Diese Seite wurde von der Cloud Translation API übersetzt.

Palo Alto Prisma Cloud-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Palo Alto Prisma Cloud-Logs erfassen, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel PAN_PRISMA_CLOUD.

Palo Alto Prisma Cloud konfigurieren

Melden Sie sich mit einem Administratorkonto in der Palo Alto Prisma Cloud Console an.
Klicken Sie im Menü Einstellungen auf Zugriffsschlüssel.
Klicken Sie auf Neu hinzufügen und geben Sie einen Namen ein.
Klicken Sie auf Erstellen. Die Werte für Zugriffsschlüssel-ID und Secret-Schlüssel werden angezeigt.

Hinweis: Key Expiry (Schlüsselablauf) ist optional. Wenn diese Option ausgewählt ist, geben Sie den neuen Schlüssel an Google Security Operations weiter. Andernfalls wird die Protokollerhebung beeinträchtigt.
Speichern Sie die Werte für Zugriffsschlüssel-ID und Secret-Schlüssel. Diese Werte sind erforderlich, wenn Sie den Google Security Operations-Feed konfigurieren.

Google Security Operations-Feed zum Aufnehmen von Palo Alto Prisma Cloud-Logs konfigurieren

Gehen Sie zu SIEM-Einstellungen > Feeds.
Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
Geben Sie einen eindeutigen Namen für das Feld ein.
Wählen Sie API von Drittanbietern als Quelltyp aus.
Wählen Sie Palo Alto Prisma Cloud als Logtyp aus.
Klicken Sie auf Weiter.
Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Username (Nutzername): Geben Sie die zuvor abgerufene Zugriffsschlüssel-ID an.
- Passwort:Geben Sie den geheimen Schlüssel ein, den Sie zuvor abgerufen haben.
- API-Hostname: Geben Sie den API-Hostnamen an.
Klicken Sie auf Weiter und dann auf Senden.

Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.

Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz für die Feldzuordnung

Dieser Parsercode extrahiert Felder aus JSON-formatierten PAN PRISMA CLOUD-Protokollen, führt Datentransformationen und Zuordnungen durch, um die Daten im Chronicle UDM-Schema zu strukturieren. Es verarbeitet verschiedene Lognachrichtenstrukturen, einschließlich verschachtelter Objekte und Arrays, um verschiedene Sicherheitsereignisse und Kontextinformationen für die Analyse in Chronicle zu normalisieren.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
accountName	read_only_udm.target.resource.attribute.cloud.project.id	Direkt aus dem Feld `accountName` zugeordnet.
accountId	read_only_udm.target.hostname	Direkt aus dem Feld `accountId` zugeordnet.
accountId	read_only_udm.target.asset.hostname	Direkt aus dem Feld `accountId` zugeordnet.
accountId	read_only_udm.principal.cloud.project.id	Wird direkt aus dem Feld `accountId` im Array `aggregatedAlerts` zugeordnet.
Aktion	read_only_udm.security_result.description	Direkt aus dem Feld `action` zugeordnet, nachdem der JSON-Teil entfernt wurde.
alertId	read_only_udm.metadata.product_log_id	Direkt aus dem Feld `alertId` zugeordnet.
alertRules.0.allowAutoRemediate	read_only_udm.security_result.detection_fields.allowAutoRemediate_0	Direkt aus dem Feld `alertRules.0.allowAutoRemediate` zugeordnet.
alertRules.0.enabled	read_only_udm.security_result.detection_fields.enabled_0	Direkt aus dem Feld `alertRules.0.enabled` zugeordnet.
alertRules.0.name	read_only_udm.security_result.detection_fields.name_0	Direkt aus dem Feld `alertRules.0.name` zugeordnet.
alertRules.0.notifyOnDismissed	read_only_udm.security_result.detection_fields.notifyOnDismissed_0	Direkt aus dem Feld `alertRules.0.notifyOnDismissed` zugeordnet.
alertRules.0.notifyOnOpen	read_only_udm.security_result.detection_fields.notifyOnOpen_0	Direkt aus dem Feld `alertRules.0.notifyOnOpen` zugeordnet.
alertRules.0.notifyOnResolved	read_only_udm.security_result.detection_fields.notifyOnResolved_0	Direkt aus dem Feld `alertRules.0.notifyOnResolved` zugeordnet.
alertRules.0.notifyOnSnoozed	read_only_udm.security_result.detection_fields.notifyOnSnoozed_0	Direkt aus dem Feld `alertRules.0.notifyOnSnoozed` zugeordnet.
alertRules.0.policyScanConfigId	read_only_udm.security_result.detection_fields.policyScanConfigId_0	Direkt aus dem Feld `alertRules.0.policyScanConfigId` zugeordnet.
alertRules.0.scanAll	read_only_udm.security_result.detection_fields.scanAll_0	Direkt aus dem Feld `alertRules.0.scanAll` zugeordnet.
alertRules.1.allowAutoRemediate	read_only_udm.security_result.detection_fields.allowAutoRemediate_1	Direkt aus dem Feld `alertRules.1.allowAutoRemediate` zugeordnet.
alertRules.1.createdBy	read_only_udm.principal.user.email_addresses	Direkt aus dem Feld `alertRules.1.createdBy` zugeordnet.
alertRules.1.enabled	read_only_udm.security_result.detection_fields.enabled_1	Direkt aus dem Feld `alertRules.1.enabled` zugeordnet.
alertRules.1.name	read_only_udm.security_result.detection_fields.name_1	Direkt aus dem Feld `alertRules.1.name` zugeordnet.
alertRules.1.notifyOnDismissed	read_only_udm.security_result.detection_fields.notifyOnDismissed_1	Direkt aus dem Feld `alertRules.1.notifyOnDismissed` zugeordnet.
alertRules.1.notifyOnOpen	read_only_udm.security_result.detection_fields.notifyOnOpen_1	Direkt aus dem Feld `alertRules.1.notifyOnOpen` zugeordnet.
alertRules.1.notifyOnResolved	read_only_udm.security_result.detection_fields.notifyOnResolved_1	Direkt aus dem Feld `alertRules.1.notifyOnResolved` zugeordnet.
alertRules.1.notifyOnSnoozed	read_only_udm.security_result.detection_fields.notifyOnSnoozed_1	Direkt aus dem Feld `alertRules.1.notifyOnSnoozed` zugeordnet.
alertRules.1.policyScanConfigId	read_only_udm.security_result.detection_fields.policyScanConfigId_1	Direkt aus dem Feld `alertRules.1.policyScanConfigId` zugeordnet.
alertRules.1.scanAll	read_only_udm.security_result.detection_fields.scanAll_1	Direkt aus dem Feld `alertRules.1.scanAll` zugeordnet.
alertRules.2.allowAutoRemediate	read_only_udm.security_result.detection_fields.allowAutoRemediate_2	Direkt aus dem Feld `alertRules.2.allowAutoRemediate` zugeordnet.
alertRules.2.createdBy	read_only_udm.principal.user.email_addresses	Direkt aus dem Feld `alertRules.2.createdBy` zugeordnet.
alertRules.2.enabled	read_only_udm.security_result.detection_fields.enabled_2	Direkt aus dem Feld `alertRules.2.enabled` zugeordnet.
alertRules.2.name	read_only_udm.security_result.detection_fields.name_2	Direkt aus dem Feld `alertRules.2.name` zugeordnet.
alertRules.2.notifyOnDismissed	read_only_udm.security_result.detection_fields.notifyOnDismissed_2	Direkt aus dem Feld `alertRules.2.notifyOnDismissed` zugeordnet.
alertRules.2.notifyOnOpen	read_only_udm.security_result.detection_fields.notifyOnOpen_2	Direkt aus dem Feld `alertRules.2.notifyOnOpen` zugeordnet.
alertRules.2.notifyOnResolved	read_only_udm.security_result.detection_fields.notifyOnResolved_2	Direkt aus dem Feld `alertRules.2.notifyOnResolved` zugeordnet.
alertRules.2.notifyOnSnoozed	read_only_udm.security_result.detection_fields.notifyOnSnoozed_2	Direkt aus dem Feld `alertRules.2.notifyOnSnoozed` zugeordnet.
alertRules.2.policyScanConfigId	read_only_udm.security_result.detection_fields.policyScanConfigId_2	Direkt aus dem Feld `alertRules.2.policyScanConfigId` zugeordnet.
alertRules.2.scanAll	read_only_udm.security_result.detection_fields.scanAll_2	Direkt aus dem Feld `alertRules.2.scanAll` zugeordnet.
alertRuleId	read_only_udm.security_result.rule_id	Direkt aus dem Feld `alertRuleId` zugeordnet.
alertRuleName	read_only_udm.security_result.rule_name	Direkt aus dem Feld `alertRuleName` zugeordnet.
alertStatus	read_only_udm.security_result.detection_fields.event message alertStatus	Wird direkt aus dem Feld `alertStatus` im `event_data.msg_data`-Objekt zugeordnet.
alertTs	read_only_udm.metadata.event_timestamp.seconds	Wird direkt aus dem Feld `alertTs` zugeordnet, nachdem es in einen UNIX-Zeitstempel umgewandelt wurde.
alertTs	read_only_udm.metadata.event_timestamp.nanos	Wird direkt aus dem Feld `alertTs` nach der Umwandlung in einen UNIX-Zeitstempel zugeordnet.
callbackUrl	read_only_udm.metadata.url_back_to_product	Direkt aus dem Feld `callbackUrl` zugeordnet.
cloudServiceName	read_only_udm.target.resource.attribute.labels.cloudServiceName	Direkt aus dem Feld `cloudServiceName` zugeordnet.
cloudType	read_only_udm.target.resource.attribute.cloud.environment	Aus dem Feld `cloudType` zugeordnet. Wenn `cloudType` „gcp“ ist, wird der Wert auf „GOOGLE_CLOUD_PLATFORM“ festgelegt. Wenn `cloudType` „aws“ ist, wird der Wert auf „AMAZON_WEB_SERVICES“ festgelegt.
complianceMetadata.0.requirementId	read_only_udm.security_result.rule_id	Direkt aus dem Feld `complianceMetadata.0.requirementId` zugeordnet.
complianceMetadata.0.requirementName	read_only_udm.security_result.summary	Direkt aus dem Feld `complianceMetadata.0.requirementName` zugeordnet.
complianceMetadata.0.standardName	read_only_udm.security_result.rule_name	Direkt aus dem Feld `complianceMetadata.0.standardName` zugeordnet.
complianceMetadata.1.requirementId	read_only_udm.security_result.rule_id	Direkt aus dem Feld `complianceMetadata.1.requirementId` zugeordnet.
complianceMetadata.1.requirementName	read_only_udm.security_result.summary	Direkt aus dem Feld `complianceMetadata.1.requirementName` zugeordnet.
complianceMetadata.1.standardName	read_only_udm.security_result.rule_name	Direkt aus dem Feld `complianceMetadata.1.standardName` zugeordnet.
complianceMetadata.2.requirementId	read_only_udm.security_result.rule_id	Direkt aus dem Feld `complianceMetadata.2.requirementId` zugeordnet.
complianceMetadata.2.requirementName	read_only_udm.security_result.summary	Direkt aus dem Feld `complianceMetadata.2.requirementName` zugeordnet.
complianceMetadata.2.standardName	read_only_udm.security_result.rule_name	Direkt aus dem Feld `complianceMetadata.2.standardName` zugeordnet.
complianceMetadata.3.requirementId	read_only_udm.security_result.rule_id	Direkt aus dem Feld `complianceMetadata.3.requirementId` zugeordnet.
complianceMetadata.3.requirementName	read_only_udm.security_result.summary	Direkt aus dem Feld `complianceMetadata.3.requirementName` zugeordnet.
complianceMetadata.3.standardName	read_only_udm.security_result.rule_name	Direkt aus dem Feld `complianceMetadata.3.standardName` zugeordnet.
complianceMetadata.4.requirementId	read_only_udm.security_result.rule_id	Direkt aus dem Feld `complianceMetadata.4.requirementId` zugeordnet.
complianceMetadata.4.requirementName	read_only_udm.security_result.summary	Direkt aus dem Feld `complianceMetadata.4.requirementName` zugeordnet.
complianceMetadata.4.standardName	read_only_udm.security_result.rule_name	Direkt aus dem Feld `complianceMetadata.4.standardName` zugeordnet.
event_data.app	read_only_udm.target.application	Direkt aus dem Feld `event_data.app` zugeordnet.
event_data.msg_data.account.cloudType	read_only_udm.target.resource.attribute.cloud.environment	Aus dem Feld `event_data.msg_data.account.cloudType` zugeordnet. Wenn der Wert „aws“ ist, wird er auf „AMAZON_WEB_SERVICES“ gesetzt.
event_data.msg_data.account.id	read_only_udm.target.cloud.project.id	Direkt aus dem Feld `event_data.msg_data.account.id` zugeordnet.
event_data.msg_data.account.name	read_only_udm.target.cloud.project.name	Direkt aus dem Feld `event_data.msg_data.account.name` zugeordnet.
event_data.msg_data.accountIDs	read_only_udm.principal.resource.attribute.labels.event message accountId {index}	Direkt aus dem Array `event_data.msg_data.accountIDs` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.category	read_only_udm.security_result.category_details	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.category` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.command	read_only_udm.principal.process.command_line	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.command` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.collections	read_only_udm.target.resource.attribute.labels.Collection {index}	Direkt aus dem Array `event_data.msg_data.aggregatedAlerts.0.collections` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category	read_only_udm.security_result.category_details	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description	read_only_udm.security_result.description	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity	read_only_udm.security_result.severity	Wird direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity` zugeordnet, nachdem es in Großbuchstaben umgewandelt wurde.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title	read_only_udm.security_result.action_details	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.container	read_only_udm.target.resource.name	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.container` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.containerID	read_only_udm.target.resource.product_object_id	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.containerID` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.fqdn	read_only_udm.principal.domain.name	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.fqdn` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.host	read_only_udm.principal.hostname	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.host` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.host	read_only_udm.principal.asset.hostname	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.host` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.image	read_only_udm.target.resource.attribute.labels.image	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.image` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.imageID	read_only_udm.target.resource.attribute.labels.imageID	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.imageID` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.labels.controller-uid	read_only_udm.target.user.product_object_id	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.labels.controller-uid` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name	read_only_udm.target.hostname	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid	read_only_udm.target.resource.product_object_id	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.msg_data	read_only_udm.security_result.description	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.msg_data` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.rule	read_only_udm.security_result.rule_name	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.rule` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.startupProcess	read_only_udm.principal.application	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.startupProcess` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.time	read_only_udm.metadata.event_timestamp.seconds	Wird direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.time` zugeordnet, nachdem es in einen UNIX-Zeitstempel umgewandelt wurde.
event_data.msg_data.aggregatedAlerts.0.time	read_only_udm.metadata.event_timestamp.nanos	Wird direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.time` zugeordnet, nachdem es in einen UNIX-Zeitstempel umgewandelt wurde.
event_data.msg_data.aggregatedAlerts.0.type	read_only_udm.security_result.category_details	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.type` zugeordnet.
event_data.msg_data.aggregatedAlerts.0.user	read_only_udm.principal.user.userid	Direkt aus dem Feld `event_data.msg_data.aggregatedAlerts.0.user` zugeordnet.
event_data.msg_data.alertId	read_only_udm.security_result.detection_fields.event message alertId	Direkt aus dem Feld `event_data.msg_data.alertId` zugeordnet.
event_data.msg_data.alertRuleId	read_only_udm.security_result.rule_id	Direkt aus dem Feld `event_data.msg_data.alertRuleId` zugeordnet.
event_data.msg_data.alertRuleName	read_only_udm.security_result.rule_name	Direkt aus dem Feld `event_data.msg_data.alertRuleName` zugeordnet.
event_data.msg_data.alertStatus	read_only_udm.security_result.detection_fields.event message alertStatus	Direkt aus dem Feld `event_data.msg_data.alertStatus` zugeordnet.
event_data.msg_data.alertTs	read_only_udm.metadata.event_timestamp.seconds	Wird direkt aus dem Feld `event_data.msg_data.alertTs` zugeordnet, nachdem es in einen UNIX-Zeitstempel umgewandelt wurde.
event_data.msg_data.alertTs	read_only_udm.metadata.event_timestamp.nanos	Wird direkt aus dem Feld `event_data.msg_data.alertTs` zugeordnet, nachdem es in einen UNIX-Zeitstempel umgewandelt wurde.
event_data.msg_data.category	read_only_udm.security_result.category_details	Direkt aus dem Feld `event_data.msg_data.category` zugeordnet.
event_data.msg_data.collections	read_only_udm.target.resource.attribute.labels.Collection {index}	Direkt aus dem Array `event_data.msg_data.collections` zugeordnet.
event_data.msg_data.command	read_only_udm.principal.process.command_line	Direkt aus dem Feld `event_data.msg_data.command` zugeordnet.
event_data.msg_data.complianceIssues.0.category	read_only_udm.security_result.category_details	Direkt aus dem Feld `event_data.msg_data.complianceIssues.0.category` zugeordnet.
event_data.msg_data.complianceIssues.0.description	read_only_udm.security_result.description	Direkt aus dem Feld `event_data.msg_data.complianceIssues.0.description` zugeordnet.
event_data.msg_data.complianceIssues.0.severity	read_only_udm.security_result.severity	Wird direkt aus dem Feld `event_data.msg_data.complianceIssues.0.severity` zugeordnet, nachdem es in Großbuchstaben umgewandelt wurde.
event_data.msg_data.complianceIssues.0.title	read_only_udm.security_result.action_details	Direkt aus dem Feld `event_data.msg_data.complianceIssues.0.title` zugeordnet.
event_data.msg_data.container	read_only_udm.target.resource.name	Direkt aus dem Feld `event_data.msg_data.container` zugeordnet.
event_data.msg_data.containerID	read_only_udm.target.resource.product_object_id	Direkt aus dem Feld `event_data.msg_data.containerID` zugeordnet.
event_data.msg_data.dropped	read_only_udm.security_result.detection_fields.dropped	Wird direkt aus dem Feld `event_data.msg_data.dropped` nach der Umwandlung in einen String zugeordnet.
event_data.msg_data.fqdn	read_only_udm.principal.domain.name	Direkt aus dem Feld `event_data.msg_data.fqdn` zugeordnet.
event_data.msg_data.firstSeen	read_only_udm.security_result.first_discovered_time.seconds	Wird direkt aus dem Feld `event_data.msg_data.firstSeen` zugeordnet, nachdem es in einen UNIX-Zeitstempel umgewandelt wurde.
event_data.msg_data.firstSeen	read_only_udm.security_result.first_discovered_time.nanos	Wird direkt aus dem Feld `event_data.msg_data.firstSeen` zugeordnet, nachdem es in einen UNIX-Zeitstempel umgewandelt wurde.
event_data.msg_data.host	read_only_udm.principal.hostname	Direkt aus dem Feld `event_data.msg_data.host` zugeordnet.
event_data.msg_data.host	read_only_udm.principal.asset.hostname	Direkt aus dem Feld `event_data.msg_data.host` zugeordnet.
event_data.msg_data.image	read_only_udm.target.resource.attribute.labels.image	Direkt aus dem Feld `event_data.msg_data.image` zugeordnet.
event_data.msg_data.imageID	read_only_udm.target.resource.attribute.labels.imageID	Direkt aus dem Feld `event_data.msg_data.imageID` zugeordnet.
event_data.msg_data.labels.controller-uid	read_only_udm.target.user.product_object_id	Direkt aus dem Feld `event_data.msg_data.labels.controller-uid` zugeordnet.
event_data.msg_data.labels.io.kubernetes.pod.name	read_only_udm.target.hostname	Direkt aus dem Feld `event_data.msg_data.labels.io.kubernetes.pod.name` zugeordnet.
event_data.msg_data.labels.io.kubernetes.pod.uid	read_only_udm.target.resource.product_object_id	Direkt aus dem Feld `event_data.msg_data.labels.io.kubernetes.pod.uid` zugeordnet.
event_data.msg_data.lastSeen	read_only_udm.security_result.last_discovered_time.seconds	Wird direkt aus dem Feld `event_data.msg_data.lastSeen` nach der Umwandlung in einen UNIX-Zeitstempel zugeordnet.
event_data.msg_data.lastSeen	read_only_udm.security_result.last_discovered_time.nanos	Wird direkt aus dem Feld `event_data.msg_data.lastSeen` nach der Umwandlung in einen UNIX-Zeitstempel zugeordnet.
event_data.msg_data.metadata.cveCritical	read_only_udm.security_result.detection_fields.event_data metadata cveCritical	Direkt aus dem Feld `event_data.msg_data.metadata.cveCritical` zugeordnet.
event_data.msg_data.metadata.cveHigh	read_only_udm.security_result.detection_fields.event_data metadata cveHigh	Direkt aus dem Feld `event_data.msg_data.metadata.cveHigh` zugeordnet.
event_data.msg_data.metadata.cveLow	read_only_udm.security_result.detection_fields.event_data metadata cveLow	Direkt aus dem Feld `event_data.msg_data.metadata.cveLow` zugeordnet.
event_data.msg_data.metadata.cveMedium	read_only_udm.security_result.detection_fields.event_data metadata cveMedium	Direkt aus dem Feld `event_data.msg_data.metadata.cveMedium` zugeordnet.
event_data.msg_data.metadata.source	read_only_udm.principal.hostname	Direkt aus dem Feld `event_data.msg_data.metadata.source` zugeordnet.
event_data.msg_data.metadata.source	read_only_udm.principal.asset.hostname	Direkt aus dem Feld `event_data.msg_data.metadata.source` zugeordnet.
event_data.msg_data.msg_data	read_only_udm.security_result.description	Direkt aus dem Feld `event_data.msg_data.msg_data` zugeordnet.
event_data.msg_data.policy.description	read_only_udm.security_result.description	Direkt aus dem Feld `event_data.msg_data.policy.description` zugeordnet.
event_data.msg_data.policy.id	read_only_udm.security_result.detection_fields.policy_id	Direkt aus dem Feld `event_data.msg_data.policy.id` zugeordnet.
event_data.msg_data.policy.name	read_only_udm.security_result.summary	Direkt aus dem Feld `event_data.msg_data.policy.name` zugeordnet.
event_data.msg_data.policy.policyTs	read_only_udm.additional.fields.policy_ts	Direkt aus dem Feld `event_data.msg_data.policy.policyTs` zugeordnet.
event_data.msg_data.policy.policyType	read_only_udm.security_result.threat_name	Direkt aus dem Feld `event_data.msg_data.policy.policyType` zugeordnet.
event_data.msg_data.policy.recommendation	read_only_udm.security_result.action_details	Direkt aus dem Feld `event_data.msg_data.policy.recommendation` zugeordnet.
event_data.msg_data.policy.severity	read_only_udm.security_result.severity	Wird direkt aus dem Feld `event_data.msg_data.policy.severity` zugeordnet, nachdem es in Großbuchstaben umgewandelt wurde.
event_data.msg_data.reason	read_only_udm.security_result.detection_fields.event message reason	Direkt aus dem Feld `event_data.msg_data.reason` zugeordnet.
event_data.msg_data.region	read_only_udm.target.cloud.availability_zone	Direkt aus dem Feld `event_data.msg_data.region` zugeordnet.
event_data.msg_data.resource.resourceId	read_only_udm.target.resource.product_object_id	Direkt aus dem Feld `event_data.msg_data.resource.resourceId` zugeordnet.
event_data.msg_data.resource.resourceName	read_only_udm.target.resource.name	Direkt aus dem Feld `event_data.msg_data.resource.resourceName` zugeordnet.
event_data.msg_data.resource.resourceTs	read_only_udm.target.resource.attribute.creation_time.seconds	Wird direkt aus dem Feld `event_data.msg_data.resource.resourceTs` zugeordnet, nachdem es in einen UNIX-Zeitstempel umgewandelt wurde.
event_data.msg_data.resource.resourceTs	read_only_udm.target.resource.attribute.creation_time.nanos	Wird direkt aus dem Feld `event_data.msg_data.resource.resourceTs` zugeordnet, nachdem es in einen UNIX-Zeitstempel umgewandelt wurde.
event_data.msg_data.rule	read_only_udm.security_result.rule_name	Direkt aus dem Feld `event_data.msg_data.rule` zugeordnet.
event_data.msg_data.service	read_only_udm.security_result.detection_fields.event message service	Direkt aus dem Feld `event_data.msg_data.service` zugeordnet.
event_data.msg_data.startupProcess	read_only_udm.principal.application	Direkt aus dem Feld `event_data.msg_data.startupProcess` zugeordnet.
event_data.msg_data.time	read_only_udm.metadata.event_timestamp.seconds	Wird direkt aus dem Feld `event_data.msg_data.time` zugeordnet, nachdem es in einen UNIX-Zeitstempel umgewandelt wurde.
event_data.msg_data.time	read_only_udm.metadata.event_timestamp.nanos	Wird direkt aus dem Feld `event_data.msg_data.time` nach der Umwandlung in einen UNIX-Zeitstempel zugeordnet.
event_data.msg_data.type	read_only_udm.security_result.category_details	Direkt aus dem Feld `event_data.msg_data.type` zugeordnet.
event_data.sentTs	read_only_udm.metadata.event_timestamp.seconds	Wird direkt aus dem Feld `event_data.sentTs` zugeordnet, nachdem es in einen UNIX-Zeitstempel umgewandelt wurde.
event_data.sentTs	read_only_udm.metadata.event_timestamp.nanos	Wird direkt aus dem Feld `event_data.sentTs` zugeordnet, nachdem es in einen UNIX-Zeitstempel umgewandelt wurde.
event_data.type	read_only_udm.security_result.category_details	Direkt aus dem Feld `event_data.type` zugeordnet.
ipAddress	read_only_udm.principal.ip	Wird direkt aus dem Feld `ipAddress` zugeordnet, nachdem die IP-Adresse mit Grok extrahiert wurde.
ipAddress	read_only_udm.principal.asset.ip	Wird direkt aus dem Feld `ipAddress` zugeordnet, nachdem die IP-Adresse mit Grok extrahiert wurde.
ipAddress	read_only_udm.additional.fields.ipAddress	Wird direkt aus dem Feld `ipAddress` zugeordnet, wenn es sich nicht um eine gültige IP-Adresse handelt.
json_action.0.policy_id	read_only_udm.target.resource.attribute.labels.Policy Id 0	Direkt aus dem Feld `json_action.0.policy_id` zugeordnet.
json_action.0.resource_name	read_only_udm.target.resource.attribute.labels.Resource Name 0	Direkt aus dem Feld `json_action.0.resource_name` zugeordnet.
json_action.1.policy_id	read_only_udm.target.resource.attribute.labels.Policy Id 1	Direkt aus dem Feld `json_action.1.policy_id` zugeordnet.
json_action.1.resource_name	read_only_udm.target.resource.attribute.labels.Resource Name 1	Direkt aus dem Feld `json_action.1.resource_name` zugeordnet.
policy.policyId	read_only_udm.security_result.rule_id	Direkt aus dem Feld `policy.policyId` zugeordnet.
policy.policyType	read_only_udm.security_result.rule_type	Direkt aus dem Feld `policy.policyType` zugeordnet.
policy.recommendation	read_only_udm.metadata.description	Direkt aus dem Feld `policy.recommendation` zugeordnet.
policy.severity	read_only_udm.security_result.severity	Aus dem Feld `policy.severity` zugeordnet. Wenn der Wert „info“ ist, wird er auf „INFORMATIONELL“ gesetzt.
policyName	read_only_udm.metadata.description	Direkt aus dem Feld `policyName` zugeordnet.
reason	read_only_udm.metadata.product_event_type	Direkt aus dem Feld `reason` zugeordnet.
resource.accountId	read_only_udm.target.resource.product_object_id	Direkt aus dem Feld `resource.accountId` zugeordnet.
resource.cloudServiceName	read_only_udm.target.resource.attribute.labels.cloudServiceName	Direkt aus dem Feld `resource.cloudServiceName` zugeordnet.
resource.data.architecture	read_only_udm.principal.asset.hardware.cpu_platform	Direkt aus dem Feld `resource.data.architecture` zugeordnet.
resource.data.cpuPlatform	read_only_udm.additional.fields.CPU Platform	Direkt aus dem Feld `resource.data.cpuPlatform` zugeordnet.
resource.data.labelFingerprint	read_only_udm.security_result.detection_fields.labelFingerprint	Direkt aus dem Feld `resource.data.labelFingerprint` zugeordnet.
resource.data.metadata.items.key	read_only_udm.additional.fields.key	Direkt aus dem Feld `resource.data.metadata.items.key` zugeordnet.
resource.data.metadata.items.value	read_only_udm.additional.fields.value.string_value	Direkt aus dem Feld `resource.data.metadata.items.value` zugeordnet.
resource.data.networkInterfaces.0.accessConfigs.0.natIP	read_only_udm.target.nat_ip	Direkt aus dem Feld `resource.data.networkInterfaces.0.accessConfigs.0.natIP` zugeordnet.
resource.data.networkInterfaces.0.networkIP	read_only_udm.target.ip	Direkt aus dem Feld `resource.data.networkInterfaces.0.networkIP` zugeordnet.
resource.data.networkInterfaces.0.networkIP	read_only_udm.target.asset.ip	Direkt aus dem Feld `resource.data.networkInterfaces.0.networkIP` zugeordnet.
resource.data.physicalBlockSizeBytes	read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes	Wird direkt aus dem Feld `resource.data.physicalBlockSizeBytes` nach der Umwandlung in einen String zugeordnet.
resource.data.selfLink	read_only_udm.about.url	Direkt aus dem Feld `resource.data.selfLink` zugeordnet.
resource.data.serviceAccounts.0.email	read_only_udm.principal.user.email_addresses	Direkt aus dem Feld `resource.data.serviceAccounts.0.email` zugeordnet.
resource.data.serviceAccounts.0.email	read_only_udm.principal.user.attribute.roles.type	Wenn `resource.data.serviceAccounts.0.email` „serviceaccount“ enthält, wird der Wert auf „SERVICE_ACCOUNT“ festgelegt.
resource.data.sizeGb	read_only_udm.principal.resource.attribute.labels.sizeGb	Direkt aus dem Feld `resource.data.sizeGb` zugeordnet.
resource.data.sourceImage	read_only_udm.principal.resource.attribute.labels.sourceImage	Direkt aus dem Feld `resource.data.sourceImage` zugeordnet.
resource.name	read_only_udm.target.resource.name	Direkt aus dem Feld `resource.name` zugeordnet.
resource.regionId	read_only_udm.target.location.country_or_region	Direkt von „resource

Änderungen

2024-03-28

Wenn „ipAddress“ keine gültige IP-Adresse ist, wurde „ipAddress“ mit „additional.fields“ verknüpft.
Wenn „user“ eine gültige E-Mail-Adresse ist, wird „user“ mit „target.user.email_addresses“ verknüpft.
Wenn „user“ keine gültige E-Mail-Adresse ist, wird „user“ mit „target.user.userid“ verknüpft.
Die Felder „policy_id“ und „resource_name“ im Feld „action“ wurden „target.resource.attribute.labels“ zugeordnet.

2024-02-21

Für den Block „Datum“ wurde die Prüfung „on_error“ hinzugefügt.
„alertRules“ wurde zu „sec_result.detection_fields“ zugeordnet.
„policy.policyId“ wurde in „sec_result.rule_id“ umgewandelt.
„policy.policyType“ wurde in „sec_result.rule_type“ umgewandelt.
„policy.severity“ wurde in „sec_result.severity“ umgewandelt.
„policy.recommendation“ wurde auf „metadata.description“ zugeordnet.
„resource.data.architecture“ wurde in „principal.asset.hardware.cpu_platform“ geändert.
„resource.name“ wurde „target.resource.name“ zugeordnet.
„resource.accountId“ wurde „target.resource.product_object_id“ zugeordnet.
„resource.regionId“ wurde „target.location.country_or_region“ zugeordnet.
„resource.cloudServiceName“ wurde in „target.resource.attribute.labels“ umgewandelt.
„resource.resourceApiName“ wurde „target.resource.attribute.labels“ zugeordnet.
„alertrule.createdBy“ wurde auf „principal.user.email_addresses“ zugeordnet.
„resource.unifiedAssetId“ wurde „principal.asset.asset_id“ zugeordnet.
„resource.data.selfLink“ wurde mit „about.url“ verknüpft.
„resource.data.sourceImage“ wurde „principal.resource.attribute.labels“ zugeordnet.
„resource.data.sizeGb“ wurde in „principal.resource.attribute.labels“ geändert.
„resource.data.physicalBlockSizeBytes“ wurde in „principal.resource.attribute.labels“ geändert.
„resource.data.labelFingerprint“ wurde in „sec_result.detection_fields“ umgewandelt.
Wenn „reason“ „NEW_ALERT“ ist, legen Sie „metadata.event_type“ auf „USER_RESOURCE_CREATION“ fest.

2024-02-13

Unterstützung für neue Kundenprotokolle hinzugefügt.

2022-08-09

Bedingte Conversion-Prüfung für das Feld „Zeitstempel“ hinzugefügt
Die folgende Zuordnung wurde hinzugefügt, wenn der Wert des Felds „resourceType“ „Login“ ist:
Das Feld „ipAddress“ ist „principal.ip“ zugeordnet.
Das Feld „user“ ist „target.user.email_addresses“ zugeordnet.
Das Feld „result“ ist „security_result.action_details“ zugeordnet.