收集 Palo Alto Prisma Cloud 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何通过设置 Google 安全运营 Feed 来收集 Palo Alto Prisma Cloud 日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心。
提取标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 PAN_PRISMA_CLOUD 注入标签的解析器。
配置 Palo Alto Prisma Cloud
- 使用管理员账号登录 Palo Alto Prisma Cloud 控制台。
- 在设置菜单中,点击访问密钥。
- 点击添加新建,然后输入名称。
点击创建。系统会显示 Access Key ID 和 Secret Key 值。
保存访问密钥 ID 和密钥值。在配置 Google Security Operations Feed 时,您需要使用这些值。
配置 Google Security Operations Feed 以提取 Palo Alto Prisma Cloud 日志
- 依次前往 SIEM 设置 > Feed。
- 点击 Add New(新增)。
- 在字段名称中输入一个具有唯一性的名称。
- 选择第三方 API 作为来源类型。
- 选择 Palo Alto Prisma Cloud 作为日志类型。
- 点击下一步。
- 配置以下必需的输入参数:
- 用户名:指定您之前获得的访问密钥 ID。
- 密码:指定您之前获取的 Secret 密钥。
- API 主机名:指定 API 主机名。
- 点击下一步,然后点击提交。
如需详细了解 Google Security Operations Feed,请参阅 Google Security Operations Feed 文档。 如需了解每种 Feed 类型的要求,请参阅按类型配置 Feed。
如果您在创建 Feed 时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考文档
此解析器代码会从 JSON 格式的 PAN PRISMA CLOUD 日志中提取字段,执行数据转换和映射,以将数据结构化为 Chronicle UDM 架构。它可处理各种日志消息结构(包括嵌套对象和数组),以标准化各种安全事件和背景信息,以便在 Chronicle 中进行分析。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| accountName | read_only_udm.target.resource.attribute.cloud.project.id | 直接从 accountName 字段映射。 |
| accountId | read_only_udm.target.hostname | 直接从 accountId 字段映射。 |
| accountId | read_only_udm.target.asset.hostname | 直接从 accountId 字段映射。 |
| accountId | read_only_udm.principal.cloud.project.id | 直接从 aggregatedAlerts 数组中的 accountId 字段映射。 |
| 操作 | read_only_udm.security_result.description | 移除 JSON 部分后,直接从 action 字段映射。 |
| alertId | read_only_udm.metadata.product_log_id | 直接从 alertId 字段映射。 |
| alertRules.0.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_0 | 直接从 alertRules.0.allowAutoRemediate 字段映射。 |
| alertRules.0.enabled | read_only_udm.security_result.detection_fields.enabled_0 | 直接从 alertRules.0.enabled 字段映射。 |
| alertRules.0.name | read_only_udm.security_result.detection_fields.name_0 | 直接从 alertRules.0.name 字段映射。 |
| alertRules.0.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_0 | 直接从 alertRules.0.notifyOnDismissed 字段映射。 |
| alertRules.0.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_0 | 直接从 alertRules.0.notifyOnOpen 字段映射。 |
| alertRules.0.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_0 | 直接从 alertRules.0.notifyOnResolved 字段映射。 |
| alertRules.0.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 | 直接从 alertRules.0.notifyOnSnoozed 字段映射。 |
| alertRules.0.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_0 | 直接从 alertRules.0.policyScanConfigId 字段映射。 |
| alertRules.0.scanAll | read_only_udm.security_result.detection_fields.scanAll_0 | 直接从 alertRules.0.scanAll 字段映射。 |
| alertRules.1.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_1 | 直接从 alertRules.1.allowAutoRemediate 字段映射。 |
| alertRules.1.createdBy | read_only_udm.principal.user.email_addresses | 直接从 alertRules.1.createdBy 字段映射。 |
| alertRules.1.enabled | read_only_udm.security_result.detection_fields.enabled_1 | 直接从 alertRules.1.enabled 字段映射。 |
| alertRules.1.name | read_only_udm.security_result.detection_fields.name_1 | 直接从 alertRules.1.name 字段映射。 |
| alertRules.1.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_1 | 直接从 alertRules.1.notifyOnDismissed 字段映射。 |
| alertRules.1.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_1 | 直接从 alertRules.1.notifyOnOpen 字段映射。 |
| alertRules.1.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_1 | 直接从 alertRules.1.notifyOnResolved 字段映射。 |
| alertRules.1.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 | 直接从 alertRules.1.notifyOnSnoozed 字段映射。 |
| alertRules.1.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_1 | 直接从 alertRules.1.policyScanConfigId 字段映射。 |
| alertRules.1.scanAll | read_only_udm.security_result.detection_fields.scanAll_1 | 直接从 alertRules.1.scanAll 字段映射。 |
| alertRules.2.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_2 | 直接从 alertRules.2.allowAutoRemediate 字段映射。 |
| alertRules.2.createdBy | read_only_udm.principal.user.email_addresses | 直接从 alertRules.2.createdBy 字段映射。 |
| alertRules.2.enabled | read_only_udm.security_result.detection_fields.enabled_2 | 直接从 alertRules.2.enabled 字段映射。 |
| alertRules.2.name | read_only_udm.security_result.detection_fields.name_2 | 直接从 alertRules.2.name 字段映射。 |
| alertRules.2.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_2 | 直接从 alertRules.2.notifyOnDismissed 字段映射。 |
| alertRules.2.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_2 | 直接从 alertRules.2.notifyOnOpen 字段映射。 |
| alertRules.2.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_2 | 直接从 alertRules.2.notifyOnResolved 字段映射。 |
| alertRules.2.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 | 直接从 alertRules.2.notifyOnSnoozed 字段映射。 |
| alertRules.2.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_2 | 直接从 alertRules.2.policyScanConfigId 字段映射。 |
| alertRules.2.scanAll | read_only_udm.security_result.detection_fields.scanAll_2 | 直接从 alertRules.2.scanAll 字段映射。 |
| alertRuleId | read_only_udm.security_result.rule_id | 直接从 alertRuleId 字段映射。 |
| alertRuleName | read_only_udm.security_result.rule_name | 直接从 alertRuleName 字段映射。 |
| alertStatus | read_only_udm.security_result.detection_fields.event 消息 alertStatus | 直接从 event_data.msg_data 对象中的 alertStatus 字段映射。 |
| alertTs | read_only_udm.metadata.event_timestamp.seconds | 转换为 UNIX 时间戳后,直接从 alertTs 字段映射。 |
| alertTs | read_only_udm.metadata.event_timestamp.nanos | 转换为 UNIX 时间戳后,直接从 alertTs 字段映射。 |
| callbackUrl | read_only_udm.metadata.url_back_to_product | 直接从 callbackUrl 字段映射。 |
| cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | 直接从 cloudServiceName 字段映射。 |
| cloudType | read_only_udm.target.resource.attribute.cloud.environment | 从 cloudType 字段映射而来。如果 cloudType 为“gcp”,则值设为“GOOGLE_CLOUD_PLATFORM”。如果 cloudType 为“aws”,则将值设置为“AMAZON_WEB_SERVICES”。 |
| complianceMetadata.0.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.0.requirementId 字段映射。 |
| complianceMetadata.0.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.0.requirementName 字段映射。 |
| complianceMetadata.0.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.0.standardName 字段映射。 |
| complianceMetadata.1.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.1.requirementId 字段映射。 |
| complianceMetadata.1.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.1.requirementName 字段映射。 |
| complianceMetadata.1.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.1.standardName 字段映射。 |
| complianceMetadata.2.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.2.requirementId 字段映射。 |
| complianceMetadata.2.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.2.requirementName 字段映射。 |
| complianceMetadata.2.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.2.standardName 字段映射。 |
| complianceMetadata.3.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.3.requirementId 字段映射。 |
| complianceMetadata.3.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.3.requirementName 字段映射。 |
| complianceMetadata.3.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.3.standardName 字段映射。 |
| complianceMetadata.4.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.4.requirementId 字段映射。 |
| complianceMetadata.4.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.4.requirementName 字段映射。 |
| complianceMetadata.4.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.4.standardName 字段映射。 |
| event_data.app | read_only_udm.target.application | 直接从 event_data.app 字段映射。 |
| event_data.msg_data.account.cloudType | read_only_udm.target.resource.attribute.cloud.environment | 从 event_data.msg_data.account.cloudType 字段映射而来。如果值为“aws”,则将其设置为“AMAZON_WEB_SERVICES”。 |
| event_data.msg_data.account.id | read_only_udm.target.cloud.project.id | 直接从 event_data.msg_data.account.id 字段映射。 |
| event_data.msg_data.account.name | read_only_udm.target.cloud.project.name | 直接从 event_data.msg_data.account.name 字段映射。 |
| event_data.msg_data.accountIDs | read_only_udm.principal.resource.attribute.labels.event 消息 accountId {index} | 直接从 event_data.msg_data.accountIDs 数组映射。 |
| event_data.msg_data.aggregatedAlerts.0.category | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.aggregatedAlerts.0.category 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.command | read_only_udm.principal.process.command_line | 直接从 event_data.msg_data.aggregatedAlerts.0.command 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | 直接从 event_data.msg_data.aggregatedAlerts.0.collections 数组映射。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description | read_only_udm.security_result.description | 直接从 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity | read_only_udm.security_result.severity | 转换为大写后,直接从 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title | read_only_udm.security_result.action_details | 直接从 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.container | read_only_udm.target.resource.name | 直接从 event_data.msg_data.aggregatedAlerts.0.container 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.containerID | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.aggregatedAlerts.0.containerID 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.fqdn | read_only_udm.principal.domain.name | 直接从 event_data.msg_data.aggregatedAlerts.0.fqdn 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.hostname | 直接从 event_data.msg_data.aggregatedAlerts.0.host 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.asset.hostname | 直接从 event_data.msg_data.aggregatedAlerts.0.host 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.image | read_only_udm.target.resource.attribute.labels.image | 直接从 event_data.msg_data.aggregatedAlerts.0.image 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.imageID | read_only_udm.target.resource.attribute.labels.imageID | 直接从 event_data.msg_data.aggregatedAlerts.0.imageID 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.labels.controller-uid | read_only_udm.target.user.product_object_id | 直接从 event_data.msg_data.aggregatedAlerts.0.labels.controller-uid 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | 直接从 event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.msg_data | read_only_udm.security_result.description | 直接从 event_data.msg_data.aggregatedAlerts.0.msg_data 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.rule | read_only_udm.security_result.rule_name | 直接从 event_data.msg_data.aggregatedAlerts.0.rule 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.startupProcess | read_only_udm.principal.application | 直接从 event_data.msg_data.aggregatedAlerts.0.startupProcess 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.seconds | 转换为 UNIX 时间戳后,直接从 event_data.msg_data.aggregatedAlerts.0.time 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.nanos | 转换为 UNIX 时间戳后,直接从 event_data.msg_data.aggregatedAlerts.0.time 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.type | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.aggregatedAlerts.0.type 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.user | read_only_udm.principal.user.userid | 直接从 event_data.msg_data.aggregatedAlerts.0.user 字段映射。 |
| event_data.msg_data.alertId | read_only_udm.security_result.detection_fields.event message alertId | 直接从 event_data.msg_data.alertId 字段映射。 |
| event_data.msg_data.alertRuleId | read_only_udm.security_result.rule_id | 直接从 event_data.msg_data.alertRuleId 字段映射。 |
| event_data.msg_data.alertRuleName | read_only_udm.security_result.rule_name | 直接从 event_data.msg_data.alertRuleName 字段映射。 |
| event_data.msg_data.alertStatus | read_only_udm.security_result.detection_fields.event 消息 alertStatus | 直接从 event_data.msg_data.alertStatus 字段映射。 |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.seconds | 转换为 UNIX 时间戳后,直接从 event_data.msg_data.alertTs 字段映射。 |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.nanos | 转换为 UNIX 时间戳后,直接从 event_data.msg_data.alertTs 字段映射。 |
| event_data.msg_data.category | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.category 字段映射。 |
| event_data.msg_data.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | 直接从 event_data.msg_data.collections 数组映射。 |
| event_data.msg_data.command | read_only_udm.principal.process.command_line | 直接从 event_data.msg_data.command 字段映射。 |
| event_data.msg_data.complianceIssues.0.category | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.complianceIssues.0.category 字段映射。 |
| event_data.msg_data.complianceIssues.0.description | read_only_udm.security_result.description | 直接从 event_data.msg_data.complianceIssues.0.description 字段映射。 |
| event_data.msg_data.complianceIssues.0.severity | read_only_udm.security_result.severity | 转换为大写后,直接从 event_data.msg_data.complianceIssues.0.severity 字段映射。 |
| event_data.msg_data.complianceIssues.0.title | read_only_udm.security_result.action_details | 直接从 event_data.msg_data.complianceIssues.0.title 字段映射。 |
| event_data.msg_data.container | read_only_udm.target.resource.name | 直接从 event_data.msg_data.container 字段映射。 |
| event_data.msg_data.containerID | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.containerID 字段映射。 |
| event_data.msg_data.dropped | read_only_udm.security_result.detection_fields.dropped | 转换为字符串后,直接从 event_data.msg_data.dropped 字段映射。 |
| event_data.msg_data.fqdn | read_only_udm.principal.domain.name | 直接从 event_data.msg_data.fqdn 字段映射。 |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.seconds | 转换为 UNIX 时间戳后,直接从 event_data.msg_data.firstSeen 字段映射。 |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.nanos | 转换为 UNIX 时间戳后,直接从 event_data.msg_data.firstSeen 字段映射。 |
| event_data.msg_data.host | read_only_udm.principal.hostname | 直接从 event_data.msg_data.host 字段映射。 |
| event_data.msg_data.host | read_only_udm.principal.asset.hostname | 直接从 event_data.msg_data.host 字段映射。 |
| event_data.msg_data.image | read_only_udm.target.resource.attribute.labels.image | 直接从 event_data.msg_data.image 字段映射。 |
| event_data.msg_data.imageID | read_only_udm.target.resource.attribute.labels.imageID | 直接从 event_data.msg_data.imageID 字段映射。 |
| event_data.msg_data.labels.controller-uid | read_only_udm.target.user.product_object_id | 直接从 event_data.msg_data.labels.controller-uid 字段映射。 |
| event_data.msg_data.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | 直接从 event_data.msg_data.labels.io.kubernetes.pod.name 字段映射。 |
| event_data.msg_data.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.labels.io.kubernetes.pod.uid 字段映射。 |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.seconds | 转换为 UNIX 时间戳后,直接从 event_data.msg_data.lastSeen 字段映射。 |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.nanos | 转换为 UNIX 时间戳后,直接从 event_data.msg_data.lastSeen 字段映射。 |
| event_data.msg_data.metadata.cveCritical | read_only_udm.security_result.detection_fields.event_data 元数据 cveCritical | 直接从 event_data.msg_data.metadata.cveCritical 字段映射。 |
| event_data.msg_data.metadata.cveHigh | read_only_udm.security_result.detection_fields.event_data 元数据 cveHigh | 直接从 event_data.msg_data.metadata.cveHigh 字段映射。 |
| event_data.msg_data.metadata.cveLow | read_only_udm.security_result.detection_fields.event_data 元数据 cveLow | 直接从 event_data.msg_data.metadata.cveLow 字段映射。 |
| event_data.msg_data.metadata.cveMedium | read_only_udm.security_result.detection_fields.event_data 元数据 cveMedium | 直接从 event_data.msg_data.metadata.cveMedium 字段映射。 |
| event_data.msg_data.metadata.source | read_only_udm.principal.hostname | 直接从 event_data.msg_data.metadata.source 字段映射。 |
| event_data.msg_data.metadata.source | read_only_udm.principal.asset.hostname | 直接从 event_data.msg_data.metadata.source 字段映射。 |
| event_data.msg_data.msg_data | read_only_udm.security_result.description | 直接从 event_data.msg_data.msg_data 字段映射。 |
| event_data.msg_data.policy.description | read_only_udm.security_result.description | 直接从 event_data.msg_data.policy.description 字段映射。 |
| event_data.msg_data.policy.id | read_only_udm.security_result.detection_fields.policy_id | 直接从 event_data.msg_data.policy.id 字段映射。 |
| event_data.msg_data.policy.name | read_only_udm.security_result.summary | 直接从 event_data.msg_data.policy.name 字段映射。 |
| event_data.msg_data.policy.policyTs | read_only_udm.additional.fields.policy_ts | 直接从 event_data.msg_data.policy.policyTs 字段映射。 |
| event_data.msg_data.policy.policyType | read_only_udm.security_result.threat_name | 直接从 event_data.msg_data.policy.policyType 字段映射。 |
| event_data.msg_data.policy.recommendation | read_only_udm.security_result.action_details | 直接从 event_data.msg_data.policy.recommendation 字段映射。 |
| event_data.msg_data.policy.severity | read_only_udm.security_result.severity | 转换为大写后,直接从 event_data.msg_data.policy.severity 字段映射。 |
| event_data.msg_data.reason | read_only_udm.security_result.detection_fields.event message reason | 直接从 event_data.msg_data.reason 字段映射。 |
| event_data.msg_data.region | read_only_udm.target.cloud.availability_zone | 直接从 event_data.msg_data.region 字段映射。 |
| event_data.msg_data.resource.resourceId | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.resource.resourceId 字段映射。 |
| event_data.msg_data.resource.resourceName | read_only_udm.target.resource.name | 直接从 event_data.msg_data.resource.resourceName 字段映射。 |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.seconds | 转换为 UNIX 时间戳后,直接从 event_data.msg_data.resource.resourceTs 字段映射。 |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.nanos | 转换为 UNIX 时间戳后,直接从 event_data.msg_data.resource.resourceTs 字段映射。 |
| event_data.msg_data.rule | read_only_udm.security_result.rule_name | 直接从 event_data.msg_data.rule 字段映射。 |
| event_data.msg_data.service | read_only_udm.security_result.detection_fields.event 消息服务 | 直接从 event_data.msg_data.service 字段映射。 |
| event_data.msg_data.startupProcess | read_only_udm.principal.application | 直接从 event_data.msg_data.startupProcess 字段映射。 |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.seconds | 转换为 UNIX 时间戳后,直接从 event_data.msg_data.time 字段映射。 |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.nanos | 转换为 UNIX 时间戳后,直接从 event_data.msg_data.time 字段映射。 |
| event_data.msg_data.type | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.type 字段映射。 |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.seconds | 转换为 UNIX 时间戳后,直接从 event_data.sentTs 字段映射。 |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.nanos | 转换为 UNIX 时间戳后,直接从 event_data.sentTs 字段映射。 |
| event_data.type | read_only_udm.security_result.category_details | 直接从 event_data.type 字段映射。 |
| ipAddress | read_only_udm.principal.ip | 使用 grok 提取 IP 地址后,直接从 ipAddress 字段映射。 |
| ipAddress | read_only_udm.principal.asset.ip | 使用 grok 提取 IP 地址后,直接从 ipAddress 字段映射。 |
| ipAddress | read_only_udm.additional.fields.ipAddress | 如果 ipAddress 字段不是有效的 IP 地址,则直接从该字段映射。 |
| json_action.0.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 0 | 直接从 json_action.0.policy_id 字段映射。 |
| json_action.0.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 0 | 直接从 json_action.0.resource_name 字段映射。 |
| json_action.1.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 1 | 直接从 json_action.1.policy_id 字段映射。 |
| json_action.1.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 1 | 直接从 json_action.1.resource_name 字段映射。 |
| policy.policyId | read_only_udm.security_result.rule_id | 直接从 policy.policyId 字段映射。 |
| policy.policyType | read_only_udm.security_result.rule_type | 直接从 policy.policyType 字段映射。 |
| policy.recommendation | read_only_udm.metadata.description | 直接从 policy.recommendation 字段映射。 |
| policy.severity | read_only_udm.security_result.severity | 从 policy.severity 字段映射而来。如果值为“info”,则将其设置为“INFORMATIONAL”。 |
| policyName | read_only_udm.metadata.description | 直接从 policyName 字段映射。 |
| reason | read_only_udm.metadata.product_event_type | 直接从 reason 字段映射。 |
| resource.accountId | read_only_udm.target.resource.product_object_id | 直接从 resource.accountId 字段映射。 |
| resource.cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | 直接从 resource.cloudServiceName 字段映射。 |
| resource.data.architecture | read_only_udm.principal.asset.hardware.cpu_platform | 直接从 resource.data.architecture 字段映射。 |
| resource.data.cpuPlatform | read_only_udm.additional.fields.CPU Platform | 直接从 resource.data.cpuPlatform 字段映射。 |
| resource.data.labelFingerprint | read_only_udm.security_result.detection_fields.labelFingerprint | 直接从 resource.data.labelFingerprint 字段映射。 |
| resource.data.metadata.items.key | read_only_udm.additional.fields.key | 直接从 resource.data.metadata.items.key 字段映射。 |
| resource.data.metadata.items.value | read_only_udm.additional.fields.value.string_value | 直接从 resource.data.metadata.items.value 字段映射。 |
| resource.data.networkInterfaces.0.accessConfigs.0.natIP | read_only_udm.target.nat_ip | 直接从 resource.data.networkInterfaces.0.accessConfigs.0.natIP 字段映射。 |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.ip | 直接从 resource.data.networkInterfaces.0.networkIP 字段映射。 |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.asset.ip | 直接从 resource.data.networkInterfaces.0.networkIP 字段映射。 |
| resource.data.physicalBlockSizeBytes | read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes | 转换为字符串后,直接从 resource.data.physicalBlockSizeBytes 字段映射。 |
| resource.data.selfLink | read_only_udm.about.url | 直接从 resource.data.selfLink 字段映射。 |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.email_addresses | 直接从 resource.data.serviceAccounts.0.email 字段映射。 |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.attribute.roles.type | 如果 resource.data.serviceAccounts.0.email 包含“serviceaccount”,则将值设置为“SERVICE_ACCOUNT”。 |
| resource.data.sizeGb | read_only_udm.principal.resource.attribute.labels.sizeGb | 直接从 resource.data.sizeGb 字段映射。 |
| resource.data.sourceImage | read_only_udm.principal.resource.attribute.labels.sourceImage | 直接从 resource.data.sourceImage 字段映射。 |
| resource.name | read_only_udm.target.resource.name | 直接从 resource.name 字段映射。 |
| resource.regionId | read_only_udm.target.location.country_or_region | 直接从 `resource |
变化
2024-03-28
- 如果“ipAddress”不是有效的 IP 地址,则将“ipAddress”映射到“additional.fields”。
- 如果“user”是有效的电子邮件地址,则将“user”映射到“target.user.email_addresses”。
- 如果“user”不是有效的电子邮件地址,则将“user”映射到“target.user.userid”。
- 将“action”字段中的“policy_id”和“resource_name”字段映射到了“target.resource.attribute.labels”。
2024-02-21
- 为“date”块添加了“on_error”检查。
- 将“alertRules”映射到“sec_result.detection_fields”。
- 将“policy.policyId”映射到“sec_result.rule_id”。
- 将“policy.policyType”映射到“sec_result.rule_type”。
- 将“policy.severity”映射到“sec_result.severity”。
- 将“policy.recommendation”映射到“metadata.description”。
- 将“resource.data.architecture”映射到“principal.asset.hardware.cpu_platform”。
- 将“resource.name”映射到“target.resource.name”。
- 将“resource.accountId”映射到“target.resource.product_object_id”。
- 将“resource.regionId”映射到“target.location.country_or_region”。
- 将“resource.cloudServiceName”映射到“target.resource.attribute.labels”。
- 将“resource.resourceApiName”映射到“target.resource.attribute.labels”。
- 将“alertrule.createdBy”映射到“principal.user.email_addresses”。
- 将“resource.unifiedAssetId”映射到“principal.asset.asset_id”。
- 将“resource.data.selfLink”映射到“about.url”。
- 将“resource.data.sourceImage”映射到“principal.resource.attribute.labels”。
- 将“resource.data.sizeGb”映射到“principal.resource.attribute.labels”。
- 将“resource.data.physicalBlockSizeBytes”映射到“principal.resource.attribute.labels”。
- 将“resource.data.labelFingerprint”映射到“sec_result.detection_fields”。
- 当“reason”为“NEW_ALERT”时,请将“metadata.event_type”设置为“USER_RESOURCE_CREATION”。
2024-02-13
- 新增了对新客户日志的支持。
2022-08-09
- 为“timestamp”字段添加了基于条件的转化检查。
- 添加了以下映射,用于在“resourceType”字段的值为“Login”时:
- “ipAddress”字段会映射到“principal.ip”。
- “user”字段映射到“target.user.email_addresses”。
- 字段“result”会映射到“security_result.action_details”。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。