Palo Alto Prisma Cloud のログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フィードを設定して Palo Alto Prisma Cloud のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル PAN_PRISMA_CLOUD が付加されたパーサーに適用されます。
Palo Alto Prisma Cloud を構成する
- 管理者アカウントで Palo Alto Prisma Cloud コンソールにログインします。
- [設定] メニューで [アクセスキー] をクリックします。
- [Add New] をクリックして名前を入力します。
[作成] をクリックします。[アクセスキー ID] と [秘密鍵] の値が表示されます。
[アクセスキー ID] と [秘密鍵] の値を保存します。これらの値は、Google Security Operations フィードを構成するときに必要です。
Palo Alto Prisma Cloud のログを取り込むように Google Security Operations フィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [Add New] をクリックします。
- [フィールド名] に一意の名前を入力します。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [Palo Alto Prisma Cloud] を選択します。
- [次へ] をクリックします。
- 次の必須入力パラメータを構成します。
- ユーザー名: 前の手順で取得したアクセスキー ID を指定します。
- パスワード: 前の手順で取得した秘密鍵を指定します。
- API ホスト名: API ホスト名を指定します。
- [次へ] をクリックしてから、[送信] をクリックします。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。 各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。
フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーコードは、JSON 形式の PAN PRISMA CLOUD ログからフィールドを抽出し、データ変換とマッピングを実行して、データを Chronicle UDM スキーマに構造化します。ネストされたオブジェクトや配列など、さまざまなログ メッセージ構造を処理し、多様なセキュリティ イベントとコンテキスト情報を正規化して Chronicle 内で分析します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| accountName | read_only_udm.target.resource.attribute.cloud.project.id | accountName フィールドから直接マッピングされます。 |
| accountId | read_only_udm.target.hostname | accountId フィールドから直接マッピングされます。 |
| accountId | read_only_udm.target.asset.hostname | accountId フィールドから直接マッピングされます。 |
| accountId | read_only_udm.principal.cloud.project.id | aggregatedAlerts 配列の accountId フィールドから直接マッピングされます。 |
| アクション | read_only_udm.security_result.description | JSON 部分を削除した後、action フィールドから直接マッピングされます。 |
| alertId | read_only_udm.metadata.product_log_id | alertId フィールドから直接マッピングされます。 |
| alertRules.0.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_0 | alertRules.0.allowAutoRemediate フィールドから直接マッピングされます。 |
| alertRules.0.enabled | read_only_udm.security_result.detection_fields.enabled_0 | alertRules.0.enabled フィールドから直接マッピングされます。 |
| alertRules.0.name | read_only_udm.security_result.detection_fields.name_0 | alertRules.0.name フィールドから直接マッピングされます。 |
| alertRules.0.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_0 | alertRules.0.notifyOnDismissed フィールドから直接マッピングされます。 |
| alertRules.0.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_0 | alertRules.0.notifyOnOpen フィールドから直接マッピングされます。 |
| alertRules.0.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_0 | alertRules.0.notifyOnResolved フィールドから直接マッピングされます。 |
| alertRules.0.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 | alertRules.0.notifyOnSnoozed フィールドから直接マッピングされます。 |
| alertRules.0.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_0 | alertRules.0.policyScanConfigId フィールドから直接マッピングされます。 |
| alertRules.0.scanAll | read_only_udm.security_result.detection_fields.scanAll_0 | alertRules.0.scanAll フィールドから直接マッピングされます。 |
| alertRules.1.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_1 | alertRules.1.allowAutoRemediate フィールドから直接マッピングされます。 |
| alertRules.1.createdBy | read_only_udm.principal.user.email_addresses | alertRules.1.createdBy フィールドから直接マッピングされます。 |
| alertRules.1.enabled | read_only_udm.security_result.detection_fields.enabled_1 | alertRules.1.enabled フィールドから直接マッピングされます。 |
| alertRules.1.name | read_only_udm.security_result.detection_fields.name_1 | alertRules.1.name フィールドから直接マッピングされます。 |
| alertRules.1.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_1 | alertRules.1.notifyOnDismissed フィールドから直接マッピングされます。 |
| alertRules.1.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_1 | alertRules.1.notifyOnOpen フィールドから直接マッピングされます。 |
| alertRules.1.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_1 | alertRules.1.notifyOnResolved フィールドから直接マッピングされます。 |
| alertRules.1.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 | alertRules.1.notifyOnSnoozed フィールドから直接マッピングされます。 |
| alertRules.1.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_1 | alertRules.1.policyScanConfigId フィールドから直接マッピングされます。 |
| alertRules.1.scanAll | read_only_udm.security_result.detection_fields.scanAll_1 | alertRules.1.scanAll フィールドから直接マッピングされます。 |
| alertRules.2.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_2 | alertRules.2.allowAutoRemediate フィールドから直接マッピングされます。 |
| alertRules.2.createdBy | read_only_udm.principal.user.email_addresses | alertRules.2.createdBy フィールドから直接マッピングされます。 |
| alertRules.2.enabled | read_only_udm.security_result.detection_fields.enabled_2 | alertRules.2.enabled フィールドから直接マッピングされます。 |
| alertRules.2.name | read_only_udm.security_result.detection_fields.name_2 | alertRules.2.name フィールドから直接マッピングされます。 |
| alertRules.2.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_2 | alertRules.2.notifyOnDismissed フィールドから直接マッピングされます。 |
| alertRules.2.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_2 | alertRules.2.notifyOnOpen フィールドから直接マッピングされます。 |
| alertRules.2.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_2 | alertRules.2.notifyOnResolved フィールドから直接マッピングされます。 |
| alertRules.2.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 | alertRules.2.notifyOnSnoozed フィールドから直接マッピングされます。 |
| alertRules.2.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_2 | alertRules.2.policyScanConfigId フィールドから直接マッピングされます。 |
| alertRules.2.scanAll | read_only_udm.security_result.detection_fields.scanAll_2 | alertRules.2.scanAll フィールドから直接マッピングされます。 |
| alertRuleId | read_only_udm.security_result.rule_id | alertRuleId フィールドから直接マッピングされます。 |
| alertRuleName | read_only_udm.security_result.rule_name | alertRuleName フィールドから直接マッピングされます。 |
| alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | event_data.msg_data オブジェクトの alertStatus フィールドから直接マッピングされます。 |
| alertTs | read_only_udm.metadata.event_timestamp.seconds | UNIX タイムスタンプに変換した後、alertTs フィールドから直接マッピングされます。 |
| alertTs | read_only_udm.metadata.event_timestamp.nanos | UNIX タイムスタンプに変換した後、alertTs フィールドから直接マッピングされます。 |
| callbackUrl | read_only_udm.metadata.url_back_to_product | callbackUrl フィールドから直接マッピングされます。 |
| cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | cloudServiceName フィールドから直接マッピングされます。 |
| cloudType | read_only_udm.target.resource.attribute.cloud.environment | cloudType フィールドからマッピングされます。cloudType が「gcp」の場合、値は「GOOGLE_CLOUD_PLATFORM」に設定されます。cloudType が「aws」の場合、値は「AMAZON_WEB_SERVICES」に設定されます。 |
| complianceMetadata.0.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.0.requirementId フィールドから直接マッピングされます。 |
| complianceMetadata.0.requirementName | read_only_udm.security_result.summary | complianceMetadata.0.requirementName フィールドから直接マッピングされます。 |
| complianceMetadata.0.standardName | read_only_udm.security_result.rule_name | complianceMetadata.0.standardName フィールドから直接マッピングされます。 |
| complianceMetadata.1.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.1.requirementId フィールドから直接マッピングされます。 |
| complianceMetadata.1.requirementName | read_only_udm.security_result.summary | complianceMetadata.1.requirementName フィールドから直接マッピングされます。 |
| complianceMetadata.1.standardName | read_only_udm.security_result.rule_name | complianceMetadata.1.standardName フィールドから直接マッピングされます。 |
| complianceMetadata.2.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.2.requirementId フィールドから直接マッピングされます。 |
| complianceMetadata.2.requirementName | read_only_udm.security_result.summary | complianceMetadata.2.requirementName フィールドから直接マッピングされます。 |
| complianceMetadata.2.standardName | read_only_udm.security_result.rule_name | complianceMetadata.2.standardName フィールドから直接マッピングされます。 |
| complianceMetadata.3.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.3.requirementId フィールドから直接マッピングされます。 |
| complianceMetadata.3.requirementName | read_only_udm.security_result.summary | complianceMetadata.3.requirementName フィールドから直接マッピングされます。 |
| complianceMetadata.3.standardName | read_only_udm.security_result.rule_name | complianceMetadata.3.standardName フィールドから直接マッピングされます。 |
| complianceMetadata.4.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.4.requirementId フィールドから直接マッピングされます。 |
| complianceMetadata.4.requirementName | read_only_udm.security_result.summary | complianceMetadata.4.requirementName フィールドから直接マッピングされます。 |
| complianceMetadata.4.standardName | read_only_udm.security_result.rule_name | complianceMetadata.4.standardName フィールドから直接マッピングされます。 |
| event_data.app | read_only_udm.target.application | event_data.app フィールドから直接マッピングされます。 |
| event_data.msg_data.account.cloudType | read_only_udm.target.resource.attribute.cloud.environment | event_data.msg_data.account.cloudType フィールドからマッピングされます。値が「aws」の場合、値は「AMAZON_WEB_SERVICES」に設定されます。 |
| event_data.msg_data.account.id | read_only_udm.target.cloud.project.id | event_data.msg_data.account.id フィールドから直接マッピングされます。 |
| event_data.msg_data.account.name | read_only_udm.target.cloud.project.name | event_data.msg_data.account.name フィールドから直接マッピングされます。 |
| event_data.msg_data.accountIDs | read_only_udm.principal.resource.attribute.labels.event message accountId {index} | event_data.msg_data.accountIDs 配列から直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.category | read_only_udm.security_result.category_details | event_data.msg_data.aggregatedAlerts.0.category フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.command | read_only_udm.principal.process.command_line | event_data.msg_data.aggregatedAlerts.0.command フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | event_data.msg_data.aggregatedAlerts.0.collections 配列から直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category | read_only_udm.security_result.category_details | event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description | read_only_udm.security_result.description | event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity | read_only_udm.security_result.severity | 大文字に変換した後、event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title | read_only_udm.security_result.action_details | event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.container | read_only_udm.target.resource.name | event_data.msg_data.aggregatedAlerts.0.container フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.containerID | read_only_udm.target.resource.product_object_id | event_data.msg_data.aggregatedAlerts.0.containerID フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.fqdn | read_only_udm.principal.domain.name | event_data.msg_data.aggregatedAlerts.0.fqdn フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.hostname | event_data.msg_data.aggregatedAlerts.0.host フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.asset.hostname | event_data.msg_data.aggregatedAlerts.0.host フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.image | read_only_udm.target.resource.attribute.labels.image | event_data.msg_data.aggregatedAlerts.0.image フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.imageID | read_only_udm.target.resource.attribute.labels.imageID | event_data.msg_data.aggregatedAlerts.0.imageID フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.labels.controller-uid | read_only_udm.target.user.product_object_id | event_data.msg_data.aggregatedAlerts.0.labels.controller-uid フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.msg_data | read_only_udm.security_result.description | event_data.msg_data.aggregatedAlerts.0.msg_data フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.rule | read_only_udm.security_result.rule_name | event_data.msg_data.aggregatedAlerts.0.rule フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.startupProcess | read_only_udm.principal.application | event_data.msg_data.aggregatedAlerts.0.startupProcess フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.seconds | UNIX タイムスタンプに変換した後、event_data.msg_data.aggregatedAlerts.0.time フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.nanos | UNIX タイムスタンプに変換した後、event_data.msg_data.aggregatedAlerts.0.time フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.type | read_only_udm.security_result.category_details | event_data.msg_data.aggregatedAlerts.0.type フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.user | read_only_udm.principal.user.userid | event_data.msg_data.aggregatedAlerts.0.user フィールドから直接マッピングされます。 |
| event_data.msg_data.alertId | read_only_udm.security_result.detection_fields.event message alertId | event_data.msg_data.alertId フィールドから直接マッピングされます。 |
| event_data.msg_data.alertRuleId | read_only_udm.security_result.rule_id | event_data.msg_data.alertRuleId フィールドから直接マッピングされます。 |
| event_data.msg_data.alertRuleName | read_only_udm.security_result.rule_name | event_data.msg_data.alertRuleName フィールドから直接マッピングされます。 |
| event_data.msg_data.alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | event_data.msg_data.alertStatus フィールドから直接マッピングされます。 |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.seconds | UNIX タイムスタンプに変換した後、event_data.msg_data.alertTs フィールドから直接マッピングされます。 |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.nanos | UNIX タイムスタンプに変換した後、event_data.msg_data.alertTs フィールドから直接マッピングされます。 |
| event_data.msg_data.category | read_only_udm.security_result.category_details | event_data.msg_data.category フィールドから直接マッピングされます。 |
| event_data.msg_data.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | event_data.msg_data.collections 配列から直接マッピングされます。 |
| event_data.msg_data.command | read_only_udm.principal.process.command_line | event_data.msg_data.command フィールドから直接マッピングされます。 |
| event_data.msg_data.complianceIssues.0.category | read_only_udm.security_result.category_details | event_data.msg_data.complianceIssues.0.category フィールドから直接マッピングされます。 |
| event_data.msg_data.complianceIssues.0.description | read_only_udm.security_result.description | event_data.msg_data.complianceIssues.0.description フィールドから直接マッピングされます。 |
| event_data.msg_data.complianceIssues.0.severity | read_only_udm.security_result.severity | 大文字に変換した後、event_data.msg_data.complianceIssues.0.severity フィールドから直接マッピングされます。 |
| event_data.msg_data.complianceIssues.0.title | read_only_udm.security_result.action_details | event_data.msg_data.complianceIssues.0.title フィールドから直接マッピングされます。 |
| event_data.msg_data.container | read_only_udm.target.resource.name | event_data.msg_data.container フィールドから直接マッピングされます。 |
| event_data.msg_data.containerID | read_only_udm.target.resource.product_object_id | event_data.msg_data.containerID フィールドから直接マッピングされます。 |
| event_data.msg_data.dropped | read_only_udm.security_result.detection_fields.dropped | 文字列に変換した後、event_data.msg_data.dropped フィールドから直接マッピングされます。 |
| event_data.msg_data.fqdn | read_only_udm.principal.domain.name | event_data.msg_data.fqdn フィールドから直接マッピングされます。 |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.seconds | UNIX タイムスタンプに変換した後、event_data.msg_data.firstSeen フィールドから直接マッピングされます。 |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.nanos | UNIX タイムスタンプに変換した後、event_data.msg_data.firstSeen フィールドから直接マッピングされます。 |
| event_data.msg_data.host | read_only_udm.principal.hostname | event_data.msg_data.host フィールドから直接マッピングされます。 |
| event_data.msg_data.host | read_only_udm.principal.asset.hostname | event_data.msg_data.host フィールドから直接マッピングされます。 |
| event_data.msg_data.image | read_only_udm.target.resource.attribute.labels.image | event_data.msg_data.image フィールドから直接マッピングされます。 |
| event_data.msg_data.imageID | read_only_udm.target.resource.attribute.labels.imageID | event_data.msg_data.imageID フィールドから直接マッピングされます。 |
| event_data.msg_data.labels.controller-uid | read_only_udm.target.user.product_object_id | event_data.msg_data.labels.controller-uid フィールドから直接マッピングされます。 |
| event_data.msg_data.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | event_data.msg_data.labels.io.kubernetes.pod.name フィールドから直接マッピングされます。 |
| event_data.msg_data.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | event_data.msg_data.labels.io.kubernetes.pod.uid フィールドから直接マッピングされます。 |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.seconds | UNIX タイムスタンプに変換した後、event_data.msg_data.lastSeen フィールドから直接マッピングされます。 |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.nanos | UNIX タイムスタンプに変換した後、event_data.msg_data.lastSeen フィールドから直接マッピングされます。 |
| event_data.msg_data.metadata.cveCritical | read_only_udm.security_result.detection_fields.event_data metadata cveCritical | event_data.msg_data.metadata.cveCritical フィールドから直接マッピングされます。 |
| event_data.msg_data.metadata.cveHigh | read_only_udm.security_result.detection_fields.event_data metadata cveHigh | event_data.msg_data.metadata.cveHigh フィールドから直接マッピングされます。 |
| event_data.msg_data.metadata.cveLow | read_only_udm.security_result.detection_fields.event_data metadata cveLow | event_data.msg_data.metadata.cveLow フィールドから直接マッピングされます。 |
| event_data.msg_data.metadata.cveMedium | read_only_udm.security_result.detection_fields.event_data metadata cveMedium | event_data.msg_data.metadata.cveMedium フィールドから直接マッピングされます。 |
| event_data.msg_data.metadata.source | read_only_udm.principal.hostname | event_data.msg_data.metadata.source フィールドから直接マッピングされます。 |
| event_data.msg_data.metadata.source | read_only_udm.principal.asset.hostname | event_data.msg_data.metadata.source フィールドから直接マッピングされます。 |
| event_data.msg_data.msg_data | read_only_udm.security_result.description | event_data.msg_data.msg_data フィールドから直接マッピングされます。 |
| event_data.msg_data.policy.description | read_only_udm.security_result.description | event_data.msg_data.policy.description フィールドから直接マッピングされます。 |
| event_data.msg_data.policy.id | read_only_udm.security_result.detection_fields.policy_id | event_data.msg_data.policy.id フィールドから直接マッピングされます。 |
| event_data.msg_data.policy.name | read_only_udm.security_result.summary | event_data.msg_data.policy.name フィールドから直接マッピングされます。 |
| event_data.msg_data.policy.policyTs | read_only_udm.additional.fields.policy_ts | event_data.msg_data.policy.policyTs フィールドから直接マッピングされます。 |
| event_data.msg_data.policy.policyType | read_only_udm.security_result.threat_name | event_data.msg_data.policy.policyType フィールドから直接マッピングされます。 |
| event_data.msg_data.policy.recommendation | read_only_udm.security_result.action_details | event_data.msg_data.policy.recommendation フィールドから直接マッピングされます。 |
| event_data.msg_data.policy.severity | read_only_udm.security_result.severity | 大文字に変換した後、event_data.msg_data.policy.severity フィールドから直接マッピングされます。 |
| event_data.msg_data.reason | read_only_udm.security_result.detection_fields.event message reason | event_data.msg_data.reason フィールドから直接マッピングされます。 |
| event_data.msg_data.region | read_only_udm.target.cloud.availability_zone | event_data.msg_data.region フィールドから直接マッピングされます。 |
| event_data.msg_data.resource.resourceId | read_only_udm.target.resource.product_object_id | event_data.msg_data.resource.resourceId フィールドから直接マッピングされます。 |
| event_data.msg_data.resource.resourceName | read_only_udm.target.resource.name | event_data.msg_data.resource.resourceName フィールドから直接マッピングされます。 |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.seconds | UNIX タイムスタンプに変換した後、event_data.msg_data.resource.resourceTs フィールドから直接マッピングされます。 |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.nanos | UNIX タイムスタンプに変換した後、event_data.msg_data.resource.resourceTs フィールドから直接マッピングされます。 |
| event_data.msg_data.rule | read_only_udm.security_result.rule_name | event_data.msg_data.rule フィールドから直接マッピングされます。 |
| event_data.msg_data.service | read_only_udm.security_result.detection_fields.event message service | event_data.msg_data.service フィールドから直接マッピングされます。 |
| event_data.msg_data.startupProcess | read_only_udm.principal.application | event_data.msg_data.startupProcess フィールドから直接マッピングされます。 |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.seconds | UNIX タイムスタンプに変換した後、event_data.msg_data.time フィールドから直接マッピングされます。 |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.nanos | UNIX タイムスタンプに変換した後、event_data.msg_data.time フィールドから直接マッピングされます。 |
| event_data.msg_data.type | read_only_udm.security_result.category_details | event_data.msg_data.type フィールドから直接マッピングされます。 |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.seconds | UNIX タイムスタンプに変換した後、event_data.sentTs フィールドから直接マッピングされます。 |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.nanos | UNIX タイムスタンプに変換した後、event_data.sentTs フィールドから直接マッピングされます。 |
| event_data.type | read_only_udm.security_result.category_details | event_data.type フィールドから直接マッピングされます。 |
| ipAddress | read_only_udm.principal.ip | grok を使用して IP アドレスを抽出した後、ipAddress フィールドから直接マッピングされます。 |
| ipAddress | read_only_udm.principal.asset.ip | grok を使用して IP アドレスを抽出した後、ipAddress フィールドから直接マッピングされます。 |
| ipAddress | read_only_udm.additional.fields.ipAddress | 有効な IP アドレスでない場合、ipAddress フィールドから直接マッピングされます。 |
| json_action.0.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 0 | json_action.0.policy_id フィールドから直接マッピングされます。 |
| json_action.0.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 0 | json_action.0.resource_name フィールドから直接マッピングされます。 |
| json_action.1.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 1 | json_action.1.policy_id フィールドから直接マッピングされます。 |
| json_action.1.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 1 | json_action.1.resource_name フィールドから直接マッピングされます。 |
| policy.policyId | read_only_udm.security_result.rule_id | policy.policyId フィールドから直接マッピングされます。 |
| policy.policyType | read_only_udm.security_result.rule_type | policy.policyType フィールドから直接マッピングされます。 |
| policy.recommendation | read_only_udm.metadata.description | policy.recommendation フィールドから直接マッピングされます。 |
| policy.severity | read_only_udm.security_result.severity | policy.severity フィールドからマッピングされます。値が「info」の場合、値は「INFORMATIONAL」に設定されます。 |
| policyName | read_only_udm.metadata.description | policyName フィールドから直接マッピングされます。 |
| reason | read_only_udm.metadata.product_event_type | reason フィールドから直接マッピングされます。 |
| resource.accountId | read_only_udm.target.resource.product_object_id | resource.accountId フィールドから直接マッピングされます。 |
| resource.cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | resource.cloudServiceName フィールドから直接マッピングされます。 |
| resource.data.architecture | read_only_udm.principal.asset.hardware.cpu_platform | resource.data.architecture フィールドから直接マッピングされます。 |
| resource.data.cpuPlatform | read_only_udm.additional.fields.CPU Platform | resource.data.cpuPlatform フィールドから直接マッピングされます。 |
| resource.data.labelFingerprint | read_only_udm.security_result.detection_fields.labelFingerprint | resource.data.labelFingerprint フィールドから直接マッピングされます。 |
| resource.data.metadata.items.key | read_only_udm.additional.fields.key | resource.data.metadata.items.key フィールドから直接マッピングされます。 |
| resource.data.metadata.items.value | read_only_udm.additional.fields.value.string_value | resource.data.metadata.items.value フィールドから直接マッピングされます。 |
| resource.data.networkInterfaces.0.accessConfigs.0.natIP | read_only_udm.target.nat_ip | resource.data.networkInterfaces.0.accessConfigs.0.natIP フィールドから直接マッピングされます。 |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.ip | resource.data.networkInterfaces.0.networkIP フィールドから直接マッピングされます。 |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.asset.ip | resource.data.networkInterfaces.0.networkIP フィールドから直接マッピングされます。 |
| resource.data.physicalBlockSizeBytes | read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes | 文字列に変換した後、resource.data.physicalBlockSizeBytes フィールドから直接マッピングされます。 |
| resource.data.selfLink | read_only_udm.about.url | resource.data.selfLink フィールドから直接マッピングされます。 |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.email_addresses | resource.data.serviceAccounts.0.email フィールドから直接マッピングされます。 |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.attribute.roles.type | resource.data.serviceAccounts.0.email に「serviceaccount」が含まれている場合、値は「SERVICE_ACCOUNT」に設定されます。 |
| resource.data.sizeGb | read_only_udm.principal.resource.attribute.labels.sizeGb | resource.data.sizeGb フィールドから直接マッピングされます。 |
| resource.data.sourceImage | read_only_udm.principal.resource.attribute.labels.sourceImage | resource.data.sourceImage フィールドから直接マッピングされます。 |
| resource.name | read_only_udm.target.resource.name | resource.name フィールドから直接マッピングされます。 |
| resource.regionId | read_only_udm.target.location.country_or_region | resource から直接マッピング |
変更
2024-03-28
- 「ipAddress」が有効な IP アドレスではない場合、「ipAddress」を「additional.fields」にマッピングしました。
- 「user」が有効なメールアドレスの場合、「user」を「target.user.email_addresses」にマッピングしました。
- 「user」が有効なメールアドレスではない場合、「user」を「target.user.userid」にマッピングしました。
- 「action」フィールドの「policy_id」フィールドと「resource_name」フィールドを「target.resource.attribute.labels」にマッピングしました。
2024-02-21
- 「date」ブロックの「on_error」チェックを追加しました。
- 「alertRules」を「sec_result.detection_fields」にマッピングしました。
- 「policy.policyId」を「sec_result.rule_id」にマッピングしました。
- 「policy.policyType」を「sec_result.rule_type」にマッピングしました。
- 「policy.severity」を「sec_result.severity」にマッピングしました。
- 「policy.recommendation」を「metadata.description」にマッピングしました。
- 「resource.data.architecture」を「principal.asset.hardware.cpu_platform」にマッピングしました。
- 「resource.name」を「target.resource.name」にマッピングしました。
- 「resource.accountId」を「target.resource.product_object_id」にマッピングしました。
- 「resource.regionId」を「target.location.country_or_region」にマッピングしました。
- 「resource.cloudServiceName」を「target.resource.attribute.labels」にマッピングしました。
- 「resource.resourceApiName」を「target.resource.attribute.labels」にマッピングしました。
- 「alertrule.createdBy」を「principal.user.email_addresses」にマッピングしました。
- 「resource.unifiedAssetId」を「principal.asset.asset_id」にマッピングしました。
- 「resource.data.selfLink」を「about.url」にマッピングしました。
- 「resource.data.sourceImage」を「principal.resource.attribute.labels」にマッピングしました。
- 「resource.data.sizeGb」を「principal.resource.attribute.labels」にマッピングしました。
- 「resource.data.physicalBlockSizeBytes」を「principal.resource.attribute.labels」にマッピングしました。
- 「resource.data.labelFingerprint」を「sec_result.detection_fields」にマッピングしました。
- 「reason」が「NEW_ALERT」の場合、「metadata.event_type」を「USER_RESOURCE_CREATION」に設定します。
2024-02-13
- 新しいカスタマーログのサポートを追加しました。
2022-08-09
- フィールド「timestamp」の条件付きコンバージョン チェックを追加しました。
- フィールド「resourceType」の値が「Login」の場合の次のマッピングを追加しました。
- フィールド「ipAddress」は「principal.ip」にマッピングされます。
- フィールド「user」は「target.user.email_addresses」にマッピングされます。
- フィールド「result」は「security_result.action_details」にマッピングされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。