Recopilar registros de Salesforce

Disponible en:

Información general

Este analizador gestiona los registros de Salesforce en los formatos LEEF, CSV y JSON. Extrae campos, realiza un procesamiento específico del formato (gestiona pares de clave-valor LEEF, columnas CSV y estructuras JSON), los asigna al UDM y enriquece los datos con metadatos y campos derivados. El analizador también gestiona varios tipos de eventos de Salesforce, aplica una lógica específica para los inicios y cierres de sesión, así como para otras acciones, categoriza los eventos y define los tipos de eventos de UDM adecuados.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Acceso privilegiado a AWS IAM, S3 y AppFlow.

Configurar un segmento de Amazon S3

  1. Crea un segmento de Amazon S3 siguiendo esta guía del usuario: Crear un segmento.
  2. Guarda el nombre y la región del contenedor para consultarlos más adelante.
  3. Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
  4. Selecciona el usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. En la sección Claves de acceso, haz clic en Crear clave de acceso.
  7. Selecciona Servicio de terceros como Caso práctico.
  8. Haz clic en Siguiente.
  9. Opcional: añade una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo .csv. Guarda Clave de acceso y Clave de acceso secreta para consultarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. En la sección Políticas de permisos, haz clic en Añadir permisos.
  15. Selecciona Añadir permisos.
  16. Seleccione Adjuntar políticas directamente.
  17. Busca la política AmazonS3FullAccess.
  18. Selecciona la política.
  19. Haz clic en Siguiente.
  20. Haz clic en Añadir permisos.

Configurar Amazon AppFlow

  1. Crea un flujo de Amazon AppFlow:
    • Nombre del flujo: añade un nombre al flujo y haz clic en Siguiente.
    • Fuente de datos: elija Salesforce como fuente de datos.
    • Crea una conexión.
    • Aparecerá una ventana de inicio de sesión de Salesforce. Inicia sesión con tus credenciales de Salesforce.
    • Selecciona el nombre del objeto (elige los datos que quieras transferir de Salesforce al contenedor de S3).
    • Seleccione Amazon S3 como destino de los datos.
    • Selecciona Programar como activador del flujo.
    • En Elegir campos de origen, puedes Asignar todos los campos directamente o especificar qué campos quieres asignar.
  2. Valida la configuración:
    • En Amazon AppFlow, selecciona el flujo que has creado y haz clic en Run flow (Ejecutar flujo) para obtener datos de Salesforce.
    • Los registros deberían estar ahora en tu segmento de S3.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduzca un nombre para el feed (por ejemplo, Registros de Salesforce).
  5. Selecciona Amazon S3 como Tipo de fuente.
  6. Seleccione Salesforce como Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifique los valores de los siguientes parámetros de entrada:

    • Región: la región en la que se encuentra el segmento de Amazon S3.
    • URI de S3: el URI del segmento. s3:/BUCKET_NAME Sustituye lo siguiente:
      • BUCKET_NAME: el nombre del segmento.
    • El URI es un: selecciona el tipo de URI según la configuración de la secuencia de S3: Single file | Directory | Directory which includes subdirectories.
    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.
    • ID de clave de acceso: la clave de acceso del usuario con acceso al segmento de S3.
    • Clave de acceso secreta: la clave secreta del usuario con acceso al segmento de S3.

  9. Haz clic en Siguiente.

  10. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
Account.Name target.resource.name El valor de Account.Name del registro sin procesar.
AccountId target.resource.id El valor de AccountId del registro sin procesar.
Action security_result.description El valor de Action del registro sin procesar.
AdditionalInfo - No está asignado al objeto IDM.
ApiType target.application El valor de ApiType del registro sin procesar.
ApiVersion - No está asignado al objeto IDM.
Application principal.application El valor de Application del registro sin procesar, "Browser" en el caso de LoginAsEvent, "Integration JWT Token" en el caso de LoginEvent, "SfdcSiqActivityPlatform" en el caso de LoginHistory con el tipo de objeto LoginHistory, "N/A" en el caso de ApiEvent o "Browser" en el caso de LoginAsEventStream.
attributes.url target.url El valor de attributes.url del registro sin procesar o URLs específicas de varios tipos de eventos del registro sin procesar.
attributes.type metadata.product_event_type El valor de attributes.type del registro sin procesar.
AuthSessionId network.session_id El valor de AuthSessionId del registro sin procesar.
Browser principal.resource.name El valor de Browser del registro sin procesar o "Unknown" si Browser no está disponible en el registro sin procesar y Application es "Insights", o "Java (Salesforce.com)" en el caso de LoginHistory con ApiType como "SOAP Partner", o "Unknown" en el caso de LoginHistory con Application como "SfdcSiqActivityPlatform", o de data.properties.Browser.str en el caso de LoginAsEventStream.
Case.Subject target.resource.name El valor de Case.Subject del registro sin procesar.
CaseId target.resource.id El valor de CaseId del registro sin procesar.
cat metadata.product_event_type El valor de cat del registro sin procesar.
City principal.location.city El valor de City del registro sin procesar o de LoginGeo.City en el caso de LoginHistory.
Client principal.labels El valor de Client del registro sin procesar, con formato de etiqueta.
CLIENT_IP principal.ip, principal.asset.ip El valor de CLIENT_IP del registro sin procesar.
ClientVersion - No está asignado al objeto IDM.
CipherSuite network.tls.cipher El valor de CipherSuite del registro sin procesar.
ColumnHeaders principal.labels El valor de ColumnHeaders del registro sin procesar, con formato de etiqueta.
ConnectedAppId principal.labels El valor de ConnectedAppId del registro sin procesar, con formato de etiqueta.
Contact.Name target.resource.name El valor de Contact.Name del registro sin procesar.
ContactId target.resource.id El valor de ContactId del registro sin procesar.
Country principal.location.country_or_region El valor de Country del registro sin procesar o LoginGeo.Country para LoginHistory.
CreatedByContext principal.user.userid El valor de CreatedByContext del registro sin procesar.
CreatedById principal.resource.attribute.labels El valor de CreatedById del registro sin procesar, con formato de etiqueta.
CreatedDate metadata.collected_timestamp El valor de CreatedDate del registro sin procesar o la marca de tiempo actual si no está disponible.
CPU_TIME target.resource.attribute.labels El valor de CPU_TIME del registro sin procesar, con formato de etiqueta.
data - Contiene varios campos que se extraen y se asignan individualmente.
DATASET_IDS target.resource.name El valor de DATASET_IDS del registro sin procesar.
DelegatedOrganizationId target.administrative_domain El valor de DelegatedOrganizationId del registro sin procesar.
DelegatedUsername observer.user.userid El valor de DelegatedUsername del registro sin procesar.
Description metadata.description El valor de Description del registro sin procesar.
DevicePlatform principal.resource.type El valor de DevicePlatform del registro sin procesar, analizado para extraer el tipo de recurso.
Display metadata.description El valor de Display del registro sin procesar.
DOWNLOAD_FORMAT target.resource.attribute.labels El valor de DOWNLOAD_FORMAT del registro sin procesar, con formato de etiqueta.
Duration target.resource.attribute.labels El valor de Duration del registro sin procesar, con formato de etiqueta.
ENTITY_NAME target.resource.attribute.labels El valor de ENTITY_NAME del registro sin procesar, con formato de etiqueta.
ErrorCode security_result.action El valor de ErrorCode del registro sin procesar, transformado en ALLOW o BLOCK.
EventDate timestamp El valor de EventDate del registro sin procesar, data.properties.TIMESTAMP_DERIVED.str si está disponible, data.properties.TIMESTAMP_DERIVED_FIRST.str si está disponible, @timestamp si está disponible, created_date si está disponible, timestamp si está disponible o LoginTime para LoginHistory.
EventIdentifier metadata.product_log_id El valor de EventIdentifier del registro sin procesar.
EventType metadata.product_event_type El valor de EventType del registro sin procesar.
Id principal.user.userid El valor de Id del registro sin procesar o metadata.product_log_id en el caso de SetupAuditTrail y otros eventos.
IdentityUsed principal.user.email_addresses El valor de IdentityUsed del registro sin procesar.
Lead.Name target.resource.name El valor de Lead.Name del registro sin procesar.
LeadId target.resource.id El valor de LeadId del registro sin procesar.
LoginAsCategory - No está asignado al objeto IDM.
LoginGeo.Country principal.location.country_or_region El valor de LoginGeo.Country del registro sin procesar.
LoginHistoryId - No está asignado al objeto IDM.
LoginKey principal.user.userid, network.session_id El valor de LoginKey del registro sin procesar o CreatedByContext para SetupAuditTrail.
LoginTime timestamp El valor de LoginTime del registro sin procesar.
LoginType security_result.description El valor de LoginType del registro sin procesar, "Otra API de Apex" en el caso de LoginHistory con ApiType como "Partner de SOAP" o "Acceso remoto 2.0" en el caso de LoginHistory con Application como "SfdcSiqActivityPlatform".
LoginUrl target.url, principal.url El valor de LoginUrl del registro sin procesar.
LogFile principal.resource.attribute.labels El valor de LogFile del registro sin procesar, con formato de etiqueta.
LogFileContentType principal.resource.attribute.labels El valor de LogFileContentType del registro sin procesar, con formato de etiqueta.
LogFileLength principal.resource.attribute.labels El valor de LogFileLength del registro sin procesar, con formato de etiqueta.
Message - No está asignado al objeto IDM.
METHOD network.http.method El valor de METHOD del registro sin procesar.
Name target.application El valor de Name del registro sin procesar.
NewValue - Se usa junto con OldValue para generar security_result.summary.
NUMBER_FIELDS target.resource.attribute.labels El valor de NUMBER_FIELDS del registro sin procesar, con formato de etiqueta.
OldValue - Se usa junto con NewValue para generar security_result.summary.
Operation security_result.description, target.resource.attribute.labels El valor de Operation del registro sin procesar o Display para SetupAuditTrail.
OperationStatus security_result.action El valor de OperationStatus del registro sin procesar, transformado en ALLOW o BLOCK.
ORGANIZATION_ID target.administrative_domain El valor de ORGANIZATION_ID del registro sin procesar.
OsName principal.platform El valor de OsName del registro sin procesar.
OsVersion principal.platform_version El valor de OsVersion del registro sin procesar.
Platform principal.platform El valor de Platform del registro sin procesar, de data.properties.OsName.str para LightningUriEventStream o de data.properties.OsName.str para LoginEventStream.
QueriedEntities target.resource.name, principal.labels El valor de QueriedEntities del registro sin procesar o component_name para UriEvent y ApiEvent.
Query target.process.command_line, principal.labels El valor de Query del registro sin procesar.
RecordId target.resource.id El valor de RecordId del registro sin procesar.
Records principal.labels El valor de Records del registro sin procesar, con formato de etiqueta.
REQUEST_ID metadata.product_log_id, target.resource.product_object_id El valor de REQUEST_ID del registro sin procesar.
REQUEST_SIZE network.sent_bytes El valor de REQUEST_SIZE del registro sin procesar.
REQUEST_STATUS security_result.summary El valor de REQUEST_STATUS del registro sin procesar.
RESPONSE_SIZE network.received_bytes El valor de RESPONSE_SIZE del registro sin procesar.
RowsProcessed target.resource.attribute.labels El valor de RowsProcessed del registro sin procesar, con formato de etiqueta.
RUN_TIME target.resource.attribute.labels El valor de RUN_TIME del registro sin procesar, con formato de etiqueta.
SamlEntityUrl - No está asignado al objeto IDM.
SdkAppType - No está asignado al objeto IDM.
SdkAppVersion - No está asignado al objeto IDM.
SdkVersion - No está asignado al objeto IDM.
Section security_result.summary El valor de Section del registro sin procesar.
SessionKey network.session_id El valor de SessionKey del registro sin procesar.
SessionLevel target.resource.attribute.labels El valor de SessionLevel del registro sin procesar, con formato de etiqueta.
SourceIp principal.ip, principal.asset.ip El valor de SourceIp del registro sin procesar.
src principal.ip, principal.asset.ip El valor de src del registro sin procesar.
SsoType target.resource.attribute.labels El valor de SsoType del registro sin procesar, con formato de etiqueta.
STATUS_CODE network.http.response_code El valor de STATUS_CODE del registro sin procesar.
Status security_result.action, security_result.action_details El valor de Status del registro sin procesar, transformado en ALLOW o BLOCK, o usado como detalles de la acción de LoginEventStream.
Subject target.resource.name El valor de Subject del registro sin procesar.
TargetUrl - No está asignado al objeto IDM.
TIMESTAMP metadata.collected_timestamp El valor de TIMESTAMP del registro sin procesar.
TIMESTAMP_DERIVED timestamp El valor de TIMESTAMP_DERIVED del registro sin procesar.
TlsProtocol network.tls.version_protocol El valor de TlsProtocol del registro sin procesar.
URI target.url El valor de URI del registro sin procesar.
USER_AGENT network.http.user_agent El valor de USER_AGENT del registro sin procesar.
USER_ID principal.user.userid El valor de USER_ID del registro sin procesar.
USER_ID_DERIVED principal.user.product_object_id, target.resource.attribute.labels El valor de USER_ID_DERIVED del registro sin procesar.
UserId principal.user.userid El valor de UserId del registro sin procesar.
USER_TYPE target.resource.attribute.labels El valor de USER_TYPE del registro sin procesar, con formato de etiqueta.
Username principal.user.userid, principal.user.email_addresses, target.user.email_addresses El valor de Username del registro sin procesar, src_email para varios eventos, IdentityUsed para IdentityProviderEventStore, data.properties.Email.str para Search y SearchAlert, o data.properties.Username.str para LoginAsEventStream y LoginEventStream.
UserType target.resource.attribute.labels El valor de UserType del registro sin procesar, con formato de etiqueta.
usrName principal.user.userid, principal.user.email_addresses, target.user.email_addresses El valor de usrName del registro sin procesar.
VerificationMethod target.resource.attribute.labels El valor de VerificationMethod del registro sin procesar, con formato de etiqueta.
Lógica del analizador metadata.event_type Se deriva de los campos event_id y operation, o se asigna el valor "USER_LOGIN" a LoginEventStream, "USER_LOGOUT" a Logout y LogoutEvent, "USER_RESOURCE_UPDATE_CONTENT" a varios eventos, "USER_RESOURCE_UPDATE_PERMISSIONS" a PlatformEncryption, "RESOURCE_READ" a QueuedExecution, ApexExecution, LightningInteraction, LightningPerformance, LightningPageView, URI, RestApi, API, AuraRequest, ApexCallout, OneCommerceUsage, Sites, MetadataApiOperation, OneCommerceUsage, VisualforceRequest, Dashboard, Search y ListViewEvent, "RESOURCE_CREATION" a UriEvent y TimeBasedWorkflow con Operation como "Create" o "INSERT", "RESOURCE_WRITTEN" a UriEvent y LightningUriEvent con Operation como "Update", "RESOURCE_DELETION" a UriEvent con Operation como "Delete" o "ROLLBACK", "USER_UNCATEGORIZED" a SetupAuditTrail y AuditTrail, "USER_CHANGE_PASSWORD" a SetupAuditTrail con operation como "namedCredentialEncryptedFieldChange", "GENERIC_EVENT" a ApiEventStream y LightningUriEventStream, o en función de la presencia de la red y la entidad de seguridad.
Lógica del analizador metadata.ingestion_labels Etiquetas que indican la fuente del evento, ya sea "Archivo de registro de eventos", "Monitorización de eventos en tiempo real" o "SetupAuditTrail".
Lógica del analizador metadata.log_type Siempre se le asigna el valor "SALESFORCE".
Lógica del analizador metadata.product_name Siempre se le asigna el valor "SALESFORCE".
Lógica del analizador metadata.vendor_name Siempre se le asigna el valor "SALESFORCE".
Lógica del analizador metadata.url_back_to_product Se compone de varios campos, como LoginUrl, attributes.url, data.properties.PageUrl.str y data.properties.LoginUrl.str.
Lógica del analizador network.application_protocol Se define como "HTTPS" si el campo uri empieza por "http".
Lógica del analizador network.http.referral_url Se extrae del campo user_agent si contiene "Referer=".
Lógica del analizador network.http.response_code Derivado de request_status para varios eventos.
Lógica del analizador network.http.user_agent El valor de user_agent del registro sin procesar, de data.properties.UserAgent.str en el caso de ApiEventStream y LoginEventStream, de los eventos Sites o de "User-Agent" de los eventos Sites.
Lógica del analizador network.session_id El valor de session_key o SESSION_KEY del registro sin procesar, o bien se construye a partir de otros campos, como LoginKey o AuthSessionId.
Lógica del analizador network.tls.version El valor de tls_protocol del registro sin procesar o de data.properties.TlsProtocol.str en el caso de LoginEventStream.
Lógica del analizador principal.application El valor de application del registro sin procesar o "Salesforce para Outlook" en el caso de los eventos de inicio de sesión correcto, "Insights" en el caso de los eventos de inicio de sesión correcto sin aplicación o extraído de device_platform en el caso de los eventos de Lightning.
Lógica del analizador principal.asset.hostname El valor de client_ip si es un nombre de host.
Lógica del analizador principal.asset.ip El valor de client_ip, src_ip, SourceIp o CLIENT_IP si es una dirección IP.
Lógica del analizador principal.hostname El valor de client_ip si es un nombre de host.
Lógica del analizador principal.ip El valor de client_ip, src_ip, SourceIp o CLIENT_IP si es una dirección IP.
Lógica del analizador principal.labels Etiquetas creadas a partir de varios campos, como FederationIdentifier, ApiType, OrgId y channel.
Lógica del analizador principal.location.city El valor de geoip_src.city_name, City o LoginGeo.City del registro sin procesar.
Lógica del analizador principal.location.country_or_region El valor de geoip_src.country_name, Country, LoginGeo.Country o client_geo del registro sin procesar.
Lógica del analizador principal.location.region_latitude El valor de data.properties.LoginLatitude.number del registro sin procesar.
Lógica del analizador principal.location.region_longitude El valor de data.properties.LoginLongitude.number del registro sin procesar.
Lógica del analizador principal.location.state El valor de geoip_src.region_name del registro sin procesar.
Lógica del analizador principal.platform El valor de Platform, OsName o os_name del registro sin procesar, o "WINDOWS" para LoginEventStream con Platform que contenga "Windows".
Lógica del analizador principal.platform_version El valor de OsVersion o os_version del registro sin procesar, o extraído de Platform para LoginEventStream con Platform que contenga "Windows".
Lógica del analizador principal.resource.attribute.labels Etiquetas creadas a partir de varios campos, como CreatedById, ApiVersion, LogFile, LogFileContentType y LogFileLength.
Lógica del analizador principal.resource.name El valor de Browser o browser_name del registro sin procesar, o "Java (Salesforce.com)" para LoginHistory con ApiType como "Partner SOAP".
Lógica del analizador principal.resource.type Se extrae de device_platform para eventos de Lightning o "Browser" para LoginAsEvent y LoginAsEventStream.
Lógica del analizador principal.url El valor de LoginUrl del registro sin procesar.
Lógica del analizador principal.user.email_addresses El valor de usrName, Username, src_email, IdentityUsed, data.properties.Username.str o data.properties.Email.str del registro sin procesar.
Lógica del analizador principal.user.product_object_id El valor de attrs.USER_ID_DERIVED o data.properties.USER_ID_DERIVED.str del registro sin procesar.
Lógica del analizador principal.user.userid El valor de usrName, Username, user_id, UserId, USER_ID, Id, LoginKey, CreatedByContext, data.properties.Username.str, data.properties.USER_ID.str o data.properties.LoginKey.str del registro sin procesar.
Lógica del analizador security_result.action Derivado de Status, OperationStatus, ErrorCode, action o operation_status del registro sin procesar, transformado en ALLOW o BLOCK.
Lógica del analizador security_result.action_details El valor de Status del registro sin procesar de LoginEventStream.
Lógica del analizador security_result.description El valor de LoginType, logintype, Operation, Action o Display del registro sin procesar.
Lógica del analizador security_result.rule_name El valor de Policy o rule_name del registro sin procesar.
Lógica del analizador security_result.summary Se construye a partir de NewValue y OldValue, REQUEST_STATUS, Section o forecastcategory del registro sin procesar.
Lógica del analizador target.administrative_domain El valor de ORGANIZATION_ID, DelegatedOrganizationId, organization_id o data.properties.OrgName.str del registro sin procesar.
Lógica del analizador target.application El valor de Application, app_name, ApiType, Name o data.properties.Application.str del registro sin procesar.
Lógica del analizador target.asset.hostname El valor de target_hostname extraído del campo uri.
Lógica del analizador target.asset.ip El valor de data.properties.CLIENT_IP.str del registro sin procesar.
Lógica del analizador target.asset_id Se construye a partir de device_id o REQUEST_ID.
Lógica del analizador target.file.mime_type El valor de file_type del registro sin procesar.
Lógica del analizador target.file.size El valor de size_bytes del registro sin procesar.
Lógica del analizador target.hostname El valor de target_hostname extraído del campo uri.
Lógica del analizador target.process.command_line El valor de query_exec, Query o data.properties.Query.str del registro sin procesar.
Lógica del analizador target.process.pid El valor de job_id del registro sin procesar.
Lógica del analizador target.resource.attribute.labels Etiquetas creadas a partir de varios campos, como CPU_TIME, RUN_TIME, USER_TYPE, DB_TOTAL_TIME, MEDIA_TYPE, ROWS_PROCESSED, NUMBER_FIELDS, DB_BLOCKS, DB_CPU_TIME, ENTITY_NAME, EXCEPTION_MESSAGE, USER_ID_DERIVED, DOWNLOAD_FORMAT, USER_TYPE, CPU_TIME, RUN_TIME, WAVE_SESSION_ID, SessionLevel, verification_method, cpu_time, run_time, db_total_time, db_cpu_time, exec_time, callout_time, number_soql_queries, duration, user_type, entry_point, operation, session_level, rows_processed, sso_type, dashboard_type, Operation y SessionLevel.
Lógica del analizador target.resource.id El valor de REQUEST_ID, RecordId, caseid, leadid, contactid, opportunityid o accountid del registro sin procesar.
Lógica del analizador target.resource.name El valor de QueriedEntities, resource_name, component_name, DATASET_IDS, field, StageName o Subject del registro sin procesar.
Lógica del analizador target.resource.product_object_id El valor de REQUEST_ID del registro sin procesar.
Lógica del analizador target.resource.resource_type Se asigna el valor "ACCESS_POLICY" a ApexCallout y PlatformEncryption, "DATABASE" a ApexTrigger, "FILE" a ContentTransfer o "TABLE" a ApiEvent.
Lógica del analizador target.resource.type Se asigna el valor "BATCH" a QueuedExecution y ApexExecution, "FILE" a ContentTransfer, "DATABASE_TRIGGER" a ApexTrigger o "Case", "Lead", "Contact", "Opportunity" o "Account" en función de la presencia de los campos de ID correspondientes.
Lógica del analizador target.url El valor de LoginUrl, URI, attributes.url, login_url o uri del registro sin procesar.
Lógica del analizador target.user.email_addresses El valor de Username, attrs.usrName o email_address del registro sin procesar.
Lógica del analizador target.user.user_display_name El valor de target_user_display_name, user_name o username del registro sin procesar.
Lógica del analizador target.user.userid El valor de target_user_name, data.properties.UserId.str o data.properties.CreatedById.str del registro sin procesar.
Lógica del analizador extensions.auth.auth_details Se asigna el valor "ACTIVE" si Status no es "Success". De lo contrario, se asigna el valor "UNKNOWN_AUTHENTICATION_STATUS".
Lógica del analizador extensions.auth.mechanism Se asigna el valor "REMOTE" a los eventos Login: Success y Login con logintype que contengan "Remote", "USERNAME_PASSWORD" a LoginEventStream, "MECHANISM_OTHER" a los eventos con login_url y "AUTHTYPE_UNSPECIFIED" a los eventos Login: Success y Logout.
Lógica del analizador extensions.auth.type Asigna el valor "SSO" a Login, Logout, LogoutEvent, LoginAs, IdentityProviderEventStore, LoginHistory y LoginAsEvent con LoginType como "SAML Sfdc Initiated SSO" o "AUTHTYPE_UNSPECIFIED" a Login: Success, Logout y LoginAsEvent con LoginType como "Application".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.