Cloudflare-Logs erfassen

Unterstützt in:

Übersicht

Dieser Parser verarbeitet verschiedene Cloudflare-Logtypen (DNS, HTTP, Audit, Zero Trust, CASB). Dabei werden zuerst allgemeine Felder normalisiert und dann bedingte Logik basierend auf bestimmten Feldern wie QueryName, Action und ID angewendet, um relevante Daten zu extrahieren und dem UDM zuzuordnen. Außerdem werden Datentypkonvertierungen und Grok-Abgleiche für IP-Adressen und Hashes durchgeführt und verschachtelte JSON-Nutzlasten verarbeitet.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Privilegierter Zugriff auf Google Cloud IAM.
  • Berechtigter Zugriff auf Google Cloud Storage.
  • Privilegierter Zugriff auf Cloudflare.

Google Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud -Konsole an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht (z. B. cloudflare-data).
      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.
      1. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Abschnitt Labels zu maximieren.
      2. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Standorttyp auswählen.
      2. Wählen Sie im Drop-down-Menü für den Standorttyp einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.
        1. Wenn Sie den Standorttyp Dual-Region auswählen, können Sie auch die Turboreplikation aktivieren, indem Sie das entsprechende Kästchen anklicken.
      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie unter Datenschutz die gewünschten Optionen für Ihren Bucket aus.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit dem Label Datenverschlüsselung und wählen Sie eine Datenverschlüsselungsmethode aus.

  5. Klicken Sie auf Erstellen.

Google Cloud-Dienstkonto erstellen

  1. Rufen Sie IAM und Verwaltung > Dienstkonten auf.
  2. Erstellen Sie ein neues Dienstkonto.
  3. Geben Sie ihm einen aussagekräftigen Namen, z. B. cloudflare-logs.
  4. Weisen Sie dem Dienstkonto die Rolle Storage-Objekt-Ersteller für den GCS-Bucket zu, den Sie im vorherigen Schritt erstellt haben.
  5. Erstellen Sie einen Dienstkontoschlüssel für das Dienstkonto.
  6. Laden Sie eine JSON-Schlüsseldatei für das Dienstkonto herunter. Bewahren Sie diese Datei sicher auf.

Cloudflare IAM für Google Cloud Storage aktivieren

  1. Gehen Sie zu Storage > Browser > Bucket > Berechtigungen.
  2. Fügen Sie das Mitglied logpush@cloudflare-data.iam.gserviceaccount.com mit der Berechtigung Storage-Objekt-Administrator hinzu.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Cloudflare Logs (Cloudflare-Logs).
  5. Wählen Sie Google Cloud Storage als Quelltyp aus.
  6. Wählen Sie Cloudflare als Logtyp aus.
  7. Klicken Sie auf Dienstkonto abrufen als Chronicle-Dienstkonto.
  8. Klicken Sie auf Weiter.

  9. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URI: Google Cloud Storage-Bucket-URL im Format gs://my-bucket/<value>.
    • URI ist ein: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.
    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.

  10. Klicken Sie auf Weiter.

  11. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Storage-Bucket-URI: Google Cloud Storage-Bucket-URL im Format gs://my-bucket/<value>.
  • URI ist ein: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.

  • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Cloudflare so konfigurieren, dass Logs an Google Cloud Storage gesendet werden

  1. Melden Sie sich im Cloudflare-Dashboard an.
  2. Wählen Sie das Unternehmenskonto oder die Domain (auch als Zone bezeichnet) aus, die Sie mit Logpush verwenden möchten.
  3. Rufen Sie Analytics & Logs > Logpush auf.
  4. Wählen Sie Logpush-Job erstellen aus.
  5. Wählen Sie unter Ziel auswählen die Option Google Cloud Storage aus.

  6. Geben Sie die folgenden Zieldetails ein oder wählen Sie sie aus:

    • Bucket: Name des GCS-Buckets
    • Pfad: Bucket-Speicherort im Speichercontainer
    • Kästchen: Logs in täglichen Unterordnern organisieren (empfohlen)

  7. Klicken Sie auf Weiter.

  8. Bestätigung der Inhaberschaft:

    1. Cloudflare sendet eine Datei an Ihren Bucket.
    2. Kopieren Sie das Token und fügen Sie es ein:
      1. Melden Sie sich in der Google Cloud -Konsole> „Speicher“ > „Cloudflare-Bucket“ an.
      2. Öffnen Sie die Datei für den Inhaberschaftsnachweis.
      3. Kopieren Sie das Ownership Token (Inhaberschaftstoken).
      4. Geben Sie das Inhaberschaftstoken in der Cloudflare-Konsole ein.
      5. Wählen Sie Weiter aus.
    3. Wählen Sie das Dataset aus, das in den Bucket übertragen werden soll.

  9. Logpush-Job konfigurieren:

    1. Geben Sie den Jobnamen ein.
    2. Unter Wenn Protokolle übereinstimmen können Sie die Ereignisse auswählen, die in Ihre Protokolle aufgenommen bzw. daraus entfernt werden sollen.
    1. Folgende Felder senden: Wählen Sie aus, ob alle Logs übertragen oder bestimmte Logs übertragen werden sollen.

  10. Wählen Sie Senden aus, um die Konfiguration abzuschließen.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
AccountID target.resource.id, target.resource.product_object_id Die mit dem Ereignis verknüpfte Konto-ID.
Action security_result.action Aufgrund des Ereignisses ergriffene Maßnahme. allow oder allowed* führt zu ALLOW. unknown führt zu UNKNOWN_ACTION. Andere Werte führen zu BLOCK. Bei Zugriffslogs wird login USER_LOGIN, logout USER_LOGOUT und andere Werte USER_RESOURCE_ACCESS zugeordnet, sofern eine E-Mail-Adresse vorhanden ist.
ActionResult security_result.action Bei true wird ALLOW zugeordnet. Bei false wird BLOCK zugeordnet. Andernfalls wird UNKNOWN_ACTION zugeordnet.
ActionType security_result.description Beschreibung der ausgeführten Aktion.
ActorEmail principal.user.email_addresses E‑Mail-Adresse des Akteurs, der das Ereignis initiiert.
ActorID principal.user.product_object_id ID des Akteurs, der das Ereignis initiiert hat.
ActorIP principal.ip, principal.asset.ip IP-Adresse des Akteurs, der das Ereignis initiiert.
Allowed security_result.action Bei true wird ALLOW zugeordnet. Andernfalls wird BLOCK zugeordnet.
AppDomain target.administrative_domain Domain der Anwendung, die an dem Ereignis beteiligt ist.
AppUUID target.resource.product_object_id UUID der am Ereignis beteiligten Anwendung.
AssetDisplayName principal.asset.attribute.labels.value, wobei der Schlüssel AssetDisplayName ist Der Anzeigename des Assets.
AssetExternalID principal.asset_id (mit dem Präfix „Cloudflare:“) Die externe ID des Assets.
AssetLink principal.url Mit dem Asset verknüpfter Link.
AssetMetadata.agreedToTerms principal.user.attribute.labels.value, wobei der Schlüssel agreedToTerms ist Gibt an, ob der Nutzer den Nutzungsbedingungen zugestimmt hat.
AssetMetadata.changePasswordAtNextLogin principal.user.attribute.labels.value, wobei der Schlüssel changePasswordAtNextLogin ist Gibt an, ob der Nutzer bei der nächsten Anmeldung das Passwort ändern muss.
AssetMetadata.clientId principal.user.userid Client-ID aus den Asset-Metadaten.
AssetMetadata.customerId principal.user.userid Kundennummer aus den Asset-Metadaten.
AssetMetadata.familyName principal.user.last_name Familienname des Nutzers aus den Asset-Metadaten.
AssetMetadata.givenName principal.user.first_name Vorname des Nutzers aus den Asset-Metadaten.
AssetMetadata.includeInGlobalAddressList principal.user.attribute.labels.value, wobei der Schlüssel includeInGlobalAddressList ist Gibt an, ob der Nutzer in der globalen Adressliste enthalten ist.
AssetMetadata.ipWhitelisted principal.user.attribute.labels.value, wobei der Schlüssel ipWhitelisted ist Gibt an, ob der Nutzer auf der IP-Zulassungsliste steht.
AssetMetadata.isAdmin principal.user.attribute.labels.value, wobei der Schlüssel isAdmin ist Gibt an, ob der Nutzer ein Administrator ist.
AssetMetadata.isDelegatedAdmin principal.user.attribute.labels.value, wobei der Schlüssel isDelegatedAdmin ist Gibt an, ob der Nutzer ein delegierter Administrator ist.
AssetMetadata.isEnforcedIn2Sv principal.user.attribute.labels.value, wobei der Schlüssel isEnforcedIn2Sv ist Gibt an, ob die Bestätigung in zwei Schritten für den Nutzer erzwungen wird.
AssetMetadata.isEnrolledIn2Sv principal.user.attribute.labels.value, wobei der Schlüssel isEnrolledIn2Sv ist Informationen darüber, ob der Nutzer für die Bestätigung in zwei Schritten registriert ist.
AssetMetadata.kind (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
AssetMetadata.lastLoginTime principal.user.attribute.labels.value, wobei der Schlüssel lastLoginTime ist Zeitpunkt der letzten Anmeldung des Nutzers.
AssetMetadata.login principal.user.userid Anmeldename aus den Asset-Metadaten.
AssetMetadata.name.familyName principal.user.last_name Familienname aus den Asset-Metadaten.
AssetMetadata.name.fullName principal.user.user_display_name Vollständiger Name aus den Asset-Metadaten.
AssetMetadata.name.givenName principal.user.first_name Vorname aus den Asset-Metadaten.
AssetMetadata.nativeApp security_result.detection_fields.value, wobei der Schlüssel nativeApp ist Gibt an, ob die App nativ ist.
AssetMetadata.owner.id principal.user.userid Inhaber-ID aus den Asset-Metadaten.
AssetMetadata.primaryEmail principal.user.email_addresses Primäre E‑Mail-Adresse aus den Asset-Metadaten.
AssetMetadata.scopes (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
AssetMetadata.site_admin principal.user.attribute.labels.value, wobei der Schlüssel site_admin ist Gibt an, ob der Nutzer ein Websiteadministrator ist.
AssetMetadata.suspended principal.user.attribute.labels.value, wobei der Schlüssel suspended ist Gibt an, ob der Nutzer gesperrt ist.
AssetMetadata.url principal.url URL aus den Asset-Metadaten.
AssetMetadata.userKey principal.user.attribute.labels.value, wobei der Schlüssel userKey ist Nutzerschlüssel aus den Asset-Metadaten.
BlockedFileHash target.file.md5, target.file.sha1, target.file.sha256 Hashes der blockierten Datei. Wird mit grok geparst, um md5, sha1 oder sha256 zu extrahieren.
BlockedFileName security_result.about.file.full_path Name der blockierten Datei.
BlockedFileReason security_result.summary Grund für das Blockieren der Datei.
BlockedFileSize target.file.size Größe der blockierten Datei.
BotScore security_result.detection_fields.value, wobei der Schlüssel BotScore ist Die der Anfrage zugewiesene Bot-Punktzahl.
BytesReceived network.received_bytes Anzahl der empfangenen Byte.
BytesSent network.sent_bytes Anzahl der gesendeten Byte.
CacheCacheStatus additional.fields.value.string_value, wobei der Schlüssel CacheCacheStatus ist Status des Caches.
CacheResponseBytes additional.fields.value.string_value, wobei der Schlüssel CacheResponseBytes ist Anzahl der Byte in der im Cache gespeicherten Antwort.
CacheResponseStatus additional.fields.value.string_value, wobei der Schlüssel CacheResponseStatus ist Statuscode der im Cache gespeicherten Antwort.
ClientASN (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
ClientCountry principal.location.country_or_region Land des Kunden.
ClientDeviceType additional.fields.value.string_value, wobei der Schlüssel ClientDeviceType ist Typ des Clientgeräts.
ClientIP principal.ip, principal.asset.ip IP-Adresse des Clients.
ClientRequestMethod network.http.method Die vom Client verwendete HTTP-Anfragemethode.
ClientRequestHost target.hostname, target.asset.hostname Der vom Client angeforderte Hostname.
ClientRequestPath (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
ClientRequestProtocol network.application_protocol In der Clientanfrage verwendetes Protokoll (z.B. HTTP, HTTPS). Die Protokollversion wird entfernt.
ClientRequestReferer network.http.referral_url Referrer-URL der Clientanfrage.
ClientRequestURI target.url (in Kombination mit ClientRequestHost, falls vorhanden) Der vom Client angeforderte URI.
ClientRequestUserAgent network.http.user_agent User-Agent der Clientanfrage. Wird auch geparst und network.http.parsed_user_agent zugeordnet.
ClientSSLCipher network.tls.cipher Die vom Client verwendete SSL-Chiffre.
ClientSSLProtocol network.tls.version Das vom Client verwendete SSL-Protokoll.
ClientSrcPort principal.port Quellport des Clients.
ClientTCPHandshakeDurationMs additional.fields.value.string_value, wobei der Schlüssel ClientTCPHandshakeDurationMs ist Dauer des TCP-Handshakes des Clients.
ClientTLSHandshakeDurationMs additional.fields.value.string_value, wobei der Schlüssel ClientTLSHandshakeDurationMs ist Dauer des Client-TLS-Handshakes.
ClientTLSVersion network.tls.version Vom Client verwendete TLS-Version.
ColoID (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
Connection target.resource.attribute.labels.value, wobei der Schlüssel Connection ist Verbindungstyp (z. B. SAML)
ConnectionCloseReason additional.fields.value.string_value, wobei der Schlüssel ConnectionCloseReason ist Grund für die Schließung der Verbindung.
ConnectionReuse additional.fields.value.string_value, wobei der Schlüssel ConnectionReuse ist Gibt an, ob die Verbindung wiederverwendet wurde.
Country target.location.country_or_region Das Land, das dem Ereignis zugeordnet ist.
CreatedAt metadata.event_timestamp Zeitstempel der Ereigniserstellung.
Datetime metadata.event_timestamp Datum und Uhrzeit des Termins.
DestinationIP target.ip, target.asset.ip IP-Adresse des Ziels.
DestinationPort target.port Zielport.
DestinationTunnelID additional.fields.value.string_value, wobei der Schlüssel DestinationTunnelID ist ID des Ziel-Tunnels.
DeviceID principal.asset_id (mit dem Präfix „Cloudflare:“) ID des Geräts.
DeviceName principal.hostname, principal.asset.hostname, principal.asset.attribute.labels.value, wobei der Schlüssel DeviceName ist. Name des Geräts
DownloadedFileNames security_result.about.labels.value, wobei der Schlüssel DownloadFileNames ist Namen heruntergeladener Dateien.
DstIP target.ip, target.asset.ip IP-Adresse des Ziels.
DstPort target.port Zielport.
EdgeColoCode additional.fields.value.string_value, wobei der Schlüssel EdgeColoCode ist Cloudflare-Edge-Standortcode.
EdgeColoID additional.fields.value.string_value, wobei der Schlüssel EdgeColoID ist Cloudflare-Edge-Standort-ID.
EdgeEndTimestamp (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
EdgeResponseBytes network.received_bytes Anzahl der Byte in der Antwort vom Edge.
EdgeResponseContentType target.file.mime_type Inhaltstyp der Edge-Antwort.
EdgeResponseStatus network.http.response_code Statuscode der Edge-Antwort.
EdgeServerIP target.ip, target.asset.ip IP-Adresse des Edge-Servers.
EdgeStartTimestamp metadata.event_timestamp Zeitstempel für den Beginn der Anfrage am Edge.
Email principal.user.email_addresses, target.user.email_addresses Mit dem Ereignis verknüpfte E‑Mail-Adresse.
EgressColoName additional.fields.value.string_value, wobei der Schlüssel EgressColoName ist Name des Egress-Colo.
EgressIP principal.ip, principal.asset.ip Ausgangs-IP-Adresse Legt network.direction auf OUTBOUND fest.
EgressPort principal.port Ausgangsport.
EgressRuleID additional.fields.value.string_value, wobei der Schlüssel EgressRuleID ist ID der Regel für ausgehenden Traffic.
EgressRuleName additional.fields.value.string_value, wobei der Schlüssel EgressRuleName ist Name der Regel für ausgehenden Traffic.
FindingTypeDisplayName security_result.description Anzeigename des Ergebnistyps.
FindingTypeID security_result.rule_id ID des Ergebnistyps.
FindingTypeSeverity security_result.severity Schweregrad des Ergebnistyps.
FirewallMatchesActions security_result.action Aktionen, die von Firewallregeln ausgeführt werden. allow, Allow, ALLOW, skip, SKIP, Skip werden ALLOW zugeordnet. challengeSolved und jschallengeSolved werden ALLOW_WITH_MODIFICATION zugeordnet. drop und block werden BLOCK zugeordnet. Andere Werte werden UNKNOWN_ACTION zugeordnet.
FirewallMatchesRuleIDs security_result.rule_id (für die erste ID). Bei nachfolgenden IDs werden neue security_result-Objekte erstellt. IDs der übereinstimmenden Firewallregeln.
FirewallMatchesSources security_result.rule_name Quellen der übereinstimmenden Firewallregeln.
HTTPHost target.hostname HTTP-Host.
HTTPMethod network.http.method HTTP-Methode.
HTTPVersion network.application_protocol Wenn der Wert „HTTP“ enthält, wird network.application_protocol auf HTTP festgelegt.
ID metadata.product_log_id ID des Ereignisses.
IngressColoName additional.fields.value.string_value, wobei der Schlüssel IngressColoName ist Name des Ingress-Colo.
InstanceID principal.resource.product_object_id ID der Instanz.
IntegrationDisplayName additional.fields.value.string_value, wobei der Schlüssel IntegrationDisplayName ist Anzeigename der Integration.
IntegrationID metadata.product_deployment_id ID der Integration.
IntegrationPolicyVendor additional.fields.value.string_value, wobei der Schlüssel IntegrationPolicyVendor ist Anbieter der Integrationsrichtlinie.
IPAddress target.ip, target.asset.ip IP-Adresse, die mit dem Ereignis verknüpft ist.
IsIsolated about.labels.value, wobei der Schlüssel IsIsolated ist, security_result.about.resource.attribute.labels.value, wobei der Schlüssel IsIsolated ist Gibt an, ob der Vorfall isoliert ist.
Location principal.location.name Der mit dem Ereignis verknüpfte Ort.
NewValue security_result.about.labels.value, wobei der Schlüssel NewValue ist Neuer Wert nach einer Aktualisierung.
Offramp additional.fields.value.string_value, wobei der Schlüssel Offramp ist Die in der Verbindung verwendete Offramp.
OldValue security_result.about.labels.value, wobei der Schlüssel OldValue ist Alter Wert vor einer Aktualisierung.
OriginIP intermediary.ip, target.ip, target.asset.ip IP-Adresse des Ursprungs.
OriginPort target.port Ursprungsport.
OriginResponseBytes additional.fields.value.string_value, wobei der Schlüssel OriginResponseBytes ist Anzahl der Byte in der Ursprungsantwort.
OriginResponseStatus additional.fields.value.string_value, wobei der Schlüssel OriginResponseStatus ist Statuscode der Ursprungsantwort.
OriginResponseTime additional.fields.value.string_value, wobei der Schlüssel OriginResponseTime ist Antwortzeit des Ursprungsservers.
OriginSSLProtocol (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
OriginTLSCertificateIssuer additional.fields.value.string_value, wobei der Schlüssel OriginTLSCertificateIssuer ist Aussteller des TLS-Zertifikats des Ursprungs.
OriginTLSCertificateValidationResult additional.fields.value.string_value, wobei der Schlüssel OriginTLSCertificateValidationResult ist Ergebnis der Validierung des TLS-Zertifikats des Ursprungs.
OriginTLSCipher additional.fields.value.string_value, wobei der Schlüssel OriginTLSCipher ist Die Chiffre, die in der TLS-Verbindung zum Ursprungsserver verwendet wird.
OriginTLSHandshakeDurationMs additional.fields.value.string_value, wobei der Schlüssel OriginTLSHandshakeDurationMs ist Dauer des TLS-Handshakes am Ursprungsserver.
OriginTLSVersion additional.fields.value.string_value, wobei der Schlüssel OriginTLSVersion ist Die vom Ursprung verwendete TLS-Version.
OwnerID target.user.product_object_id ID des Inhabers.
Policy security_result.rule_name Die mit dem Ereignis verknüpfte Richtlinie.
PolicyID security_result.rule_id ID der Richtlinie.
PolicyName security_result.rule_name Name der Richtlinie.
Protocol network.application_protocol, network.ip_protocol In der Verbindung verwendetes Protokoll. Wenn nicht „tls“ oder „TLS“, wird der Wert in Großbuchstaben umgewandelt und network.application_protocol zugeordnet. Andernfalls wird sie mit einer Include-Datei geparst und network.ip_protocol zugeordnet.
PurposeJustificationPrompt (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
PurposeJustificationResponse (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
QueryCategoryIDs security_result.about.labels.value, security_result.about.resource.attribute.labels.value, wobei der Schlüssel QueryCategoryIDs ist. IDs von Abfragekategorien.
QueryName network.dns.questions.name Name der DNS-Abfrage. Setzt metadata.event_type auf NETWORK_DNS und network.application_protocol auf DNS.
QueryNameReversed network.dns.questions.name Umgekehrter Name der DNS-Abfrage.
QuerySize network.sent_bytes Größe der Anfrage.
QueryType network.dns.questions.type Typ der DNS-Abfrage. Wird numerischen Werten basierend auf DNS-Abfragetypcodes zugeordnet.
RData network.dns.answers.type, network.dns.answers.data DNS-Eintragsdaten. Für jedes Element im RData-Array wird ein neues answer-Objekt erstellt.
RayID metadata.product_log_id Die mit der Anfrage verknüpfte Ray-ID.
Referer network.http.referral_url Verweis-URL
RequestID metadata.product_log_id ID der Anfrage.
ResolverDecision security_result.summary Entscheidung des Schiedsrichters.
ResourceID target.resource.id, target.resource.product_object_id ID der Ressource.
ResourceType target.resource.resource_subtype Typ der Ressource.
RuleEvaluationDurationMs additional.fields.value.string_value, wobei der Schlüssel RuleEvaluationDurationMs ist Dauer der Regelauswertung.
SNI network.tls.client.server_name Servernamensangabe (Server Name Indication, SNI) in TLS-ClientHello.
SecurityAction security_result.action Es wurde eine Sicherheitsmaßnahme ergriffen. Ein leerer Wert oder kein SecurityAction wird ALLOW zugeordnet. challengeSolved oder jschallengeSolved wird ALLOW_WITH_MODIFICATION zugeordnet. drop oder block wird BLOCK zugeordnet.
SecurityLevel security_result.severity Sicherheitsniveau. high wird HIGH zugeordnet, med wird MEDIUM zugeordnet und low wird LOW zugeordnet.
SessionEndTime additional.fields.value.string_value, wobei der Schlüssel SessionEndTime ist Endzeit des Trainings.
SessionID network.session_id ID der Sitzung.
SessionStartTime metadata.event_timestamp Startzeit der Sitzung.
SourceIP principal.ip, principal.asset.ip, src.ip, src.asset.ip IP-Adresse der Quelle.
SourcePort principal.port, src.port Quellport.
SrcIP principal.ip, principal.asset.ip IP-Adresse der Quelle.
SrcPort principal.port Quellport.
TemporaryAccessDuration network.session_duration.seconds Dauer des temporären Zugriffs
Timestamp metadata.event_timestamp Zeitstempel des Ereignisses.
Transport network.ip_protocol Transportprotokoll. In Großbuchstaben umgewandelt und mit einer Include-Datei geparst.
UploadedFileNames security_result.about.labels.value, wobei der Schlüssel UploadedFileNames ist Namen der hochgeladenen Dateien.
URL target.url Die URL, die mit dem Ereignis in Verbindung steht.
UserAgent network.http.user_agent User-Agent-String. Wird auch geparst und network.http.parsed_user_agent zugeordnet.
UserID principal.user.product_object_id, event.idm.read_only_udm.target.user.product_object_id ID des Nutzers.
UserUID target.user.product_object_id UID des Nutzers.
VirtualNetworkID principal.resource.product_object_id ID des virtuellen Netzwerks.
WAFAction security_result.about.labels.value, wobei der Schlüssel WAFAction ist Von der Web Application Firewall (WAF) ergriffene Maßnahme.
WAFAttackScore security_result.about.resource.attribute.labels.value, wobei der Schlüssel WAFAttackScore ist Der von der WAF zugewiesene Angriffswert.
WAFFlags security_result.about.resource.attribute.labels.value, wobei der Schlüssel WAFFlags ist WAF-Flags
WAFMatchedVar (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
WAFProfile security_result.about.labels.value, wobei der Schlüssel WAFProfile ist WAF-Profil.
WAFRCEAttackScore security_result.about.resource.attribute.labels.value, wobei der Schlüssel WAFRCEAttackScore ist WAF-Bewertung für RCE-Angriffe (Remote Code Execution).
WAFRuleID security_result.threat_id, security_result.about.labels.value, wobei der Schlüssel WAFRuleID ist. ID der WAF-Regel.
WAFRuleMessage security_result.rule_name, security_result.threat_name Nachricht, die mit der WAF-Regel verknüpft ist.
WAFSQLiAttackScore security_result.about.resource.attribute.labels.value, wobei der Schlüssel WAFSQLiAttackScore ist WAF-Punktzahl für SQL-Injection-Angriffe.
WAFXSSAttackScore security_result.about.resource.attribute.labels.value, wobei der Schlüssel WAFXSSAttackScore ist WAF-Angriffswert für Cross-Site-Scripting (XSS).
ZoneID additional.fields.value.string_value, wobei der Schlüssel ZoneID ist Zonen-ID.
event.idm.read_only_udm.metadata.event_type metadata.event_type Art des Ereignisses. Wird vom Parser basierend auf den Logdaten festgelegt. Wenn kein Wert festgelegt ist oder ein NETWORK_DNS-Ereignis kein Hauptkonto oder Ziel hat, wird standardmäßig GENERIC_EVENT verwendet. Kann NETWORK_DNS, NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_RESOURCE_UPDATE_CONTENT oder GENERIC_EVENT sein.
event.idm.read_only_udm.metadata.log_type metadata.log_type Der Protokolltyp ist auf „CLOUDFLARE“ festgelegt.
event.idm.read_only_udm.metadata.product_deployment_id metadata.product_deployment_id Produktbereitstellungs-ID.
event.idm.read_only_udm.metadata.product_log_id metadata.product_log_id Produkt-Log-ID.
event.idm.read_only_udm.metadata.product_name metadata.product_name Produktname Wird vom Parser basierend auf den Logdaten festgelegt. Mögliche Werte: „Cloudflare Gateway DNS“, „Cloudflare Gateway HTTP“, „Cloudflare Audit“, „Web Application Firewall“.
event.idm.read_only_udm.metadata.vendor_name metadata.vendor_name Anbietername, auf „Cloudflare“ festgelegt.
event.idm.read_only_udm.metadata.event_timestamp metadata.event_timestamp Zeitstempel des Ereignisses.
event.idm.read_only_udm.network.application_protocol network.application_protocol Das in der Netzwerkverbindung verwendete Anwendungsprotokoll.
event.idm.read_only_udm.network.direction network.direction Richtung der Netzwerkverbindung. Auf OUTBOUND setzen, wenn EgressIP und SourceIP vorhanden sind.
event.idm.read_only_udm.network.dns.answers network.dns.answers DNS-Antworten.
event.idm.read_only_udm.network.dns.questions network.dns.questions Fragen zu DNS.
event.idm.read_only_udm.network.http.method network.http.method HTTP-Methode.
event.idm.read_only_udm.network.http.parsed_user_agent network.http.parsed_user_agent Geprüfter User-Agent.
event.idm.read_only_udm.network.http.referral_url network.http.referral_url HTTP-Verweis-URL
event.idm.read_only_udm.network.http.response_code network.http.response_code HTTP-Antwortcode.
event.idm.read_only_udm.network.http.user_agent network.http.user_agent HTTP-User-Agent.
event.idm.read_only_udm.network.ip_protocol network.ip_protocol IP-Protokoll
event.idm.read_only_udm.network.received_bytes network.received_bytes Anzahl der empfangenen Byte.
event.idm.read_only_udm.network.sent_bytes network.sent_bytes Anzahl der gesendeten Byte.
event.idm.read_only_udm.network.session_duration.seconds network.session_duration.seconds Dauer der Netzwerksitzung in Sekunden.
event.idm.read_only_udm.network.session_id network.session_id Netzwerksitzungs-ID.
event.idm.read_only_udm.network.tls.cipher network.tls.cipher TLS-Cipher Suite.
event.idm.read_only_udm.network.tls.client.server_name network.tls.client.server_name TLS-Client-Servername.
event.idm.read_only_udm.network.tls.version network.tls.version TLS-Version.
event.idm.read_only_udm.principal.asset.attribute.labels principal.asset.attribute.labels Labels, die mit dem Haupt-Asset verknüpft sind.
event.idm.read_only_udm.principal.asset.hostname principal.asset.hostname Hostname des primären Assets.
event.idm.read_only_udm.principal.asset.ip principal.asset.ip IP-Adresse des primären Assets.
event.idm.read_only_udm.principal.asset_id principal.asset_id ID des Haupt-Assets.
event.idm.read_only_udm.principal.hostname principal.hostname Hostname des Prinzipal.
event.idm.read_only_udm.principal.ip principal.ip IP-Adresse des Hauptkontos.
event.idm.read_only_udm.principal.location.country_or_region principal.location.country_or_region Land oder Region des Standorts des Auftraggebers.
event.idm.read_only_udm.principal.location.name principal.location.name Name des Standorts des Hauptkontos.
event.idm.read_only_udm.principal.port principal.port Vom Prinzipal verwendeter Port.
event.idm.read_only_udm.principal.resource.product_object_id principal.resource.product_object_id Produktobjekt-ID der Ressource des Rechtssubjekts.
event.idm.read_only_udm.principal.url principal.url URL, die mit dem Hauptkonto verknüpft ist.
event.idm.read_only_udm.principal.user.attribute.labels principal.user.attribute.labels Labels, die dem Hauptnutzer zugeordnet sind.
event.idm.read_only_udm.principal.user.email_addresses principal.user.email_addresses E‑Mail-Adressen des Hauptnutzers.
event.idm.read_only_udm.principal.user.first_name principal.user.first_name Vorname des Hauptnutzers.
event.idm.read_only_udm.principal.user.last_name principal.user.last_name Nachname des Hauptnutzers.
event.idm.read_only_udm.principal.user.product_object_id principal.user.product_object_id Produktobjekt-ID des Hauptnutzers.
event.idm.read_only_udm.principal.user.userid principal.user.userid Nutzer-ID des Hauptnutzers.
event.idm.read_only_udm.principal.user.user_display_name principal.user.user_display_name Anzeigename des Hauptnutzers.
event.idm.read_only_udm.src.asset.ip src.asset.ip IP-Adresse des Quell-Assets.
event.idm.read_only_udm.src.ip src.ip IP-Adresse der Quelle.
event.idm.read_only_udm.src.port src.port Port der Quelle.
event.idm.read_only_udm.target.administrative_domain target.administrative_domain Administrative Domain des Ziels.
event.idm.read_only_udm.target.asset.hostname target.asset.hostname Hostname des Ziel-Assets.
event.idm.read_only_udm.target.asset.ip target.asset.ip IP-Adresse des Zielassets.
event.idm.read_only_udm.target.file.mime_type target.file.mime_type MIME-Typ der Zieldatei.
event.idm.read_only_udm.target.file.md5 target.file.md5 MD5-Hash der Zieldatei.
event.idm.read_only_udm.target.file.sha1 target.file.sha1 SHA1-Hash der Zieldatei.
event.idm.read_only_udm.target.file.sha256 target.file.sha256 SHA256-Hash der Zieldatei.
event.idm.read_only_udm.target.file.size target.file.size Größe der Zieldatei.
event.idm.read_only_udm.target.hostname target.hostname Hostname des Ziels.
event.idm.read_only_udm.target.ip target.ip IP-Adresse des Ziels.
event.idm.read_only_udm.target.location.country_or_region target.location.country_or_region Land oder Region des Standorts des Ziels.
event.idm.read_only_udm.target.port target.port Port des Ziels.
event.idm.read_only_udm.target.resource.attribute.labels target.resource.attribute.labels Labels, die der Zielressource zugeordnet sind.
event.idm.read_only_udm.target.resource.id target.resource.id ID der Zielressource.
event.idm.read_only_udm.target.resource.product_object_id target.resource.product_object_id Produktobjekt-ID der Zielressource.
event.idm.read_only_udm.target.resource.resource_subtype target.resource.resource_subtype Ressourcenuntertyp der Zielressource.
event.idm.read_only_udm.target.url target.url URL des Ziels.
event.idm.read_only_udm.target.user.email_addresses target.user.email_addresses E‑Mail-Adressen des Zielnutzers.
event.idm.read_only_udm.target.user.product_object_id target.user.product_object_id Produktobjekt-ID des Zielnutzers.
event.idm.read_only_udm.security_result.about.file.full_path security_result.about.file.full_path Vollständiger Pfad der Datei, die am Sicherheitsergebnis beteiligt ist.
event.idm.read_only_udm.security_result.about.labels security_result.about.labels Labels, die dem Sicherheitsergebnis zugeordnet sind.
event.idm.read_only_udm.security_result.about.resource.attribute.labels security_result.about.resource.attribute.labels Labels, die mit der Ressource im Sicherheitsergebnis verknüpft sind.
event.idm.read_only_udm.security_result.action security_result.action Die im Sicherheitsergebnis ergriffene Maßnahme.
event.idm.read_only_udm.security_result.detection_fields security_result.detection_fields Erkennungsfelder im Sicherheitsergebnis.
event.idm.read_only_udm.security_result.description security_result.description Beschreibung des Sicherheitsergebnisses.
event.idm.read_only_udm.security_result.rule_id security_result.rule_id Regel-ID des Sicherheitsergebnisses.
event.idm.read_only_udm.security_result.rule_name security_result.rule_name Der Name der Regel für das Sicherheitsergebnis.
event.idm.read_only_udm.security_result.severity security_result.severity Schweregrad des Sicherheitsergebnisses.
event.idm.read_only_udm.security_result.summary security_result.summary Zusammenfassung des Sicherheitsergebnisses.
event.idm.read_only_udm.security_result.threat_id security_result.threat_id Bedrohungs-ID des Sicherheitsergebnisses.
event.idm.read_only_udm.security_result.threat_name security_result.threat_name Der Name der Bedrohung des Sicherheitsergebnisses.
event.idm.read_only_udm.extensions.auth.type extensions.auth.type Authentifizierungstyp. Auf MACHINE für An- und Abmeldeereignisse festgelegt.
event.idm.read_only_udm.about about Informationen.
event.idm.read_only_udm.additional.fields additional.fields Zusätzliche Felder
event.idm.read_only_udm.intermediary intermediary Informationen zu Vermittlern.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten