname Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid read_only_udm.target.resource.product_object_id Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid.
event_data.msg_data.aggregatedAlerts.0.msg_data read_only_udm.security_result.description Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.msg_data.
event_data.msg_data.aggregatedAlerts.0.rule read_only_udm.security_result.rule_name Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.rule.
event_data.msg_data.aggregatedAlerts.0.startupProcess read_only_udm.principal.application Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.startupProcess.
event_data.msg_data.aggregatedAlerts.0.time read_only_udm.metadata.event_timestamp.seconds Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.time dopo la conversione in timestamp UNIX.
event_data.msg_data.aggregatedAlerts.0.time read_only_udm.metadata.event_timestamp.nanos Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.time dopo la conversione in timestamp UNIX.
event_data.msg_data.aggregatedAlerts.0.type read_only_udm.security_result.category_details Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.type.
event_data.msg_data.aggregatedAlerts.0.user read_only_udm.principal.user.userid Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.user.
event_data.msg_data.alertId read_only_udm.security_result.detection_fields.event message alertId Mappato direttamente dal campo event_data.msg_data.alertId.
event_data.msg_data.alertRuleId read_only_udm.security_result.rule_id Mappato direttamente dal campo event_data.msg_data.alertRuleId.
event_data.msg_data.alertRuleName read_only_udm.security_result.rule_name Mappato direttamente dal campo event_data.msg_data.alertRuleName.
event_data.msg_data.alertStatus read_only_udm.security_result.detection_fields.event message alertStatus Mappato direttamente dal campo event_data.msg_data.alertStatus.
event_data.msg_data.alertTs read_only_udm.metadata.event_timestamp.seconds Mappato direttamente dal campo event_data.msg_data.alertTs dopo la conversione in timestamp UNIX.
event_data.msg_data.alertTs read_only_udm.metadata.event_timestamp.nanos Mappato direttamente dal campo event_data.msg_data.alertTs dopo la conversione in timestamp UNIX.
event_data.msg_data.category read_only_udm.security_result.category_details Mappato direttamente dal campo event_data.msg_data.category.
event_data.msg_data.collections read_only_udm.target.resource.attribute.labels.Collection {index} Mappata direttamente dall'array event_data.msg_data.collections.
event_data.msg_data.command read_only_udm.principal.process.command_line Mappato direttamente dal campo event_data.msg_data.command.
event_data.msg_data.complianceIssues.0.category read_only_udm.security_result.category_details Mappato direttamente dal campo event_data.msg_data.complianceIssues.0.category.
event_data.msg_data.complianceIssues.0.description read_only_udm.security_result.description Mappato direttamente dal campo event_data.msg_data.complianceIssues.0.description.
event_data.msg_data.complianceIssues.0.severity read_only_udm.security_result.severity Mappato direttamente dal campo event_data.msg_data.complianceIssues.0.severity dopo la conversione in maiuscolo.
event_data.msg_data.complianceIssues.0.title read_only_udm.security_result.action_details Mappato direttamente dal campo event_data.msg_data.complianceIssues.0.title.
event_data.msg_data.container read_only_udm.target.resource.name Mappato direttamente dal campo event_data.msg_data.container.
event_data.msg_data.containerID read_only_udm.target.resource.product_object_id Mappato direttamente dal campo event_data.msg_data.containerID.
event_data.msg_data.dropped read_only_udm.security_result.detection_fields.dropped Mappato direttamente dal campo event_data.msg_data.dropped dopo la conversione in stringa.
event_data.msg_data.fqdn read_only_udm.principal.domain.name Mappato direttamente dal campo event_data.msg_data.fqdn.
event_data.msg_data.firstSeen read_only_udm.security_result.first_discovered_time.seconds Mappato direttamente dal campo event_data.msg_data.firstSeen dopo la conversione in timestamp UNIX.
event_data.msg_data.firstSeen read_only_udm.security_result.first_discovered_time.nanos Mappato direttamente dal campo event_data.msg_data.firstSeen dopo la conversione in timestamp UNIX.
event_data.msg_data.host read_only_udm.principal.hostname Mappato direttamente dal campo event_data.msg_data.host.
event_data.msg_data.host read_only_udm.principal.asset.hostname Mappato direttamente dal campo event_data.msg_data.host.
event_data.msg_data.image read_only_udm.target.resource.attribute.labels.image Mappato direttamente dal campo event_data.msg_data.image.
event_data.msg_data.imageID read_only_udm.target.resource.attribute.labels.imageID Mappato direttamente dal campo event_data.msg_data.imageID.
event_data.msg_data.labels.controller-uid read_only_udm.target.user.product_object_id Mappato direttamente dal campo event_data.msg_data.labels.controller-uid.
event_data.msg_data.labels.io.kubernetes.pod.name read_only_udm.target.hostname Mappato direttamente dal campo event_data.msg_data.labels.io.kubernetes.pod.name.
event_data.msg_data.labels.io.kubernetes.pod.uid read_only_udm.target.resource.product_object_id Mappato direttamente dal campo event_data.msg_data.labels.io.kubernetes.pod.uid.
event_data.msg_data.lastSeen read_only_udm.security_result.last_discovered_time.seconds Mappato direttamente dal campo event_data.msg_data.lastSeen dopo la conversione in timestamp UNIX.
event_data.msg_data.lastSeen read_only_udm.security_result.last_discovered_time.nanos Mappato direttamente dal campo event_data.msg_data.lastSeen dopo la conversione in timestamp UNIX.
event_data.msg_data.metadata.cveCritical read_only_udm.security_result.detection_fields.event_data metadata cveCritical Mappato direttamente dal campo event_data.msg_data.metadata.cveCritical.
event_data.msg_data.metadata.cveHigh read_only_udm.security_result.detection_fields.event_data metadata cveHigh Mappato direttamente dal campo event_data.msg_data.metadata.cveHigh.
event_data.msg_data.metadata.cveLow read_only_udm.security_result.detection_fields.event_data metadata cveLow Mappato direttamente dal campo event_data.msg_data.metadata.cveLow.
event_data.msg_data.metadata.cveMedium read_only_udm.security_result.detection_fields.event_data metadata cveMedium Mappato direttamente dal campo event_data.msg_data.metadata.cveMedium.
event_data.msg_data.metadata.source read_only_udm.principal.hostname Mappato direttamente dal campo event_data.msg_data.metadata.source.
event_data.msg_data.metadata.source read_only_udm.principal.asset.hostname Mappato direttamente dal campo event_data.msg_data.metadata.source.
event_data.msg_data.msg_data read_only_udm.security_result.description Mappato direttamente dal campo event_data.msg_data.msg_data.
event_data.msg_data.policy.description read_only_udm.security_result.description Mappato direttamente dal campo event_data.msg_data.policy.description.
event_data.msg_data.policy.id read_only_udm.security_result.detection_fields.policy_id Mappato direttamente dal campo event_data.msg_data.policy.id.
event_data.msg_data.policy.name read_only_udm.security_result.summary Mappato direttamente dal campo event_data.msg_data.policy.name.
event_data.msg_data.policy.policyTs read_only_udm.additional.fields.policy_ts Mappato direttamente dal campo event_data.msg_data.policy.policyTs.
event_data.msg_data.policy.policyType read_only_udm.security_result.threat_name Mappato direttamente dal campo event_data.msg_data.policy.policyType.
event_data.msg_data.policy.recommendation read_only_udm.security_result.action_details Mappato direttamente dal campo event_data.msg_data.policy.recommendation.
event_data.msg_data.policy.severity read_only_udm.security_result.severity Mappato direttamente dal campo event_data.msg_data.policy.severity dopo la conversione in maiuscolo.
event_data.msg_data.reason read_only_udm.security_result.detection_fields.event message reason Mappato direttamente dal campo event_data.msg_data.reason.
event_data.msg_data.region read_only_udm.target.cloud.availability_zone Mappato direttamente dal campo event_data.msg_data.region.
event_data.msg_data.resource.resourceId read_only_udm.target.resource.product_object_id Mappato direttamente dal campo event_data.msg_data.resource.resourceId.
event_data.msg_data.resource.resourceName read_only_udm.target.resource.name Mappato direttamente dal campo event_data.msg_data.resource.resourceName.
event_data.msg_data.resource.resourceTs read_only_udm.target.resource.attribute.creation_time.seconds Mappato direttamente dal campo event_data.msg_data.resource.resourceTs dopo la conversione in timestamp UNIX.
event_data.msg_data.resource.resourceTs read_only_udm.target.resource.attribute.creation_time.nanos Mappato direttamente dal campo event_data.msg_data.resource.resourceTs dopo la conversione in timestamp UNIX.
event_data.msg_data.rule read_only_udm.security_result.rule_name Mappato direttamente dal campo event_data.msg_data.rule.
event_data.msg_data.service Servizio di messaggi read_only_udm.security_result.detection_fields.event Mappato direttamente dal campo event_data.msg_data.service.
event_data.msg_data.startupProcess read_only_udm.principal.application Mappato direttamente dal campo event_data.msg_data.startupProcess.
event_data.msg_data.time read_only_udm.metadata.event_timestamp.seconds Mappato direttamente dal campo event_data.msg_data.time dopo la conversione in timestamp UNIX.
event_data.msg_data.time read_only_udm.metadata.event_timestamp.nanos Mappato direttamente dal campo event_data.msg_data.time dopo la conversione in timestamp UNIX.
event_data.msg_data.type read_only_udm.security_result.category_details Mappato direttamente dal campo event_data.msg_data.type.
event_data.sentTs read_only_udm.metadata.event_timestamp.seconds Mappato direttamente dal campo event_data.sentTs dopo la conversione in timestamp UNIX.
event_data.sentTs read_only_udm.metadata.event_timestamp.nanos Mappato direttamente dal campo event_data.sentTs dopo la conversione in timestamp UNIX.
event_data.type read_only_udm.security_result.category_details Mappato direttamente dal campo event_data.type.
ipAddress read_only_udm.principal.ip Mappato direttamente dal campo ipAddress dopo l'estrazione dell'indirizzo IP utilizzando grok.
ipAddress read_only_udm.principal.asset.ip Mappato direttamente dal campo ipAddress dopo l'estrazione dell'indirizzo IP utilizzando grok.
ipAddress read_only_udm.additional.fields.ipAddress Mappato direttamente dal campo ipAddress se non è un indirizzo IP valido.
json_action.0.policy_id read_only_udm.target.resource.attribute.labels.Policy Id 0 Mappato direttamente dal campo json_action.0.policy_id.
json_action.0.resource_name read_only_udm.target.resource.attribute.labels.Resource Name 0 Mappato direttamente dal campo json_action.0.resource_name.
json_action.1.policy_id read_only_udm.target.resource.attribute.labels.Policy Id 1 Mappato direttamente dal campo json_action.1.policy_id.
json_action.1.resource_name read_only_udm.target.resource.attribute.labels.Resource Name 1 Mappato direttamente dal campo json_action.1.resource_name.
policy.policyId read_only_udm.security_result.rule_id Mappato direttamente dal campo policy.policyId.
policy.policyType read_only_udm.security_result.rule_type Mappato direttamente dal campo policy.policyType.
policy.recommendation read_only_udm.metadata.description Mappato direttamente dal campo policy.recommendation.
policy.severity read_only_udm.security_result.severity Mappato dal campo policy.severity. Se il valore è "info", viene impostato su "INFORMATIONAL".
policyName read_only_udm.metadata.description Mappato direttamente dal campo policyName.
motivo read_only_udm.metadata.product_event_type Mappato direttamente dal campo reason.
resource.accountId read_only_udm.target.resource.product_object_id Mappato direttamente dal campo resource.accountId.
resource.cloudServiceName read_only_udm.target.resource.attribute.labels.cloudServiceName Mappato direttamente dal campo resource.cloudServiceName.
resource.data.architecture read_only_udm.principal.asset.hardware.cpu_platform Mappato direttamente dal campo resource.data.architecture.
resource.data.cpuPlatform read_only_udm.additional.fields.CPU Platform Mappato direttamente dal campo resource.data.cpuPlatform.
resource.data.labelFingerprint read_only_udm.security_result.detection_fields.labelFingerprint Mappato direttamente dal campo resource.data.labelFingerprint.
resource.data.metadata.items.key read_only_udm.additional.fields.key Mappato direttamente dal campo resource.data.metadata.items.key.
resource.data.metadata.items.value read_only_udm.additional.fields.value.string_value Mappato direttamente dal campo resource.data.metadata.items.value.
resource.data.networkInterfaces.0.accessConfigs.0.natIP read_only_udm.target.nat_ip Mappato direttamente dal campo resource.data.networkInterfaces.0.accessConfigs.0.natIP.
resource.data.networkInterfaces.0.networkIP read_only_udm.target.ip Mappato direttamente dal campo resource.data.networkInterfaces.0.networkIP.
resource.data.networkInterfaces.0.networkIP read_only_udm.target.asset.ip Mappato direttamente dal campo resource.data.networkInterfaces.0.networkIP.
resource.data.physicalBlockSizeBytes read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes Mappato direttamente dal campo resource.data.physicalBlockSizeBytes dopo la conversione in stringa.
resource.data.selfLink read_only_udm.about.url Mappato direttamente dal campo resource.data.selfLink.
resource.data.serviceAccounts.0.email read_only_udm.principal.user.email_addresses Mappato direttamente dal campo resource.data.serviceAccounts.0.email.
resource.data.serviceAccounts.0.email read_only_udm.principal.user.attribute.roles.type Se resource.data.serviceAccounts.0.email contiene "serviceaccount", il valore viene impostato su "SERVICE_ACCOUNT".
resource.data.sizeGb read_only_udm.principal.resource.attribute.labels.sizeGb Mappato direttamente dal campo resource.data.sizeGb.
resource.data.sourceImage read_only_udm.principal.resource.attribute.labels.sourceImage Mappato direttamente dal campo resource.data.sourceImage.
resource.name read_only_udm.target.resource.name Mappato direttamente dal campo resource.name.
resource.regionId read_only_udm.target.location.country_or_region Mappata direttamente da "resource

Modifiche

2024-03-28

  • Quando "ipAddress" non è un indirizzo IP valido, mappa "ipAddress" a "additional.fields".
  • Quando "user" è un indirizzo email valido, mappa "user" a "target.user.email_addresses".
  • Se "user" non è un indirizzo email valido, mappa "user" a "target.user.userid".
  • I campi "policy_id" e "resource_name" nel campo "action" sono stati mappati a "target.resource.attribute.labels".

2024-02-21

  • È stato aggiunto il controllo "on_error" per il blocco "date".
  • "alertRules" è stato mappato a "sec_result.detection_fields".
  • "policy.policyId" è stato mappato a "sec_result.rule_id".
  • "policy.policyType" è stato mappato a "sec_result.rule_type".
  • "policy.severity" è stato mappato a "sec_result.severity".
  • "policy.recommendation" è stato mappato a "metadata.description".
  • "resource.data.architecture" è stato mappato a "principal.asset.hardware.cpu_platform".
  • "resource.name" è stato mappato a "target.resource.name".
  • "resource.accountId" è stato mappato a "target.resource.product_object_id".
  • "resource.regionId" è stato mappato a "target.location.country_or_region".
  • "resource.cloudServiceName" è stato mappato a "target.resource.attribute.labels".
  • "resource.resourceApiName" è stato mappato a "target.resource.attribute.labels".
  • "alertrule.createdBy" è stato mappato a "principal.user.email_addresses".
  • "resource.unifiedAssetId" è stato mappato a "principal.asset.asset_id".
  • "resource.data.selfLink" è stato mappato a "about.url".
  • "resource.data.sourceImage" è stato mappato a "principal.resource.attribute.labels".
  • "resource.data.sizeGb" è stato mappato a "principal.resource.attribute.labels".
  • "resource.data.physicalBlockSizeBytes" è stato mappato a "principal.resource.attribute.labels".
  • "resource.data.labelFingerprint" è stato mappato a "sec_result.detection_fields".
  • Quando "reason" è "NEW_ALERT", imposta "metadata.event_type" su "USER_RESOURCE_CREATION".

2024-02-13

  • È stato aggiunto il supporto per i log dei nuovi clienti.

2022-08-09

  • È stato aggiunto il controllo delle conversioni condizionali per il campo "timestamp".
  • È stata aggiunta la seguente mappatura quando il valore del campo "resourceType" è "Login":
  • Il campo "ipAddress" è mappato a "principal.ip".
  • Il campo "user" è mappato a "target.user.email_addresses".
  • Il campo "result" è mappato a "security_result.action_details".