Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Salesforce

Compatível com:

Google secops SIEM

Vista geral

Este analisador processa registos do Salesforce nos formatos LEEF, CSV e JSON. Extrai campos, realiza o processamento específico do formato (processamento de pares de chave/valor LEEF, colunas CSV e estruturas JSON), mapeia-os para o UDM e enriquece os dados com metadados e campos derivados. O analisador também processa vários tipos de eventos do Salesforce, aplicando uma lógica específica para inícios de sessão, fins de sessão e outras ações, categorizando eventos e definindo tipos de eventos do UDM adequados.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps.
Acesso privilegiado ao AWS IAM, S3 e AppFlow.

Configure o contentor do Amazon S3

Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
Guarde o Nome e a Região do contentor para referência futura.
Crie um utilizador seguindo este guia do utilizador: criar um utilizador do IAM.
Selecione o utilizador criado.
Selecione o separador Credenciais de segurança.
Clique em Criar chave de acesso na secção Chaves de acesso.
Selecione Serviço de terceiros como o Exemplo de utilização.
Clicar em Seguinte.
Opcional: adicione uma etiqueta de descrição.
Clique em Criar chave de acesso.
Clique em Transferir ficheiro .csv. (Guarde a chave de acesso e a chave de acesso secreta para referência futura).
Clique em Concluído.
Selecione o separador Autorizações.
Clique em Adicionar autorizações na secção Políticas de autorizações.
Selecione Adicionar autorizações.
Selecione Anexar políticas diretamente.
Pesquise a política AmazonS3FullAccess.
Selecione a política.
Clicar em Seguinte.
Clique em Adicionar autorizações.

Configure o Amazon AppFlow

Crie um fluxo do Amazon AppFlow:
- Nome do fluxo: adicione um nome do fluxo e clique em Seguinte.
- Origem de dados: escolha Salesforce como origem de dados.
- Crie uma nova associação.
- É apresentada uma janela de início de sessão do Salesforce. Inicie sessão com as suas credenciais do Salesforce.
- Selecione o nome do objeto (escolha os dados que quer transferir do Salesforce para o contentor do S3).
- Selecione Amazon S3 como o destino dos dados.
- Selecione Agendar como acionador do fluxo.
- Em Escolher campos de origem, pode mapear todos os campos diretamente ou especificar os campos a mapear.
Valide a configuração:
- No Amazon AppFlow, selecione o fluxo que criou e clique em Run flow (Executar fluxo) para obter dados do Salesforce.
- Os registos devem estar agora no seu contentor do S3.

Configure feeds

Para configurar um feed, siga estes passos:

Aceda a Definições do SIEM > Feeds.
Clique em Adicionar novo feed.
Na página seguinte, clique em Configurar um único feed.
No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do Salesforce.
Selecione Amazon S3 V2 como o Tipo de origem.
Selecione Salesforce como o Tipo de registo.
Clicar em Seguinte.
Especifique valores para os seguintes parâmetros de entrada:
- URI do S3: o URI do contentor. s3:/BUCKET_NAME Substitua o seguinte:
  - BUCKET_NAME: o nome do segmento.
- Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
Nota: se selecionar a opção Delete transferred files ou Delete transferred files and empty directories, certifique-se de que concedeu as autorizações adequadas à conta de serviço. * Idade máxima do ficheiro: inclui ficheiros modificados no último número de dias. A predefinição é 180 dias. * ID da chave de acesso: a chave de acesso do utilizador com acesso ao contentor do S3. * Chave de acesso secreta: a chave secreta do utilizador com acesso ao contentor do S3.
Clicar em Seguinte.
Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`Account.Name`	`target.resource.name`	O valor de `Account.Name` do registo não processado.
`AccountId`	`target.resource.id`	O valor de `AccountId` do registo não processado.
`Action`	`security_result.description`	O valor de `Action` do registo não processado.
`AdditionalInfo`	-	Não está mapeado para o objeto IDM.
`ApiType`	`target.application`	O valor de `ApiType` do registo não processado.
`ApiVersion`	-	Não está mapeado para o objeto IDM.
`Application`	`principal.application`	O valor de `Application` do registo não processado, "Navegador" para LoginAsEvent, "Token JWT de integração" para LoginEvent, "SfdcSiqActivityPlatform" para LoginHistory com objecttype LoginHistory, "N/A" para ApiEvent ou "Navegador" para LoginAsEventStream.
`attributes.url`	`target.url`	O valor de `attributes.url` do registo não processado ou URLs específicos para vários tipos de eventos do registo não processado.
`attributes.type`	`metadata.product_event_type`	O valor de `attributes.type` do registo não processado.
`AuthSessionId`	`network.session_id`	O valor de `AuthSessionId` do registo não processado.
`Browser`	`principal.resource.name`	O valor de `Browser` do registo não processado ou "Desconhecido" se `Browser` não estiver disponível no registo não processado e `Application` for "Insights" ou "Java (Salesforce.com)" para LoginHistory com `ApiType` como "SOAP Partner" ou "Desconhecido" para LoginHistory com `Application` como "SfdcSiqActivityPlatform" ou de data.properties.Browser.str para LoginAsEventStream.
`Case.Subject`	`target.resource.name`	O valor de `Case.Subject` do registo não processado.
`CaseId`	`target.resource.id`	O valor de `CaseId` do registo não processado.
`cat`	`metadata.product_event_type`	O valor de `cat` do registo não processado.
`City`	`principal.location.city`	O valor de `City` do registo não processado ou de `LoginGeo.City` para LoginHistory.
`Client`	`principal.labels`	O valor de `Client` do registo não processado, formatado como uma etiqueta.
`CLIENT_IP`	`principal.ip`, `principal.asset.ip`	O valor de `CLIENT_IP` do registo não processado.
`ClientVersion`	-	Não está mapeado para o objeto IDM.
`CipherSuite`	`network.tls.cipher`	O valor de `CipherSuite` do registo não processado.
`ColumnHeaders`	`principal.labels`	O valor de `ColumnHeaders` do registo não processado, formatado como uma etiqueta.
`ConnectedAppId`	`principal.labels`	O valor de `ConnectedAppId` do registo não processado, formatado como uma etiqueta.
`Contact.Name`	`target.resource.name`	O valor de `Contact.Name` do registo não processado.
`ContactId`	`target.resource.id`	O valor de `ContactId` do registo não processado.
`Country`	`principal.location.country_or_region`	O valor de `Country` a partir do registo não processado ou `LoginGeo.Country` para LoginHistory.
`CreatedByContext`	`principal.user.userid`	O valor de `CreatedByContext` do registo não processado.
`CreatedById`	`principal.resource.attribute.labels`	O valor de `CreatedById` do registo não processado, formatado como uma etiqueta.
`CreatedDate`	`metadata.collected_timestamp`	O valor de `CreatedDate` do registo não processado ou a data/hora atual, se não estiver disponível.
`CPU_TIME`	`target.resource.attribute.labels`	O valor de `CPU_TIME` do registo não processado, formatado como uma etiqueta.
`data`	-	Contém vários campos que são extraídos e mapeados individualmente.
`DATASET_IDS`	`target.resource.name`	O valor de `DATASET_IDS` do registo não processado.
`DelegatedOrganizationId`	`target.administrative_domain`	O valor de `DelegatedOrganizationId` do registo não processado.
`DelegatedUsername`	`observer.user.userid`	O valor de `DelegatedUsername` do registo não processado.
`Description`	`metadata.description`	O valor de `Description` do registo não processado.
`DevicePlatform`	`principal.resource.type`	O valor de `DevicePlatform` do registo não processado, analisado para extrair o tipo de recurso.
`Display`	`metadata.description`	O valor de `Display` do registo não processado.
`DOWNLOAD_FORMAT`	`target.resource.attribute.labels`	O valor de `DOWNLOAD_FORMAT` do registo não processado, formatado como uma etiqueta.
`Duration`	`target.resource.attribute.labels`	O valor de `Duration` do registo não processado, formatado como uma etiqueta.
`ENTITY_NAME`	`target.resource.attribute.labels`	O valor de `ENTITY_NAME` do registo não processado, formatado como uma etiqueta.
`ErrorCode`	`security_result.action`	O valor de `ErrorCode` do registo não processado, transformado em ALLOW ou BLOCK.
`EventDate`	`timestamp`	O valor de `EventDate` do registo não processado ou `data.properties.TIMESTAMP_DERIVED.str`, se disponível, ou `data.properties.TIMESTAMP_DERIVED_FIRST.str`, se disponível, ou `@timestamp`, se disponível, ou `created_date`, se disponível, ou `timestamp`, se disponível, ou `LoginTime` para LoginHistory.
`EventIdentifier`	`metadata.product_log_id`	O valor de `EventIdentifier` do registo não processado.
`EventType`	`metadata.product_event_type`	O valor de `EventType` do registo não processado.
`Id`	`principal.user.userid`	O valor de `Id` do registo não processado ou `metadata.product_log_id` para SetupAuditTrail e outros eventos.
`IdentityUsed`	`principal.user.email_addresses`	O valor de `IdentityUsed` do registo não processado.
`Lead.Name`	`target.resource.name`	O valor de `Lead.Name` do registo não processado.
`LeadId`	`target.resource.id`	O valor de `LeadId` do registo não processado.
`LoginAsCategory`	-	Não está mapeado para o objeto IDM.
`LoginGeo.Country`	`principal.location.country_or_region`	O valor de `LoginGeo.Country` do registo não processado.
`LoginHistoryId`	-	Não está mapeado para o objeto IDM.
`LoginKey`	`principal.user.userid`, `network.session_id`	O valor de `LoginKey` do registo não processado ou `CreatedByContext` para SetupAuditTrail.
`LoginTime`	`timestamp`	O valor de `LoginTime` do registo não processado.
`LoginType`	`security_result.description`	O valor de `LoginType` do registo não processado ou "Outra API Apex" para LoginHistory com `ApiType` como "SOAP Partner" ou "Acesso remoto 2.0" para LoginHistory com `Application` como "SfdcSiqActivityPlatform".
`LoginUrl`	`target.url`, `principal.url`	O valor de `LoginUrl` do registo não processado.
`LogFile`	`principal.resource.attribute.labels`	O valor de `LogFile` do registo não processado, formatado como uma etiqueta.
`LogFileContentType`	`principal.resource.attribute.labels`	O valor de `LogFileContentType` do registo não processado, formatado como uma etiqueta.
`LogFileLength`	`principal.resource.attribute.labels`	O valor de `LogFileLength` do registo não processado, formatado como uma etiqueta.
`Message`	-	Não está mapeado para o objeto IDM.
`METHOD`	`network.http.method`	O valor de `METHOD` do registo não processado.
`Name`	`target.application`	O valor de `Name` do registo não processado.
`NewValue`	-	Usado em conjunto com `OldValue` para gerar `security_result.summary`.
`NUMBER_FIELDS`	`target.resource.attribute.labels`	O valor de `NUMBER_FIELDS` do registo não processado, formatado como uma etiqueta.
`OldValue`	-	Usado em conjunto com `NewValue` para gerar `security_result.summary`.
`Operation`	`security_result.description`, `target.resource.attribute.labels`	O valor de `Operation` do registo não processado ou `Display` para SetupAuditTrail.
`OperationStatus`	`security_result.action`	O valor de `OperationStatus` do registo não processado, transformado em ALLOW ou BLOCK.
`ORGANIZATION_ID`	`target.administrative_domain`	O valor de `ORGANIZATION_ID` do registo não processado.
`OsName`	`principal.platform`	O valor de `OsName` do registo não processado.
`OsVersion`	`principal.platform_version`	O valor de `OsVersion` do registo não processado.
`Platform`	`principal.platform`	O valor de `Platform` do registo não processado ou de `data.properties.OsName.str` para LightningUriEventStream ou de `data.properties.OsName.str` para LoginEventStream.
`QueriedEntities`	`target.resource.name`, `principal.labels`	O valor de `QueriedEntities` do registo não processado ou `component_name` para UriEvent e ApiEvent.
`Query`	`target.process.command_line`, `principal.labels`	O valor de `Query` do registo não processado.
`RecordId`	`target.resource.id`	O valor de `RecordId` do registo não processado.
`Records`	`principal.labels`	O valor de `Records` do registo não processado, formatado como uma etiqueta.
`REQUEST_ID`	`metadata.product_log_id`, `target.resource.product_object_id`	O valor de `REQUEST_ID` do registo não processado.
`REQUEST_SIZE`	`network.sent_bytes`	O valor de `REQUEST_SIZE` do registo não processado.
`REQUEST_STATUS`	`security_result.summary`	O valor de `REQUEST_STATUS` do registo não processado.
`RESPONSE_SIZE`	`network.received_bytes`	O valor de `RESPONSE_SIZE` do registo não processado.
`RowsProcessed`	`target.resource.attribute.labels`	O valor de `RowsProcessed` do registo não processado, formatado como uma etiqueta.
`RUN_TIME`	`target.resource.attribute.labels`	O valor de `RUN_TIME` do registo não processado, formatado como uma etiqueta.
`SamlEntityUrl`	-	Não está mapeado para o objeto IDM.
`SdkAppType`	-	Não está mapeado para o objeto IDM.
`SdkAppVersion`	-	Não está mapeado para o objeto IDM.
`SdkVersion`	-	Não está mapeado para o objeto IDM.
`Section`	`security_result.summary`	O valor de `Section` do registo não processado.
`SessionKey`	`network.session_id`	O valor de `SessionKey` do registo não processado.
`SessionLevel`	`target.resource.attribute.labels`	O valor de `SessionLevel` do registo não processado, formatado como uma etiqueta.
`SourceIp`	`principal.ip`, `principal.asset.ip`	O valor de `SourceIp` do registo não processado.
`src`	`principal.ip`, `principal.asset.ip`	O valor de `src` do registo não processado.
`SsoType`	`target.resource.attribute.labels`	O valor de `SsoType` do registo não processado, formatado como uma etiqueta.
`STATUS_CODE`	`network.http.response_code`	O valor de `STATUS_CODE` do registo não processado.
`Status`	`security_result.action`, `security_result.action_details`	O valor de `Status` do registo não processado, transformado em ALLOW ou BLOCK, ou usado como detalhes da ação para LoginEventStream.
`Subject`	`target.resource.name`	O valor de `Subject` do registo não processado.
`TargetUrl`	-	Não está mapeado para o objeto IDM.
`TIMESTAMP`	`metadata.collected_timestamp`	O valor de `TIMESTAMP` do registo não processado.
`TIMESTAMP_DERIVED`	`timestamp`	O valor de `TIMESTAMP_DERIVED` do registo não processado.
`TlsProtocol`	`network.tls.version_protocol`	O valor de `TlsProtocol` do registo não processado.
`URI`	`target.url`	O valor de `URI` do registo não processado.
`USER_AGENT`	`network.http.user_agent`	O valor de `USER_AGENT` do registo não processado.
`USER_ID`	`principal.user.userid`	O valor de `USER_ID` do registo não processado.
`USER_ID_DERIVED`	`principal.user.product_object_id`, `target.resource.attribute.labels`	O valor de `USER_ID_DERIVED` do registo não processado.
`UserId`	`principal.user.userid`	O valor de `UserId` do registo não processado.
`USER_TYPE`	`target.resource.attribute.labels`	O valor de `USER_TYPE` do registo não processado, formatado como uma etiqueta.
`Username`	`principal.user.userid`, `principal.user.email_addresses`, `target.user.email_addresses`	O valor de `Username` do registo não processado, ou `src_email` para vários eventos, ou `IdentityUsed` para IdentityProviderEventStore, ou `data.properties.Email.str` para Search e SearchAlert, ou `data.properties.Username.str` para LoginAsEventStream e LoginEventStream.
`UserType`	`target.resource.attribute.labels`	O valor de `UserType` do registo não processado, formatado como uma etiqueta.
`usrName`	`principal.user.userid`, `principal.user.email_addresses`, `target.user.email_addresses`	O valor de `usrName` do registo não processado.
`VerificationMethod`	`target.resource.attribute.labels`	O valor de `VerificationMethod` do registo não processado, formatado como uma etiqueta.
Parser Logic	`metadata.event_type`	Derivado com base nos campos `event_id` e `operation`, ou definido como "USER_LOGIN" para LoginEventStream, "USER_LOGOUT" para Logout e LogoutEvent, "USER_RESOURCE_UPDATE_CONTENT" para vários eventos, "USER_RESOURCE_UPDATE_PERMISSIONS" para PlatformEncryption, "RESOURCE_READ" para QueuedExecution, ApexExecution, LightningInteraction, LightningPerformance, LightningPageView, URI, RestApi, API, AuraRequest, ApexCallout, OneCommerceUsage, Sites, MetadataApiOperation, OneCommerceUsage, VisualforceRequest, Dashboard, Search, ListViewEvent, "RESOURCE_CREATION" para UriEvent e TimeBasedWorkflow com `Operation` como "Create" ou "INSERT", "RESOURCE_WRITTEN" para UriEvent e LightningUriEvent com `Operation` como "Update", "RESOURCE_DELETION" para UriEvent com `Operation` como "Delete" ou "ROLLBACK", "USER_UNCATEGORIZED" para SetupAuditTrail e AuditTrail, "USER_CHANGE_PASSWORD" para SetupAuditTrail com `operation` como "namedCredentialEncryptedFieldChange", "GENERIC_EVENT" para ApiEventStream e LightningUriEventStream, ou com base na presença de rede e principal.
Parser Logic	`metadata.ingestion_labels`	Etiquetas que indicam a origem do evento, "Ficheiro de registo de eventos", "Monitorização de eventos em tempo real" ou "SetupAuditTrail".
Parser Logic	`metadata.log_type`	Está sempre definido como "SALESFORCE".
Parser Logic	`metadata.product_name`	Está sempre definido como "SALESFORCE".
Parser Logic	`metadata.vendor_name`	Está sempre definido como "SALESFORCE".
Parser Logic	`metadata.url_back_to_product`	Construído a partir de vários campos, como `LoginUrl`, `attributes.url`, `data.properties.PageUrl.str` e `data.properties.LoginUrl.str`.
Parser Logic	`network.application_protocol`	Definido como "HTTPS" se o campo `uri` começar por "http".
Parser Logic	`network.http.referral_url`	Extraído do campo `user_agent` se contiver "Referer=".
Parser Logic	`network.http.response_code`	Derivados de `request_status` para vários eventos.
Parser Logic	`network.http.user_agent`	O valor de `user_agent` do registo não processado, ou de `data.properties.UserAgent.str` para ApiEventStream e LoginEventStream, ou de eventos `Sites`, ou "User-Agent" de eventos `Sites`.
Parser Logic	`network.session_id`	O valor de `session_key` ou `SESSION_KEY` do registo não processado ou construído a partir de outros campos, como `LoginKey` ou `AuthSessionId`.
Parser Logic	`network.tls.version`	O valor de `tls_protocol` do registo não processado ou de `data.properties.TlsProtocol.str` para LoginEventStream.
Parser Logic	`principal.application`	O valor de `application` do registo não processado ou "Salesforce for Outlook" para eventos Login: Success, ou "Insights" para eventos Login: Success sem Application, ou extraído de `device_platform` para eventos Lightning.
Parser Logic	`principal.asset.hostname`	O valor de `client_ip` se for um nome de anfitrião.
Parser Logic	`principal.asset.ip`	O valor de `client_ip` ou `src_ip` ou `SourceIp` ou `CLIENT_IP` se for um endereço IP.
Parser Logic	`principal.hostname`	O valor de `client_ip` se for um nome de anfitrião.
Parser Logic	`principal.ip`	O valor de `client_ip` ou `src_ip` ou `SourceIp` ou `CLIENT_IP` se for um endereço IP.
Parser Logic	`principal.labels`	Etiquetas criadas a partir de vários campos, como `FederationIdentifier`, `ApiType`, `OrgId` e `channel`.
Parser Logic	`principal.location.city`	O valor de `geoip_src.city_name`, `City` ou `LoginGeo.City` do registo não processado.
Parser Logic	`principal.location.country_or_region`	O valor de `geoip_src.country_name`, `Country`, `LoginGeo.Country` ou `client_geo` do registo não processado.
Parser Logic	`principal.location.region_latitude`	O valor de `data.properties.LoginLatitude.number` do registo não processado.
Parser Logic	`principal.location.region_longitude`	O valor de `data.properties.LoginLongitude.number` do registo não processado.
Parser Logic	`principal.location.state`	O valor de `geoip_src.region_name` do registo não processado.
Parser Logic	`principal.platform`	O valor de `Platform`, `OsName` ou `os_name` do registo não processado, ou "WINDOWS" para LoginEventStream com `Platform` a conter "Windows".
Parser Logic	`principal.platform_version`	O valor de `OsVersion` ou `os_version` do registo não processado ou extraído de `Platform` para LoginEventStream com `Platform` a conter "Windows".
Parser Logic	`principal.resource.attribute.labels`	Etiquetas criadas a partir de vários campos, como `CreatedById`, `ApiVersion`, `LogFile`, `LogFileContentType` e `LogFileLength`.
Parser Logic	`principal.resource.name`	O valor de `Browser` ou `browser_name` do registo não processado, ou "Java (Salesforce.com)" para LoginHistory com `ApiType` como "SOAP Partner".
Parser Logic	`principal.resource.type`	Extraído de `device_platform` para eventos Lightning ou "Navegador" para LoginAsEvent e LoginAsEventStream.
Parser Logic	`principal.url`	O valor de `LoginUrl` do registo não processado.
Parser Logic	`principal.user.email_addresses`	O valor de `usrName` ou `Username` ou `src_email` ou `IdentityUsed` ou `data.properties.Username.str` ou `data.properties.Email.str` do registo não processado.
Parser Logic	`principal.user.product_object_id`	O valor de `attrs.USER_ID_DERIVED` ou `data.properties.USER_ID_DERIVED.str` do registo não processado.
Parser Logic	`principal.user.userid`	O valor de `usrName` ou `Username` ou `user_id` ou `UserId` ou `USER_ID` ou `Id` ou `LoginKey` ou `CreatedByContext` ou `data.properties.Username.str` ou `data.properties.USER_ID.str` ou `data.properties.LoginKey.str` do registo não processado.
Parser Logic	`security_result.action`	Derivado de `Status` ou `OperationStatus` ou `ErrorCode` ou `action` ou `operation_status` do registo não processado, transformado em ALLOW ou BLOCK.
Parser Logic	`security_result.action_details`	O valor de `Status` do registo não processado para LoginEventStream.
Parser Logic	`security_result.description`	O valor de `LoginType`, `logintype`, `Operation`, `Action` ou `Display` do registo não processado.
Parser Logic	`security_result.rule_name`	O valor de `Policy` ou `rule_name` do registo não processado.
Parser Logic	`security_result.summary`	Construído a partir de `NewValue` e `OldValue` ou `REQUEST_STATUS` ou `Section` ou `forecastcategory` do registo não processado.
Parser Logic	`target.administrative_domain`	O valor de `ORGANIZATION_ID`, `DelegatedOrganizationId`, `organization_id` ou `data.properties.OrgName.str` do registo não processado.
Parser Logic	`target.application`	O valor de `Application`, `app_name`, `ApiType`, `Name` ou `data.properties.Application.str` do registo não processado.
Parser Logic	`target.asset.hostname`	O valor de `target_hostname` extraído do campo `uri`.
Parser Logic	`target.asset.ip`	O valor de `data.properties.CLIENT_IP.str` do registo não processado.
Parser Logic	`target.asset_id`	Construído a partir de `device_id` ou `REQUEST_ID`.
Parser Logic	`target.file.mime_type`	O valor de `file_type` do registo não processado.
Parser Logic	`target.file.size`	O valor de `size_bytes` do registo não processado.
Parser Logic	`target.hostname`	O valor de `target_hostname` extraído do campo `uri`.
Parser Logic	`target.process.command_line`	O valor de `query_exec`, `Query` ou `data.properties.Query.str` do registo não processado.
Parser Logic	`target.process.pid`	O valor de `job_id` do registo não processado.
Parser Logic	`target.resource.attribute.labels`	Etiquetas criadas a partir de vários campos, como `CPU_TIME`, `RUN_TIME`, `USER_TYPE`, `DB_TOTAL_TIME`, `MEDIA_TYPE`, `ROWS_PROCESSED`, `NUMBER_FIELDS`, `DB_BLOCKS`, `DB_CPU_TIME`, `ENTITY_NAME`, `EXCEPTION_MESSAGE`, `USER_ID_DERIVED`, `DOWNLOAD_FORMAT`, `USER_TYPE`, `CPU_TIME`, `RUN_TIME`, `WAVE_SESSION_ID`, `SessionLevel`, `verification_method`, `cpu_time`, `run_time`, `db_total_time`, `db_cpu_time`, `exec_time`, `callout_time`, `number_soql_queries`, `duration`, `user_type`, `entry_point`, `operation`, `session_level`, `rows_processed`, `sso_type`, `dashboard_type`, `Operation`, `SessionLevel`.
Parser Logic	`target.resource.id`	O valor de `REQUEST_ID` ou `RecordId` ou `caseid` ou `leadid` ou `contactid` ou `opportunityid` ou `accountid` do registo não processado.
Parser Logic	`target.resource.name`	O valor de `QueriedEntities` ou `resource_name` ou `component_name` ou `DATASET_IDS` ou `field` ou `StageName` ou `Subject` do registo não processado.
Parser Logic	`target.resource.product_object_id`	O valor de `REQUEST_ID` do registo não processado.
Parser Logic	`target.resource.resource_type`	Definido como "ACCESS_POLICY" para ApexCallout e PlatformEncryption, ou "DATABASE" para ApexTrigger, ou "FILE" para ContentTransfer, ou "TABLE" para ApiEvent.
Parser Logic	`target.resource.type`	Definido como "BATCH" para QueuedExecution e ApexExecution, ou "FILE" para ContentTransfer, ou "DATABASE_TRIGGER" para ApexTrigger, ou "Case", "Lead", "Contact", "Opportunity", "Account" com base na presença dos campos de ID correspondentes.
Parser Logic	`target.url`	O valor de `LoginUrl`, `URI`, `attributes.url`, `login_url` ou `uri` do registo não processado.
Parser Logic	`target.user.email_addresses`	O valor de `Username`, `attrs.usrName` ou `email_address` do registo não processado.
Parser Logic	`target.user.user_display_name`	O valor de `target_user_display_name`, `user_name` ou `username` do registo não processado.
Parser Logic	`target.user.userid`	O valor de `target_user_name`, `data.properties.UserId.str` ou `data.properties.CreatedById.str` do registo não processado.
Parser Logic	`extensions.auth.auth_details`	Definido como "ACTIVE" se `Status` não for "Success". Caso contrário, é definido como "UNKNOWN_AUTHENTICATION_STATUS".
Parser Logic	`extensions.auth.mechanism`	Definido como "REMOTE" para Login: Success e eventos Login com `logintype` que contenham "Remote", ou "USERNAME_PASSWORD" para LoginEventStream, ou "MECHANISM_OTHER" para eventos com `login_url` presente, ou "AUTHTYPE_UNSPECIFIED" para Login: Success e eventos Logout.
Parser Logic	`extensions.auth.type`	Definido como "SSO" para Login, Logout, LogoutEvent, LoginAs, IdentityProviderEventStore, LoginHistory, LoginAsEvent com LoginType como "SAML Sfdc Initiated SSO" ou "AUTHTYPE_UNSPECIFIED" para Login: Success, Logout, LoginAsEvent com LoginType como "Application".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.