Okta-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Okta-Logs erfassen, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel OKTA.

Okta SSO konfigurieren

Führen Sie die folgenden Aufgaben aus, um Okta SSO zu konfigurieren:

Administrator mit Lesezugriff erstellen

  1. Melden Sie sich als Administrator in der Okta SSO Admin-Konsole an.
  2. Erstellen Sie einen Standardnutzer. Wenn Sie bereits einen Standardnutzer haben, den Sie zum Lesezugriffsadministrator machen möchten, fahren Sie mit dem nächsten Schritt fort.
  3. Wählen Sie Sicherheit > Administratoren aus.
  4. Klicken Sie auf Administrator hinzufügen.
  5. Geben Sie im Feld Administratorrolle gewähren den Nutzernamen ein.
  6. Klicken Sie im Bereich Administratorrollen das Kästchen Administrator mit Lesezugriff an.
  7. Melden Sie sich vom Administratorkonto ab.

API-Schlüssel abrufen

  1. Melden Sie sich in der Okta SSO Admin-Konsole mit dem zuvor erstellten Administrator mit Lesezugriff an.
  2. Wählen Sie Sicherheit > API aus.
  3. Klicken Sie auf Token erstellen.
  4. Geben Sie den Tokennamen ein und klicken Sie auf Token erstellen. Der Tokenwert wird angezeigt.

  5. Kopieren Sie den API-Schlüssel. Er ist erforderlich, wenn Sie den Google Security Operations-Feed konfigurieren.

    Der API-Schlüssel kann später nicht wiederhergestellt werden und wird nach dem Schließen des Fensters im verschlüsselten Format gespeichert. Wenn sich der Nutzer oder die Berechtigungen des Nutzers, der das Token erstellt hat, ändern, ist das Token ungültig. Wenn das Token widerrufen oder abgelaufen ist, wird die Protokollerhebung beendet, bis ein neues Token konfiguriert wurde.

  6. Klicken Sie auf Ok.

Okta ASA konfigurieren

Wenn Sie Audit-Ereignisse für den erweiterten Serverzugriff (Okta Advanced Server Access, ASA) über die Okta-Systemprotokoll-API abrufen möchten, müssen Sie die Audit-Ereignisse für den erweiterten Serverzugriff in das Okta-Systemprotokoll einbinden. Wenden Sie sich an den Okta-Support, um diese Integration zu aktivieren. Weitere Informationen finden Sie in der Okta-Hilfe.

Feed in Google Security Operations für die Aufnahme von Okta-Protokollen konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
  3. Geben Sie einen eindeutigen Namen für das Feld ein.
  4. Wählen Sie API von Drittanbietern als Quelltyp aus.
  5. Wählen Sie CrowdStrike Detection Monitoring als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
    • Authentifizierungs-HTTP-Header: Geben Sie Anmeldedaten an, mit denen ein User-Agent bei einem Server authentifiziert wird, um Zugriff auf eine geschützte Ressource zu erhalten.
    • API-Hostname: Geben Sie den Domainnamen oder die IP-Adresse des Hosts an, der die API bereitstellt.
  8. Klicken Sie auf Weiter und dann auf Senden.

Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.

Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz für die Feldzuordnung

Dieser Parser verarbeitet Okta-Systemprotokolle im JSON-Format und extrahiert Felder sowohl aus Stackdriver-verpackten Logs als auch aus Roh-Okta-Logs. Dabei werden die Daten in das UDM-Format normalisiert. Der Schwerpunkt liegt auf Identitäts- und Zugriffsverwaltungsereignissen, einschließlich Anmeldungen, Abmeldungen, Berechtigungsänderungen und Sicherheitsbedrohungen. Außerdem werden verschiedene Authentifizierungstypen verarbeitet und die Daten mit geografischem Kontext und Informationen zum User-Agent angereichert. Der Parser extrahiert auch sicherheitsbezogene Details wie Risikogründe, Bedrohungsindikatoren und Informationen zu verdächtigen Aktivitäten.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
actor.alternateId principal.user.email_addresses/principal.user.userid Wenn das Feld alternateId eine gültige E-Mail-Adresse enthält, wird der Teil mit dem Nutzernamen principal.user.userid zugeordnet und die vollständige E-Mail-Adresse wird der Liste principal.user.email_addresses hinzugefügt. Wenn es sich nicht um eine gültige E-Mail-Adresse handelt, wird der gesamte Wert principal.user.userid zugeordnet.
actor.displayName principal.user.user_display_name Direkte Zuordnung.
actor.id principal.user.product_object_id Direkte Zuordnung.
actor.type principal.user.attribute.roles.name Direkte Zuordnung.
authenticationContext.authenticationProvider security_result.detection_fields.value, wobei key „authenticationProvider“ ist Direkte Zuordnung als Erkennungsfeld.
authenticationContext.credentialProvider security_result.detection_fields.value, wobei key „credentialProvider“ ist Direkte Zuordnung als Erkennungsfeld.
authenticationContext.credentialType extensions.auth.mechanism Wird verwendet, um den Authentifizierungsmechanismus abzuleiten. „OTP“ oder „SMS“ wird zu „OTP“, „PASSWORD“ zu „USERNAME_PASSWORD“, „IWA“ oder eventType „user.authentication.auth_via_AD_agent“ zu „LOCAL“.
authenticationContext.externalSessionId network.parent_session_id Direkte Zuordnung.
client.device principal.asset.type / additional.fields.value.string_value, wobei key „device“ ist Wenn der Wert „Mobil“ ist, wird er „MOBILE“ zugeordnet. Bei „Computer“ wird „WORKSTATION“ zugeordnet. Wenn „Unbekannt“ angegeben ist, wird „ROLE_UNSPECIFIED“ zugeordnet. Wird auch als zusätzliches Feld hinzugefügt.
client.geographicalContext.city principal.location.city Direkte Zuordnung.
client.geographicalContext.country principal.location.country_or_region Direkte Zuordnung.
client.geographicalContext.geolocation.lat principal.location.region_latitude Direkte Zuordnung.
client.geographicalContext.geolocation.lon principal.location.region_longitude Direkte Zuordnung.
client.geographicalContext.postalCode additional.fields.value.string_value, wobei key „Postleitzahl“ ist Direkte Zuordnung als zusätzliches Feld
client.geographicalContext.state principal.location.state Direkte Zuordnung.
client.ipAddress principal.ip/principal.asset.ip Direkte Zuordnung. Ist das Feld nicht vorhanden, versucht der Parser, den Wert aus anderen Feldern wie request.ipChain.0.ip oder debugContext.debugData.clientAddress zu extrahieren.
client.userAgent.browser target.resource.attribute.labels.value, wobei key „Browser“ ist Direkte Zuordnung als Label
client.userAgent.os principal.platform Wenn der Wert „Linux“ enthält, wird er „LINUX“ zugeordnet. Bei „windows“ wird „WINDOWS“ zugeordnet. Wenn „mac“ oder „ios“ angegeben ist, wird „MAC“ zugeordnet.
client.userAgent.rawUserAgent network.http.user_agent Direkte Zuordnung. Sie werden auch in network.http.parsed_user_agent analysiert und gespeichert.
client.zone additional.fields.value.string_value, wobei key „zone“ ist Direkte Zuordnung als zusätzliches Feld
debugContext.debugData.behaviors security_result.description Direkte Zuordnung. Einzelne Verhaltensweisen werden auch als separate Erkennungsfelder extrahiert.
debugContext.debugData.changedAttributes security_result.detection_fields.value, wobei key „changedAttributes“ ist Direkte Zuordnung als Erkennungsfeld.
debugContext.debugData.clientAddress principal.ip/principal.asset.ip Wird als Fallback verwendet, wenn client.ipAddress und request.ipChain.0.ip nicht vorhanden sind.
debugContext.debugData.deviceFingerprint target.asset.asset_id Sie werden mit „device_finger_print:“ vorangestellt und dann zugeordnet.
debugContext.debugData.dtHash security_result.detection_fields.value, wobei key „dtHash“ ist Direkte Zuordnung als Erkennungsfeld.
debugContext.debugData.factor security_result.detection_fields.value, wobei key „Faktor“ ist Direkte Zuordnung als Erkennungsfeld.
debugContext.debugData.factorIntent security_result.detection_fields.value, wobei key „factorIntent“ ist Direkte Zuordnung als Erkennungsfeld.
debugContext.debugData.logOnlySecurityData.risk.reasons security_result.detection_fields.value, wobei key „Risikogründe“ ist Direkte Zuordnung als Erkennungsfeld.
debugContext.debugData.privilegeGranted target.user.attribute.roles.name/target.user.attribute.roles.description Jede Berechtigung wird als separate Rolle hinzugefügt, wobei sowohl Name als auch Beschreibung auf den Berechtigungswert festgelegt sind.
debugContext.debugData.pushOnlyResponseType security_result.detection_fields.value, wobei key „pushOnlyResponseType“ ist Direkte Zuordnung als Erkennungsfeld.
debugContext.debugData.pushWithNumberChallengeResponseType security_result.detection_fields.value, wobei key „pushWithNumberChallengeResponseType“ ist Direkte Zuordnung als Erkennungsfeld.
debugContext.debugData.requestId network.session_id Direkte Zuordnung.
debugContext.debugData.requestUri extensions.auth.auth_details/target.url Direkte Zuordnung.
debugContext.debugData.suspiciousActivityEventId security_result.detection_fields.value, wobei key „suspiciousActivityEventId“ ist Direkte Zuordnung als Erkennungsfeld.
debugContext.debugData.suspiciousActivityEventType security_result.detection_fields.value, wobei key „suspiciousActivityEventType“ ist Direkte Zuordnung als Erkennungsfeld.
debugContext.debugData.threatDetections security_result.detection_fields.value, wobei key „threatDetections“ ist Direkte Zuordnung als Erkennungsfeld.
debugContext.debugData.threatSuspected security_result.detection_fields.value, wobei key „threatSuspected“ ist Direkte Zuordnung als Erkennungsfeld. Wird auch zur Bestimmung von security_result.threat_status verwendet. Wenn „wahr“ ist, lautet der Status „AKTIV“, andernfalls „FALSE_POSITIVE“.
debugContext.debugData.url target.url Direkte Zuordnung.
displayMessage security_result.summary Direkte Zuordnung.
eventType metadata.product_event_type Direkte Zuordnung. Wird auch zur Bestimmung von metadata.event_type verwendet (siehe Logik unten).
legacyEventType security_result.detection_fields.value, wobei key „legacyEventType“ ist Direkte Zuordnung als Erkennungsfeld.
outcome.reason security_result.category_details Direkte Zuordnung.
outcome.result security_result.action „SUCCESS“ oder „ALLOW“ wird zu „ALLOW“, „CHALLENGE“ zu „CHALLENGE“, „FAILURE“, „DENY“, „SKIPPED“ oder „RATE_LIMIT“ zu „BLOCK“.
published metadata.event_timestamp In einen Zeitstempel umgewandelt.
request.ipChain.0.geographicalContext.* principal.location.* Der geografische Kontext der ersten IP in der Kette wird dem Standort des Hauptberechtigten zugeordnet.
request.ipChain.0.ip principal.ip/principal.asset.ip Direkte Zuordnung.
request.ipChain.1.geographicalContext.* intermediary.location.* Der geografische Kontext der zweiten IP-Adresse in der Kette wird dem Zwischenstandort zugeordnet.
request.ipChain.1.ip intermediary.ip Direkte Zuordnung.
securityContext.asNumber security_result.detection_fields.value, wobei key „asNumber“ ist Direkte Zuordnung als Erkennungsfeld.
securityContext.asOrg security_result.detection_fields.value, wobei key „asOrg“ ist Direkte Zuordnung als Erkennungsfeld.
securityContext.domain security_result.detection_fields.value, wobei key „domain“ ist Direkte Zuordnung als Erkennungsfeld, wenn der Wert nicht „.“ ist.
securityContext.isp security_result.detection_fields.value, wobei key „isp“ ist Direkte Zuordnung als Erkennungsfeld.
securityContext.isProxy security_result.detection_fields.value, wobei key „anonymisierte IP“ ist Direkte Zuordnung als Erkennungsfeld.
target.0.alternateId target.user.email_addresses/target.user.userid Logik ähnlich wie bei actor.alternateId.
target.0.detailEntry.clientAppId target.asset_id Sie werden mit „Client_app_id:“ vorangestellt und dann zugeordnet.
target.0.displayName target.user.user_display_name / target.application / target.resource.name Auf Grundlage von target.0.type zugeordnet
target.0.id target.user.product_object_id/target.resource.product_object_id Auf Grundlage von target.0.type zugeordnet
target.0.type target.user.attribute.roles.name/target.resource.resource_subtype Auf Grundlage des Werts zugeordnet. Wird auch zur Bestimmung der Zuordnung anderer target.0-Felder verwendet.
target.1.alternateId target.user.email_addresses/target.user.userid Logik ähnlich wie bei actor.alternateId.
target.1.detailEntry.clientAppId target.asset_id Sie werden mit „Client_app_id:“ vorangestellt und dann zugeordnet.
target.1.displayName target.user.user_display_name/target.resource.name Auf Grundlage von target.1.type zugeordnet
target.1.id target.user.product_object_id/target.resource.product_object_id Auf Grundlage von target.1.type zugeordnet
target.1.type target.user.attribute.roles.name/target.resource.resource_subtype Auf Grundlage des Werts zugeordnet. Wird auch zur Bestimmung der Zuordnung anderer target.1-Felder verwendet.
target.2.alternateId target.2.displayName target.2.id target.2.type transaction.id network.session_id Direkte Zuordnung.
transaction.type additional.fields.value.string_value, wobei key „Typ“ ist Direkte Zuordnung als zusätzliches Feld
uuid metadata.product_log_id Direkte Zuordnung.
metadata.event_type Festgelegt von eventType. Die vollständige Zuordnungslogik finden Sie im Parsercode. Zu den wichtigsten Zuordnungen gehören: „user.authentication.sso“, „user.authentication.auth_via_mfa“ und „user.session.start“ werden zu „USER_LOGIN“ zugeordnet; „user.session.end“ wird zu „USER_LOGOUT“ zugeordnet; „user.account.reset_password“ wird zu „USER_CHANGE_PASSWORD“ zugeordnet; „application.user_membership.update“ wird zu „USER_CHANGE_PERMISSIONS“ zugeordnet; „security.threat.detected“ wird zu „USER_UNCATEGORIZED“ zugeordnet; „system.import.user.delete“ wird zu „USER_DELETION“ zugeordnet; „policy.rule.update“ wird zu „SETTING_MODIFICATION“ zugeordnet; „group.user_membership.remove“ wird zu „GROUP_MODIFICATION“ zugeordnet. Viele andere eventType-Werte werden „USER_UNCATEGORIZED“ zugeordnet.
metadata.log_type Legen Sie diesen Wert auf „OKTA“ fest.
metadata.product_name Legen Sie „Okta“ fest.
metadata.vendor_name Legen Sie „Okta“ fest.
extensions.auth.type Legen Sie „SSO“ fest.

Änderungen

2024-05-16

  • Wenn „is_alert“ und „is_significant“ auf „true“ gesetzt sind, legen Sie „security_result.alert_state“ auf „ALERTING“ fest.

2024-03-05

  • Das Feld „security_result.action“ wurde aktualisiert, um anzugeben, ob der Traffic zugelassen oder blockiert wurde.

2024-02-16

  • Fehlerkorrektur:
  • Wenn „target.0.type“ „User“ oder „AppUser“ ist, wird „target.0.alternateId“ mit „target.user.userid“ abgeglichen.
  • Wenn „target.1.type“ „User“ oder „AppUser“ ist, wird „target.1.alternateId“ mit „target.user.userid“ abgeglichen.

2023-12-14

  • „securityContext.asNumber“ wurde in „security_result.detection_fields“ umgewandelt.
  • „legacyEventType“ wurde in „security_result.detection_fields“ umgewandelt.
  • „conditional_check“ wurde vor dem Festlegen von „metadata.event_type“ hinzugefügt.

2023-06-28

  • Der vollständige Wert von „debugContext.debugData.suspiciousActivityEventType“ wurde „security_result.detection_fields“ zugeordnet.
  • Der vollständige Wert von „debugContext.debugData.logOnlySecurityData.behaviors.New Device“ wurde „security_result.detection_fields“ zugeordnet.

2023-06-09

  • Das Feld „debugContext.debugData.deviceFingerprint“ ist „target.asset.asset_id“ zugeordnet.
  • Der vollständige Wert von „debugContext.debugData.risk.reasons“ wurde zu „security_result.detection_fields“ zugeordnet.

2023-05-17

  • Das Feld „authenticationContext.externalSessionId“ ist „network.parent_session_id“ zugeordnet.
  • Das Feld „debugContext.debugData.pushOnlyResponseType“ wird „security_result.detection_fields.key/value“ zugeordnet.
  • Das Feld „debugContext.debugData.factor“ ist „security_result.detection_fields.key/value“ zugeordnet.
  • Das Feld „debugContext.debugData.factorIntent“ ist „security_result.detection_fields.key/value“ zugeordnet.
  • Das Feld „debugContext.debugData.pushWithNumberChallengeResponseType“ wird „security_result.detection_fields.key/value“ zugeordnet.
  • Das Feld „debugContext.debugData.dtHash“ ist „security_result.detection_fields.key/value“ zugeordnet.
  • Das Feld „client.userAgent.rawUserAgent“ wird „network.http.user_agent“ zugeordnet.
  • Die Zuordnung unter „security_result.action“ wurde von „ALLOW_WITH_MODIFICATION“ in den enum-Wert „CHALLENGE“ geändert.
  • Für den Ereignistyp „system.api_token.create“ wurde „metadata.event_type“ von „USER_UNCATEGORIZED“ in „RESOURCE_CREATION“ geändert.

2023-04-28

  • Fehlerkorrektur:
  • Die Zuordnung für „security_result.threat_status“ wurde zu „AKTIV“ geändert, wenn „debugContext.debugData.threatSuspected“ „wahr“ ist. Andernfalls wird „FALSE_POSITIVE“ zugewiesen.

2023-03-24

  • Die Felder „logOnlySecurityData“ wurden mit „security_result.detection_fields“ verknüpft.
  • Außerdem wurde der Parsefehler behoben, indem „DEFERRED“ zur Aktionsliste hinzugefügt wurde.

2023-04-11

  • Die Felder, die „http.user_agent“ zugeordnet sind, wurden neu zu „http.parsed_user_agent“ zugeordnet.
  • „target.displayName“ wurde „target.resource_ancestors.name“ zugeordnet.
  • „targetfield.detailEntry.methodTypeUsed“ wurde auf „target.resource_ancestors.attribute.labels“ zugeordnet.
  • „targetfield.detailEntry.methodUsedVerifiedProperties“ wurde in „target.resource_ancestors.attribute.labels“ umgewandelt.

2023-02-20

  • „metadata.event_type“ von „USER_LOGIN“ in „STATUS_UPDATE“ geändert, wobei „eventType“ „user.authentication.auth_via_AD_agent“ ist

2022-12-14

  • „debugContext.debugData.changedAttributes“ wurde in „security_result.detection_fields“ umgewandelt.
  • Null-Prüfung für „detail.actor.alternateId“ hinzugefügt.

2022-11-17

  • Das Feld „target[n].alternateId“ ist „target.resource.attribute.labels“ zugeordnet.
  • Das Feld „detail.target.0.alternateId“ ist „target.resource.attribute.labels“ zugeordnet.

2022-11-08

  • Fehlerkorrektur:
  • Es wurde eine Bedingung für die korrekte E-Mail-Prüfung für das Feld „user_email“ hinzugefügt.
  • Es wurde eine Prüfung für das Feld „Action1“ hinzugefügt, das nicht in „RATE_LIMIT“ enthalten ist.
  • Es wurde eine Prüfung auf „null“ und „unbekannt“ für „actor.displayName“ hinzugefügt.

2022-11-04

  • Unterstützung für Protokolle mit mehreren Ereignissen hinzugefügt

2022-10-15

  • „signOnModeType“ wurde auf „security_result.detection_fields“ zugeordnet.
  • „authenticationProvider“ wurde auf „security_result.detection_fields“ zugeordnet.
  • „credentialProvider“ wurde auf „security_result.detection_fields“ zugeordnet.
  • „device“ ist auf „additional.fields“ zugeordnet.
  • „zone“ ist „additional.fields“ zugeordnet.
  • „type“ ist „additional.fields“ zugeordnet.

2022-10-14

  • Fehlerkorrektur:
  • Bedingte Prüfung für „principal.user.email_addresses“ und „target.user.email_addresses“ hinzugefügt.
  • Grok-Regel hinzugefügt, um für das Feld „request.ipChain.0.ip“, das „principal.ip“ zugeordnet ist, eine gültige IP-Adresse zu prüfen.
  • Die Bedingung „on_error“ für das Feld „debugContext.debugData.url“, das auf „target.url“ zugeordnet ist, wurde hinzugefügt.

2022-10-03

  • „client.userAgent.os“ wurde auf „principal.platform“ zugeordnet.
  • „client.device“ wurde „principal.asset.type“ zugeordnet.
  • „Anonymisierte IP“ (hartcodierter String) wurde security_result.detection_fields.key zugeordnet, wobei der Wert „securityContext.isProxy“ dem entsprechenden Wert von security_result.detection_fields.value zugeordnet wurde.

2022-09-16

  • „securityContext.asOrg“ wurde „security_result.category_details“ zugeordnet.
  • „securityContext.isProxy“ ist auf „security_result.detection_fields“ zugeordnet.
  • „securityContext.domain“ ist auf „security_result.detection_fields“ zugeordnet.
  • „securityContext.isp“ ist auf „security_result.detection_fields“ zugeordnet.
  • „debugContext.debugData.risk.level“ wird auf „security_result.severity“ zugeordnet.
  • „debugContext.debugData.risk.reasons“ wird auf „security_result.detection_fields“ zugeordnet.

2022-08-12

  • Die neu aufgenommenen Protokolle wurden analysiert und den folgenden Feldern zugeordnet:
  • „detail.uuid“ ist mit „metadata.product_log_id“ verknüpft.
  • „detail.eventType“ wird auf „metadata.product_event_type“ zugeordnet
  • „detail.actor.id“ ist mit „principal.user.product_object_id“ verknüpft.
  • if 'detail.actor.alternateId' mapped to 'principal.user.userid' else
  • „detail.actor.alternateId“ ist auf „principal.user.email_addresses“ zugeordnet.
  • „detail.actor.displayName“ ist „principal.user.user_display_name“ zugeordnet.
  • „detail.actor.type“ ist auf „.principal.user.attribute.roles“ zugeordnet.
  • „detail.client.ipChain.0.ip“ ist „principal.ip“ zugeordnet.
  • „detail.client.ipChain.0.geographicalContext.state“ wird auf „principal.location.state“ zugeordnet.
  • „detail.client.ipChain.0.geographicalContext.city“ wird auf „principal.location.city“ zugeordnet.
  • „detail.client.ipChain.0.geographicalContext.country“ wird auf „principal.location.country_or_region“ zugeordnet.
  • „detail.debugContext.debugData.requestUri“ ist auf „target.url“ zugeordnet.
  • „detail.target.0.type“ ist auf „target.resource.resource_subtype“ zugeordnet.
  • „detail.target.0.id“ ist auf „target.resource.resource.product_object_id“ zugeordnet.
  • „detail.target.0.displayName“ ist auf „target.resource.resource_subtype“ zugeordnet.
  • „detail.target.0.detailEntry.policyType“ ist auf „target.resource_ancestors.attribute.labels“ zugeordnet.
  • „detail.outcome.reason“ wird „security_result.category_details“ zugeordnet.
  • „detail.debugContext.debugData.threatSuspected“ wurde in „security_result.detection_fields“ umgewandelt.
  • „detail.displayMessage“ ist „security_result.summary“ zugeordnet.
  • „detail.outcome.result“ wurde „security_result.action“ zugeordnet.
  • „detail.severity“ ist „security_result.severity“ zugeordnet.
  • „detail.transaction.id“ ist mit „network.session_id“ verknüpft.
  • „detail.debugContext.debugData.requestUri“ ist auf „extensions.auth.auth_details“ zugeordnet.

2022-07-08

  • Die Zuordnung für „actor.type“ wurde von „principal.user.role_name“ zu „principal.user.attribute.roles“ geändert.
  • Die Zuordnung für „target.0.type“ wurde von „target.user.role_name“ zu „target.user.attribute.roles“ geändert.
  • Die Zuordnung für „target.1.type“ wurde von „target.user.role_name“ zu „target.user.attribute.roles“ geändert.

2022-06-15

  • Enhancement-
  • für „target.0.type“ == „Token“.
  • „target.0.detailEntry.clientAppId“ wurde in „target.asset_id“ geändert.
  • Bedingte Prüfung für das Feld „transaction.id“, das dem UDM-Feld „network.session_id“ zugeordnet ist, hinzugefügt.

2022-06-03

  • Enhancement-
  • debugContext.debugData.privilegeGranted wurde zusätzlich zu target.user.attribute.roles.name zugeordnet.
  • debugContext.debugData.requestUri wurde in extensions.auth.auth_details geändert.
  • debugContext.debugData.suspiciousActivityEventId, debugContext.debugData.threatDetections und debugContext.debugData.threatSuspected wurden security_result.detection_fields zugeordnet.

2022-03-22

  • Enhancement-
  • debugContext.debugData.behaviors mapped to security_result.description.
  • debugContext.debugData.threatSuspected wird security_result.threat_status zugeordnet.
  • debugContext.debugData.risk wird auf security_result.severity zugeordnet.