Coletar registros do Prisma Cloud da Palo Alto

Compatível com:

Este documento descreve como coletar registros do Palo Alto Prisma Cloud configurando um feed de operações de segurança do Google.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência PAN_PRISMA_CLOUD.

Configurar o Prisma Cloud da Palo Alto Networks

  1. Faça login no console do Prisma Cloud da Palo Alto Networks com uma conta de administrador.
  2. No menu Configurações, clique em Chaves de acesso.
  3. Clique em Adicionar novo e insira um Nome.

  4. Clique em Criar. Os valores de ID da chave de acesso e Chave secreta vão aparecer.

  5. Salve os valores de ID da chave de acesso e Chave secreta. Esses valores são necessários ao configurar o feed do Google Security Operations.

Configurar um feed do Google Security Operations para processar registros do Prisma Cloud da Palo Alto

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Add New.
  3. Insira um nome exclusivo para o Nome do campo.
  4. Selecione API de terceiros como o Tipo de origem.
  5. Selecione Palo Alto Prisma Cloud como o Tipo de registro.
  6. Clique em Próxima.
  7. Configure os seguintes parâmetros de entrada obrigatórios:
    • Nome de usuário: especifique o ID da chave de acesso que você recebeu anteriormente.
    • Senha:especifique a chave secreta que você recebeu anteriormente.
    • Nome do host da API: especifique o nome do host da API.
  8. Clique em Próxima e em Enviar.

Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feeds por tipo.

Se você tiver problemas ao criar feeds, entre em contato com o suporte da Google Security Operations.

Referência do mapeamento de campo

Esse código de analisador extrai campos de registros do PAN PRISMA CLOUD formatados em JSON, realiza transformações e mapeamentos de dados para estruturar os dados no esquema UDM do Chronicle. Ele processa várias estruturas de mensagem de registro, incluindo objetos e matrizes aninhados, para normalizar diversos eventos de segurança e informações contextuais para análise no Chronicle.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
accountName read_only_udm.target.resource.attribute.cloud.project.id Mapeado diretamente do campo accountName.
accountId read_only_udm.target.hostname Mapeado diretamente do campo accountId.
accountId read_only_udm.target.asset.hostname Mapeado diretamente do campo accountId.
accountId read_only_udm.principal.cloud.project.id Mapeado diretamente do campo accountId na matriz aggregatedAlerts.
ação read_only_udm.security_result.description Mapeado diretamente do campo action após a remoção da parte JSON.
alertId read_only_udm.metadata.product_log_id Mapeado diretamente do campo alertId.
alertRules.0.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_0 Mapeado diretamente do campo alertRules.0.allowAutoRemediate.
alertRules.0.enabled read_only_udm.security_result.detection_fields.enabled_0 Mapeado diretamente do campo alertRules.0.enabled.
alertRules.0.name read_only_udm.security_result.detection_fields.name_0 Mapeado diretamente do campo alertRules.0.name.
alertRules.0.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_0 Mapeado diretamente do campo alertRules.0.notifyOnDismissed.
alertRules.0.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_0 Mapeado diretamente do campo alertRules.0.notifyOnOpen.
alertRules.0.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_0 Mapeado diretamente do campo alertRules.0.notifyOnResolved.
alertRules.0.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 Mapeado diretamente do campo alertRules.0.notifyOnSnoozed.
alertRules.0.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_0 Mapeado diretamente do campo alertRules.0.policyScanConfigId.
alertRules.0.scanAll read_only_udm.security_result.detection_fields.scanAll_0 Mapeado diretamente do campo alertRules.0.scanAll.
alertRules.1.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_1 Mapeado diretamente do campo alertRules.1.allowAutoRemediate.
alertRules.1.createdBy read_only_udm.principal.user.email_addresses Mapeado diretamente do campo alertRules.1.createdBy.
alertRules.1.enabled read_only_udm.security_result.detection_fields.enabled_1 Mapeado diretamente do campo alertRules.1.enabled.
alertRules.1.name read_only_udm.security_result.detection_fields.name_1 Mapeado diretamente do campo alertRules.1.name.
alertRules.1.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_1 Mapeado diretamente do campo alertRules.1.notifyOnDismissed.
alertRules.1.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_1 Mapeado diretamente do campo alertRules.1.notifyOnOpen.
alertRules.1.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_1 Mapeado diretamente do campo alertRules.1.notifyOnResolved.
alertRules.1.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 Mapeado diretamente do campo alertRules.1.notifyOnSnoozed.
alertRules.1.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_1 Mapeado diretamente do campo alertRules.1.policyScanConfigId.
alertRules.1.scanAll read_only_udm.security_result.detection_fields.scanAll_1 Mapeado diretamente do campo alertRules.1.scanAll.
alertRules.2.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_2 Mapeado diretamente do campo alertRules.2.allowAutoRemediate.
alertRules.2.createdBy read_only_udm.principal.user.email_addresses Mapeado diretamente do campo alertRules.2.createdBy.
alertRules.2.enabled read_only_udm.security_result.detection_fields.enabled_2 Mapeado diretamente do campo alertRules.2.enabled.
alertRules.2.name read_only_udm.security_result.detection_fields.name_2 Mapeado diretamente do campo alertRules.2.name.
alertRules.2.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_2 Mapeado diretamente do campo alertRules.2.notifyOnDismissed.
alertRules.2.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_2 Mapeado diretamente do campo alertRules.2.notifyOnOpen.
alertRules.2.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_2 Mapeado diretamente do campo alertRules.2.notifyOnResolved.
alertRules.2.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 Mapeado diretamente do campo alertRules.2.notifyOnSnoozed.
alertRules.2.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_2 Mapeado diretamente do campo alertRules.2.policyScanConfigId.
alertRules.2.scanAll read_only_udm.security_result.detection_fields.scanAll_2 Mapeado diretamente do campo alertRules.2.scanAll.
alertRuleId read_only_udm.security_result.rule_id Mapeado diretamente do campo alertRuleId.
alertRuleName read_only_udm.security_result.rule_name Mapeado diretamente do campo alertRuleName.
alertStatus read_only_udm.security_result.detection_fields.event alertStatus Mapeado diretamente do campo alertStatus no objeto event_data.msg_data.
alertTs read_only_udm.metadata.event_timestamp.seconds Mapeado diretamente do campo alertTs após a conversão para o carimbo de data/hora UNIX.
alertTs read_only_udm.metadata.event_timestamp.nanos Mapeado diretamente do campo alertTs após a conversão para o carimbo de data/hora UNIX.
callbackUrl read_only_udm.metadata.url_back_to_product Mapeado diretamente do campo callbackUrl.
cloudServiceName read_only_udm.target.resource.attribute.labels.cloudServiceName Mapeado diretamente do campo cloudServiceName.
cloudType read_only_udm.target.resource.attribute.cloud.environment Mapeado do campo cloudType. Se cloudType for "gcp", o valor será definido como "GOOGLE_CLOUD_PLATFORM". Se cloudType for "aws", o valor será definido como "AMAZON_WEB_SERVICES".
complianceMetadata.0.requirementId read_only_udm.security_result.rule_id Mapeado diretamente do campo complianceMetadata.0.requirementId.
complianceMetadata.0.requirementName read_only_udm.security_result.summary Mapeado diretamente do campo complianceMetadata.0.requirementName.
complianceMetadata.0.standardName read_only_udm.security_result.rule_name Mapeado diretamente do campo complianceMetadata.0.standardName.
complianceMetadata.1.requirementId read_only_udm.security_result.rule_id Mapeado diretamente do campo complianceMetadata.1.requirementId.
complianceMetadata.1.requirementName read_only_udm.security_result.summary Mapeado diretamente do campo complianceMetadata.1.requirementName.
complianceMetadata.1.standardName read_only_udm.security_result.rule_name Mapeado diretamente do campo complianceMetadata.1.standardName.
complianceMetadata.2.requirementId read_only_udm.security_result.rule_id Mapeado diretamente do campo complianceMetadata.2.requirementId.
complianceMetadata.2.requirementName read_only_udm.security_result.summary Mapeado diretamente do campo complianceMetadata.2.requirementName.
complianceMetadata.2.standardName read_only_udm.security_result.rule_name Mapeado diretamente do campo complianceMetadata.2.standardName.
complianceMetadata.3.requirementId read_only_udm.security_result.rule_id Mapeado diretamente do campo complianceMetadata.3.requirementId.
complianceMetadata.3.requirementName read_only_udm.security_result.summary Mapeado diretamente do campo complianceMetadata.3.requirementName.
complianceMetadata.3.standardName read_only_udm.security_result.rule_name Mapeado diretamente do campo complianceMetadata.3.standardName.
complianceMetadata.4.requirementId read_only_udm.security_result.rule_id Mapeado diretamente do campo complianceMetadata.4.requirementId.
complianceMetadata.4.requirementName read_only_udm.security_result.summary Mapeado diretamente do campo complianceMetadata.4.requirementName.
complianceMetadata.4.standardName read_only_udm.security_result.rule_name Mapeado diretamente do campo complianceMetadata.4.standardName.
event_data.app read_only_udm.target.application Mapeado diretamente do campo event_data.app.
event_data.msg_data.account.cloudType read_only_udm.target.resource.attribute.cloud.environment Mapeado do campo event_data.msg_data.account.cloudType. Se o valor for "aws", ele será definido como "AMAZON_WEB_SERVICES".
event_data.msg_data.account.id read_only_udm.target.cloud.project.id Mapeado diretamente do campo event_data.msg_data.account.id.
event_data.msg_data.account.name read_only_udm.target.cloud.project.name Mapeado diretamente do campo event_data.msg_data.account.name.
event_data.msg_data.accountIDs read_only_udm.principal.resource.attribute.labels.event message accountId {index} Mapeado diretamente da matriz event_data.msg_data.accountIDs.
event_data.msg_data.aggregatedAlerts.0.category read_only_udm.security_result.category_details Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.category.
event_data.msg_data.aggregatedAlerts.0.command read_only_udm.principal.process.command_line Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.command.
event_data.msg_data.aggregatedAlerts.0.collections read_only_udm.target.resource.attribute.labels.Collection {index} Mapeado diretamente da matriz event_data.msg_data.aggregatedAlerts.0.collections.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category read_only_udm.security_result.category_details Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description read_only_udm.security_result.description Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity read_only_udm.security_result.severity Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity após a conversão para maiúsculas.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title read_only_udm.security_result.action_details Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title.
event_data.msg_data.aggregatedAlerts.0.container read_only_udm.target.resource.name Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.container.
event_data.msg_data.aggregatedAlerts.0.containerID read_only_udm.target.resource.product_object_id Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.containerID.
event_data.msg_data.aggregatedAlerts.0.fqdn read_only_udm.principal.domain.name Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.fqdn.
event_data.msg_data.aggregatedAlerts.0.host read_only_udm.principal.hostname Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.host.
event_data.msg_data.aggregatedAlerts.0.host read_only_udm.principal.asset.hostname Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.host.
event_data.msg_data.aggregatedAlerts.0.image read_only_udm.target.resource.attribute.labels.image Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.image.
event_data.msg_data.aggregatedAlerts.0.imageID read_only_udm.target.resource.attribute.labels.imageID Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.imageID.
event_data.msg_data.aggregatedAlerts.0.labels.controller-uid read_only_udm.target.user.product_object_id Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.labels.controller-uid.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name read_only_udm.target.hostname Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid read_only_udm.target.resource.product_object_id Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid.
event_data.msg_data.aggregatedAlerts.0.msg_data read_only_udm.security_result.description Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.msg_data.
event_data.msg_data.aggregatedAlerts.0.rule read_only_udm.security_result.rule_name Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.rule.
event_data.msg_data.aggregatedAlerts.0.startupProcess read_only_udm.principal.application Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.startupProcess.
event_data.msg_data.aggregatedAlerts.0.time read_only_udm.metadata.event_timestamp.seconds Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.time após a conversão para o carimbo de data/hora UNIX.
event_data.msg_data.aggregatedAlerts.0.time read_only_udm.metadata.event_timestamp.nanos Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.time após a conversão para o carimbo de data/hora UNIX.
event_data.msg_data.aggregatedAlerts.0.type read_only_udm.security_result.category_details Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.type.
event_data.msg_data.aggregatedAlerts.0.user read_only_udm.principal.user.userid Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.user.
event_data.msg_data.alertId read_only_udm.security_result.detection_fields.event message alertId Mapeado diretamente do campo event_data.msg_data.alertId.
event_data.msg_data.alertRuleId read_only_udm.security_result.rule_id Mapeado diretamente do campo event_data.msg_data.alertRuleId.
event_data.msg_data.alertRuleName read_only_udm.security_result.rule_name Mapeado diretamente do campo event_data.msg_data.alertRuleName.
event_data.msg_data.alertStatus read_only_udm.security_result.detection_fields.event alertStatus Mapeado diretamente do campo event_data.msg_data.alertStatus.
event_data.msg_data.alertTs read_only_udm.metadata.event_timestamp.seconds Mapeado diretamente do campo event_data.msg_data.alertTs após a conversão para o carimbo de data/hora UNIX.
event_data.msg_data.alertTs read_only_udm.metadata.event_timestamp.nanos Mapeado diretamente do campo event_data.msg_data.alertTs após a conversão para o carimbo de data/hora UNIX.
event_data.msg_data.category read_only_udm.security_result.category_details Mapeado diretamente do campo event_data.msg_data.category.
event_data.msg_data.collections read_only_udm.target.resource.attribute.labels.Collection {index} Mapeado diretamente da matriz event_data.msg_data.collections.
event_data.msg_data.command read_only_udm.principal.process.command_line Mapeado diretamente do campo event_data.msg_data.command.
event_data.msg_data.complianceIssues.0.category read_only_udm.security_result.category_details Mapeado diretamente do campo event_data.msg_data.complianceIssues.0.category.
event_data.msg_data.complianceIssues.0.description read_only_udm.security_result.description Mapeado diretamente do campo event_data.msg_data.complianceIssues.0.description.
event_data.msg_data.complianceIssues.0.severity read_only_udm.security_result.severity Mapeado diretamente do campo event_data.msg_data.complianceIssues.0.severity após a conversão para maiúsculas.
event_data.msg_data.complianceIssues.0.title read_only_udm.security_result.action_details Mapeado diretamente do campo event_data.msg_data.complianceIssues.0.title.
event_data.msg_data.container read_only_udm.target.resource.name Mapeado diretamente do campo event_data.msg_data.container.
event_data.msg_data.containerID read_only_udm.target.resource.product_object_id Mapeado diretamente do campo event_data.msg_data.containerID.
event_data.msg_data.dropped read_only_udm.security_result.detection_fields.dropped Mapeado diretamente do campo event_data.msg_data.dropped após a conversão em string.
event_data.msg_data.fqdn read_only_udm.principal.domain.name Mapeado diretamente do campo event_data.msg_data.fqdn.
event_data.msg_data.firstSeen read_only_udm.security_result.first_discovered_time.seconds Mapeado diretamente do campo event_data.msg_data.firstSeen após a conversão para o carimbo de data/hora UNIX.
event_data.msg_data.firstSeen read_only_udm.security_result.first_discovered_time.nanos Mapeado diretamente do campo event_data.msg_data.firstSeen após a conversão para o carimbo de data/hora UNIX.
event_data.msg_data.host read_only_udm.principal.hostname Mapeado diretamente do campo event_data.msg_data.host.
event_data.msg_data.host read_only_udm.principal.asset.hostname Mapeado diretamente do campo event_data.msg_data.host.
event_data.msg_data.image read_only_udm.target.resource.attribute.labels.image Mapeado diretamente do campo event_data.msg_data.image.
event_data.msg_data.imageID read_only_udm.target.resource.attribute.labels.imageID Mapeado diretamente do campo event_data.msg_data.imageID.
event_data.msg_data.labels.controller-uid read_only_udm.target.user.product_object_id Mapeado diretamente do campo event_data.msg_data.labels.controller-uid.
event_data.msg_data.labels.io.kubernetes.pod.name read_only_udm.target.hostname Mapeado diretamente do campo event_data.msg_data.labels.io.kubernetes.pod.name.
event_data.msg_data.labels.io.kubernetes.pod.uid read_only_udm.target.resource.product_object_id Mapeado diretamente do campo event_data.msg_data.labels.io.kubernetes.pod.uid.
event_data.msg_data.lastSeen read_only_udm.security_result.last_discovered_time.seconds Mapeado diretamente do campo event_data.msg_data.lastSeen após a conversão para o carimbo de data/hora UNIX.
event_data.msg_data.lastSeen read_only_udm.security_result.last_discovered_time.nanos Mapeado diretamente do campo event_data.msg_data.lastSeen após a conversão para o carimbo de data/hora UNIX.
event_data.msg_data.metadata.cveCritical read_only_udm.security_result.detection_fields.event_data metadata cveCritical Mapeado diretamente do campo event_data.msg_data.metadata.cveCritical.
event_data.msg_data.metadata.cveHigh read_only_udm.security_result.detection_fields.event_data metadata cveHigh Mapeado diretamente do campo event_data.msg_data.metadata.cveHigh.
event_data.msg_data.metadata.cveLow read_only_udm.security_result.detection_fields.event_data metadata cveLow Mapeado diretamente do campo event_data.msg_data.metadata.cveLow.
event_data.msg_data.metadata.cveMedium read_only_udm.security_result.detection_fields.event_data metadata cveMedium Mapeado diretamente do campo event_data.msg_data.metadata.cveMedium.
event_data.msg_data.metadata.source read_only_udm.principal.hostname Mapeado diretamente do campo event_data.msg_data.metadata.source.
event_data.msg_data.metadata.source read_only_udm.principal.asset.hostname Mapeado diretamente do campo event_data.msg_data.metadata.source.
event_data.msg_data.msg_data read_only_udm.security_result.description Mapeado diretamente do campo event_data.msg_data.msg_data.
event_data.msg_data.policy.description read_only_udm.security_result.description Mapeado diretamente do campo event_data.msg_data.policy.description.
event_data.msg_data.policy.id read_only_udm.security_result.detection_fields.policy_id Mapeado diretamente do campo event_data.msg_data.policy.id.
event_data.msg_data.policy.name read_only_udm.security_result.summary Mapeado diretamente do campo event_data.msg_data.policy.name.
event_data.msg_data.policy.policyTs read_only_udm.additional.fields.policy_ts Mapeado diretamente do campo event_data.msg_data.policy.policyTs.
event_data.msg_data.policy.policyType read_only_udm.security_result.threat_name Mapeado diretamente do campo event_data.msg_data.policy.policyType.
event_data.msg_data.policy.recommendation read_only_udm.security_result.action_details Mapeado diretamente do campo event_data.msg_data.policy.recommendation.
event_data.msg_data.policy.severity read_only_udm.security_result.severity Mapeado diretamente do campo event_data.msg_data.policy.severity após a conversão para maiúsculas.
event_data.msg_data.reason read_only_udm.security_result.detection_fields.event message reason Mapeado diretamente do campo event_data.msg_data.reason.
event_data.msg_data.region read_only_udm.target.cloud.availability_zone Mapeado diretamente do campo event_data.msg_data.region.
event_data.msg_data.resource.resourceId read_only_udm.target.resource.product_object_id Mapeado diretamente do campo event_data.msg_data.resource.resourceId.
event_data.msg_data.resource.resourceName read_only_udm.target.resource.name Mapeado diretamente do campo event_data.msg_data.resource.resourceName.
event_data.msg_data.resource.resourceTs read_only_udm.target.resource.attribute.creation_time.seconds Mapeado diretamente do campo event_data.msg_data.resource.resourceTs após a conversão para o carimbo de data/hora UNIX.
event_data.msg_data.resource.resourceTs read_only_udm.target.resource.attribute.creation_time.nanos Mapeado diretamente do campo event_data.msg_data.resource.resourceTs após a conversão para o carimbo de data/hora UNIX.
event_data.msg_data.rule read_only_udm.security_result.rule_name Mapeado diretamente do campo event_data.msg_data.rule.
event_data.msg_data.service read_only_udm.security_result.detection_fields.event message service Mapeado diretamente do campo event_data.msg_data.service.
event_data.msg_data.startupProcess read_only_udm.principal.application Mapeado diretamente do campo event_data.msg_data.startupProcess.
event_data.msg_data.time read_only_udm.metadata.event_timestamp.seconds Mapeado diretamente do campo event_data.msg_data.time após a conversão para o carimbo de data/hora UNIX.
event_data.msg_data.time read_only_udm.metadata.event_timestamp.nanos Mapeado diretamente do campo event_data.msg_data.time após a conversão para o carimbo de data/hora UNIX.
event_data.msg_data.type read_only_udm.security_result.category_details Mapeado diretamente do campo event_data.msg_data.type.
event_data.sentTs read_only_udm.metadata.event_timestamp.seconds Mapeado diretamente do campo event_data.sentTs após a conversão para o carimbo de data/hora UNIX.
event_data.sentTs read_only_udm.metadata.event_timestamp.nanos Mapeado diretamente do campo event_data.sentTs após a conversão para o carimbo de data/hora UNIX.
event_data.type read_only_udm.security_result.category_details Mapeado diretamente do campo event_data.type.
ipAddress read_only_udm.principal.ip Mapeado diretamente do campo ipAddress após a extração do endereço IP usando o grok.
ipAddress read_only_udm.principal.asset.ip Mapeado diretamente do campo ipAddress após a extração do endereço IP usando o grok.
ipAddress read_only_udm.additional.fields.ipAddress Mapeado diretamente do campo ipAddress se ele não for um endereço IP válido.
json_action.0.policy_id read_only_udm.target.resource.attribute.labels.Policy Id 0 Mapeado diretamente do campo json_action.0.policy_id.
json_action.0.resource_name read_only_udm.target.resource.attribute.labels.Resource Name 0 Mapeado diretamente do campo json_action.0.resource_name.
json_action.1.policy_id read_only_udm.target.resource.attribute.labels.Policy Id 1 Mapeado diretamente do campo json_action.1.policy_id.
json_action.1.resource_name read_only_udm.target.resource.attribute.labels.Resource Name 1 Mapeado diretamente do campo json_action.1.resource_name.
policy.policyId read_only_udm.security_result.rule_id Mapeado diretamente do campo policy.policyId.
policy.policyType read_only_udm.security_result.rule_type Mapeado diretamente do campo policy.policyType.
policy.recommendation read_only_udm.metadata.description Mapeado diretamente do campo policy.recommendation.
policy.severity read_only_udm.security_result.severity Mapeado do campo policy.severity. Se o valor for "info", ele será definido como "INFORMATIONAL".
policyName read_only_udm.metadata.description Mapeado diretamente do campo policyName.
reason read_only_udm.metadata.product_event_type Mapeado diretamente do campo reason.
resource.accountId read_only_udm.target.resource.product_object_id Mapeado diretamente do campo resource.accountId.
resource.cloudServiceName read_only_udm.target.resource.attribute.labels.cloudServiceName Mapeado diretamente do campo resource.cloudServiceName.
resource.data.architecture read_only_udm.principal.asset.hardware.cpu_platform Mapeado diretamente do campo resource.data.architecture.
resource.data.cpuPlatform read_only_udm.additional.fields.CPU Platform Mapeado diretamente do campo resource.data.cpuPlatform.
resource.data.labelFingerprint read_only_udm.security_result.detection_fields.labelFingerprint Mapeado diretamente do campo resource.data.labelFingerprint.
resource.data.metadata.items.key read_only_udm.additional.fields.key Mapeado diretamente do campo resource.data.metadata.items.key.
resource.data.metadata.items.value read_only_udm.additional.fields.value.string_value Mapeado diretamente do campo resource.data.metadata.items.value.
resource.data.networkInterfaces.0.accessConfigs.0.natIP read_only_udm.target.nat_ip Mapeado diretamente do campo resource.data.networkInterfaces.0.accessConfigs.0.natIP.
resource.data.networkInterfaces.0.networkIP read_only_udm.target.ip Mapeado diretamente do campo resource.data.networkInterfaces.0.networkIP.
resource.data.networkInterfaces.0.networkIP read_only_udm.target.asset.ip Mapeado diretamente do campo resource.data.networkInterfaces.0.networkIP.
resource.data.physicalBlockSizeBytes read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes Mapeado diretamente do campo resource.data.physicalBlockSizeBytes após a conversão em string.
resource.data.selfLink read_only_udm.about.url Mapeado diretamente do campo resource.data.selfLink.
resource.data.serviceAccounts.0.email read_only_udm.principal.user.email_addresses Mapeado diretamente do campo resource.data.serviceAccounts.0.email.
resource.data.serviceAccounts.0.email read_only_udm.principal.user.attribute.roles.type Se resource.data.serviceAccounts.0.email contiver "serviceaccount", o valor será definido como "SERVICE_ACCOUNT".
resource.data.sizeGb read_only_udm.principal.resource.attribute.labels.sizeGb Mapeado diretamente do campo resource.data.sizeGb.
resource.data.sourceImage read_only_udm.principal.resource.attribute.labels.sourceImage Mapeado diretamente do campo resource.data.sourceImage.
resource.name read_only_udm.target.resource.name Mapeado diretamente do campo resource.name.
resource.regionId read_only_udm.target.location.country_or_region Mapeado diretamente de "resource

Alterações

2024-03-28

  • Quando "ipAddress" não é um endereço IP válido, "ipAddress" é mapeado para "additional.fields".
  • Quando "user" é um endereço de e-mail válido, "user" é mapeado para "target.user.email_addresses".
  • Quando "user" não é um endereço de e-mail válido, "user" é mapeado para "target.user.userid".
  • Os campos "policy_id" e "resource_name" no campo "action" foram mapeados para "target.resource.attribute.labels".

2024-02-21

  • A verificação "on_error" foi adicionada ao bloco "date".
  • "alertRules" foi associado a "sec_result.detection_fields".
  • "policy.policyId" foi associado a "sec_result.rule_id".
  • "policy.policyType" foi associado a "sec_result.rule_type".
  • "policy.severity" foi mapeado para "sec_result.severity".
  • "policy.recommendation" foi associado a "metadata.description".
  • "resource.data.architecture" foi mapeado para "principal.asset.hardware.cpu_platform".
  • Mapeamos "resource.name" para "target.resource.name".
  • "resource.accountId" foi associado a "target.resource.product_object_id".
  • "resource.regionId" foi associado a "target.location.country_or_region".
  • "resource.cloudServiceName" foi associado a "target.resource.attribute.labels".
  • "resource.resourceApiName" foi associado a "target.resource.attribute.labels".
  • "alertrule.createdBy" foi associado a "principal.user.email_addresses".
  • "resource.unifiedAssetId" foi mapeado para "principal.asset.asset_id".
  • "resource.data.selfLink" foi associado a "about.url".
  • "resource.data.sourceImage" foi mapeado para "principal.resource.attribute.labels".
  • "resource.data.sizeGb" foi mapeado para "principal.resource.attribute.labels".
  • "resource.data.physicalBlockSizeBytes" foi mapeado para "principal.resource.attribute.labels".
  • "resource.data.labelFingerprint" foi mapeado para "sec_result.detection_fields".
  • Quando "reason" for "NEW_ALERT", defina "metadata.event_type" como "USER_RESOURCE_CREATION".

2024-02-13

  • Adição de suporte a novos registros de clientes.

2022-08-09

  • Foi adicionada uma verificação de conversão condicional para o campo "carimbo de data/hora".
  • O seguinte mapeamento foi adicionado quando o valor do campo "resourceType" é "Login":
  • O campo "ipAddress" é mapeado para "principal.ip".
  • O campo "user" é mapeado para "target.user.email_addresses".
  • O campo "result" é mapeado para "security_result.action_details".