Recopilar registros de Cloudflare

Disponible en:

Información general

Este analizador gestiona varios tipos de registros de Cloudflare (DNS, HTTP, auditoría, Zero Trust y CASB). Primero normaliza los campos comunes y, después, aplica una lógica condicional basada en campos específicos, como QueryName, Action e ID, para extraer y asignar los datos pertinentes al UDM. También realiza conversiones de tipos de datos, coincidencias grok para direcciones IP y hashes, y gestiona cargas útiles de JSON anidadas.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Acceso privilegiado a Google Cloud IAM.
  • Acceso privilegiado a Google Cloud Storage.
  • Acceso privilegiado a Cloudflare.

Crea un Google Cloud segmento de almacenamiento

  1. Inicia sesión en la Google Cloud consola.

  2. Ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  3. Haz clic en Crear.

  4. En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:

    1. En la sección Empezar, haz lo siguiente:

      1. Introduce un nombre único que cumpla los requisitos de los nombres de los segmentos (por ejemplo, cloudflare-data).
      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este bucket.
      1. Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.
      2. Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.

    2. En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:

      1. Selecciona un Tipo de ubicación.
      2. Usa el menú desplegable del tipo de ubicación para seleccionar una Ubicación donde se almacenarán permanentemente los datos de los objetos de tu segmento.
        1. Si selecciona el tipo de ubicación de dos regiones, también puede habilitar la replicación turbo marcando la casilla correspondiente.
      3. Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.

    4. En la sección Elige cómo quieres controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos del segmento.

    5. En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
      2. Para elegir cómo se cifrarán los datos de los objetos, haga clic en la flecha del desplegable Cifrado de datos y seleccione un Método de cifrado de datos.

  5. Haz clic en Crear.

Crear una cuenta de servicio de Google Cloud

  1. Ve a IAM y administración > Cuentas de servicio.
  2. Crear una nueva cuenta de servicio.
  3. Asigna un nombre descriptivo (por ejemplo, cloudflare-logs).
  4. Asigna a la cuenta de servicio el rol Creador de objetos de almacenamiento en el segmento de GCS que has creado en el paso anterior.
  5. Crea una clave de cuenta de servicio para la cuenta de servicio.
  6. Descarga un archivo de clave JSON de la cuenta de servicio. Mantén este archivo seguro.

Habilitar Cloudflare IAM en Google Cloud Storage

  1. Ve a Almacenamiento > Navegador > Contenedor > Permisos.
  2. Añade el miembro logpush@cloudflare-data.iam.gserviceaccount.com con el permiso Administrador de objetos de Storage.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduzca un nombre para el feed (por ejemplo, Registros de Cloudflare).
  5. Selecciona Google Cloud Storage V2 como Tipo de origen.
  6. Seleccione Cloudflare como Tipo de registro.
  7. Haz clic en Obtener cuenta de servicio en Cuenta de servicio de Chronicle.
  8. Haz clic en Siguiente.

  9. Especifique los valores de los siguientes parámetros de entrada:

    • URI del segmento de almacenamiento: URL del segmento de almacenamiento de Google Cloud en formato gs://my-bucket/<value>/. Esta URL debe terminar con una barra inclinada (/).
    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.

  10. Haz clic en Siguiente.

  11. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Configurar Cloudflare para enviar registros a Google Cloud Storage

  1. Inicia sesión en el panel de control de Cloudflare.
  2. Selecciona la cuenta o el dominio de empresa (también conocido como zona) que quieras usar con Logpush.
  3. Ve a Analíticas y registros > Logpush.
  4. Selecciona Crear un trabajo Logpush.
  5. En Seleccionar un destino, elija Google Cloud Storage.

  6. Introduce o selecciona los siguientes detalles del destino:

    • Segmento: nombre del segmento de GCS
    • Ruta: ubicación del segmento en el contenedor de almacenamiento.
    • Casilla de verificación: organiza los registros en subcarpetas diarias (recomendado).

  7. Haz clic en Continuar.

  8. Verificación de la propiedad:

    1. Cloudflare enviará un archivo a tu segmento.
    2. Copia y pega el token:
      1. Inicia sesión en la consola deGoogle Cloud > Almacenamiento > segmento de Cloudflare.
      2. Abre el archivo de verificación de la propiedad.
      3. Copia el token de propiedad.
      4. Introduce el token de propiedad en la consola de Cloudflare.
      5. Selecciona Continuar.
    3. Seleccione el conjunto de datos que quiera enviar al contenedor.

  9. Configura el trabajo de envío de registros:

    1. Introduce el nombre del trabajo.
    2. En Si los registros coinciden, puede seleccionar los eventos que quiera incluir o quitar de sus registros.
    1. Enviar los siguientes campos: seleccione esta opción para enviar todos los registros o elija de forma selectiva los registros que quiera enviar.

  10. Selecciona Enviar para finalizar la configuración.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AccountID target.resource.id, target.resource.product_object_id Es el ID de la cuenta asociada al evento.
Action security_result.action Acción llevada a cabo en función del evento. allow o allowed* da como resultado ALLOW. unknown da como resultado UNKNOWN_ACTION. Otros valores dan como resultado BLOCK. En el caso de los registros de acceso, login se asigna a USER_LOGIN, logout a USER_LOGOUT y otros valores a USER_RESOURCE_ACCESS si hay un correo.
ActionResult security_result.action Si true, se asigna a ALLOW. Si false, se asigna a BLOCK. De lo contrario, se asigna a UNKNOWN_ACTION.
ActionType security_result.description Descripción de la acción realizada.
ActorEmail principal.user.email_addresses Dirección de correo del actor que inicia el evento.
ActorID principal.user.product_object_id ID del actor que inicia el evento.
ActorIP principal.ip, principal.asset.ip Dirección IP del actor que inicia el evento.
Allowed security_result.action Si true, se asigna a ALLOW. De lo contrario, se asigna a BLOCK.
AppDomain target.administrative_domain Dominio de la aplicación implicada en el evento.
AppUUID target.resource.product_object_id UUID de la aplicación implicada en el evento.
AssetDisplayName principal.asset.attribute.labels.value donde key es AssetDisplayName Nombre visible del recurso.
AssetExternalID principal.asset_id (con el prefijo "Cloudflare:") ID externo del recurso.
AssetLink principal.url Enlace asociado al recurso.
AssetMetadata.agreedToTerms principal.user.attribute.labels.value donde key es agreedToTerms Indica si el usuario ha aceptado los términos.
AssetMetadata.changePasswordAtNextLogin principal.user.attribute.labels.value donde key es changePasswordAtNextLogin Indica si el usuario debe cambiar la contraseña en el siguiente inicio de sesión.
AssetMetadata.clientId principal.user.userid ID de cliente de los metadatos del recurso.
AssetMetadata.customerId principal.user.userid ID de cliente de los metadatos del recurso.
AssetMetadata.familyName principal.user.last_name Apellidos del usuario, extraídos de los metadatos del recurso.
AssetMetadata.givenName principal.user.first_name Nombre del usuario, extraído de los metadatos del recurso.
AssetMetadata.includeInGlobalAddressList principal.user.attribute.labels.value donde key es includeInGlobalAddressList Si el usuario está incluido en la lista global de direcciones.
AssetMetadata.ipWhitelisted principal.user.attribute.labels.value donde key es ipWhitelisted Indica si la IP del usuario está incluida en la lista blanca.
AssetMetadata.isAdmin principal.user.attribute.labels.value donde key es isAdmin Si el usuario es administrador.
AssetMetadata.isDelegatedAdmin principal.user.attribute.labels.value donde key es isDelegatedAdmin Indica si el usuario es un administrador delegado.
AssetMetadata.isEnforcedIn2Sv principal.user.attribute.labels.value donde key es isEnforcedIn2Sv Indica si la verificación en dos pasos es obligatoria para el usuario.
AssetMetadata.isEnrolledIn2Sv principal.user.attribute.labels.value donde key es isEnrolledIn2Sv Indica si el usuario tiene activada la verificación en dos pasos.
AssetMetadata.kind (Sin asignar) No está asignado al objeto IDM.
AssetMetadata.lastLoginTime principal.user.attribute.labels.value donde key es lastLoginTime Hora del último inicio de sesión del usuario.
AssetMetadata.login principal.user.userid Nombre de inicio de sesión de los metadatos del recurso.
AssetMetadata.name.familyName principal.user.last_name Nombre de familia de los metadatos del recurso.
AssetMetadata.name.fullName principal.user.user_display_name Nombre completo de los metadatos del recurso.
AssetMetadata.name.givenName principal.user.first_name Nombre extraído de los metadatos del recurso.
AssetMetadata.nativeApp security_result.detection_fields.value donde key es nativeApp Indica si la aplicación es nativa.
AssetMetadata.owner.id principal.user.userid ID de propietario de los metadatos del recurso.
AssetMetadata.primaryEmail principal.user.email_addresses Correo principal de los metadatos del recurso.
AssetMetadata.scopes (Sin asignar) No está asignado al objeto IDM.
AssetMetadata.site_admin principal.user.attribute.labels.value donde key es site_admin Indica si el usuario es administrador del sitio.
AssetMetadata.suspended principal.user.attribute.labels.value donde key es suspended Indica si el usuario está suspendido.
AssetMetadata.url principal.url URL de los metadatos del recurso.
AssetMetadata.userKey principal.user.attribute.labels.value donde key es userKey Clave de usuario de los metadatos del recurso.
BlockedFileHash target.file.md5, target.file.sha1, target.file.sha256 Hashes del archivo bloqueado. Analizado con grok para extraer md5, sha1 o sha256.
BlockedFileName security_result.about.file.full_path Nombre del archivo bloqueado.
BlockedFileReason security_result.summary Motivo por el que se ha bloqueado el archivo.
BlockedFileSize target.file.size Tamaño del archivo bloqueado.
BotScore security_result.detection_fields.value donde key es BotScore Puntuación de bot asignada a la solicitud.
BytesReceived network.received_bytes Número de bytes recibidos.
BytesSent network.sent_bytes Número de bytes enviados.
CacheCacheStatus additional.fields.value.string_value donde key es CacheCacheStatus Estado de la caché.
CacheResponseBytes additional.fields.value.string_value donde key es CacheResponseBytes Número de bytes de la respuesta almacenada en caché.
CacheResponseStatus additional.fields.value.string_value donde key es CacheResponseStatus Código de estado de la respuesta almacenada en caché.
ClientASN (Sin asignar) No está asignado al objeto IDM.
ClientCountry principal.location.country_or_region País del cliente.
ClientDeviceType additional.fields.value.string_value donde key es ClientDeviceType Tipo de dispositivo cliente.
ClientIP principal.ip, principal.asset.ip Dirección IP del cliente.
ClientRequestMethod network.http.method Método de solicitud HTTP utilizado por el cliente.
ClientRequestHost target.hostname, target.asset.hostname Nombre de host solicitado por el cliente.
ClientRequestPath (Sin asignar) No está asignado al objeto IDM.
ClientRequestProtocol network.application_protocol Protocolo utilizado en la solicitud del cliente (por ejemplo, HTTP y HTTPS. Se elimina la versión del protocolo.
ClientRequestReferer network.http.referral_url URL referente de la solicitud del cliente.
ClientRequestURI target.url (combinado con ClientRequestHost si está presente) URI solicitado por el cliente.
ClientRequestUserAgent network.http.user_agent User-agent de la solicitud del cliente. También se ha analizado y asignado a network.http.parsed_user_agent.
ClientSSLCipher network.tls.cipher Cifrado SSL usado por el cliente.
ClientSSLProtocol network.tls.version Protocolo SSL usado por el cliente.
ClientSrcPort principal.port Puerto de origen del cliente.
ClientTCPHandshakeDurationMs additional.fields.value.string_value donde key es ClientTCPHandshakeDurationMs Duración de la negociación TCP del cliente.
ClientTLSHandshakeDurationMs additional.fields.value.string_value donde key es ClientTLSHandshakeDurationMs Duración del handshake TLS del cliente.
ClientTLSVersion network.tls.version Versión de TLS que usa el cliente.
ColoID (Sin asignar) No está asignado al objeto IDM.
Connection target.resource.attribute.labels.value donde key es Connection Tipo de conexión (por ejemplo, saml).
ConnectionCloseReason additional.fields.value.string_value donde key es ConnectionCloseReason Motivo del cierre de la conexión.
ConnectionReuse additional.fields.value.string_value donde key es ConnectionReuse Si se ha reutilizado la conexión.
Country target.location.country_or_region País asociado al evento.
CreatedAt metadata.event_timestamp Marca de tiempo de la creación del evento.
Datetime metadata.event_timestamp Fecha y hora del evento.
DestinationIP target.ip, target.asset.ip Dirección IP de destino.
DestinationPort target.port Puerto de destino.
DestinationTunnelID additional.fields.value.string_value donde key es DestinationTunnelID ID del túnel de destino.
DeviceID principal.asset_id (con el prefijo "Cloudflare:") ID del dispositivo.
DeviceName principal.hostname, principal.asset.hostname, principal.asset.attribute.labels.value, donde key es DeviceName Nombre del dispositivo.
DownloadedFileNames security_result.about.labels.value donde key es DownloadFileNames Nombres de los archivos descargados.
DstIP target.ip, target.asset.ip Dirección IP de destino.
DstPort target.port Puerto de destino.
EdgeColoCode additional.fields.value.string_value donde key es EdgeColoCode Código de ubicación perimetral de Cloudflare.
EdgeColoID additional.fields.value.string_value donde key es EdgeColoID ID de la ubicación perimetral de Cloudflare.
EdgeEndTimestamp (Sin asignar) No está asignado al objeto IDM.
EdgeResponseBytes network.received_bytes Número de bytes de la respuesta de la periferia.
EdgeResponseContentType target.file.mime_type Tipo de contenido de la respuesta de la red perimetral.
EdgeResponseStatus network.http.response_code Código de estado de la respuesta de la red perimetral.
EdgeServerIP target.ip, target.asset.ip Dirección IP del servidor perimetral.
EdgeStartTimestamp metadata.event_timestamp Marca de tiempo del inicio de la solicitud en el perímetro.
Email principal.user.email_addresses, target.user.email_addresses Dirección de correo asociada al evento.
EgressColoName additional.fields.value.string_value donde key es EgressColoName Nombre del colo de salida.
EgressIP principal.ip, principal.asset.ip Dirección IP de salida. Asigna el valor OUTBOUND a network.direction.
EgressPort principal.port Puerto de salida.
EgressRuleID additional.fields.value.string_value donde key es EgressRuleID ID de la regla de salida.
EgressRuleName additional.fields.value.string_value donde key es EgressRuleName Nombre de la regla de salida.
FindingTypeDisplayName security_result.description Nombre visible del tipo de resultado.
FindingTypeID security_result.rule_id ID del tipo de resultado.
FindingTypeSeverity security_result.severity Gravedad del tipo de resultado.
FirewallMatchesActions security_result.action Acciones realizadas por las reglas de cortafuegos. allow, Allow, ALLOW, skip, SKIP y Skip se asignan a ALLOW. challengeSolved y jschallengeSolved se asignan a ALLOW_WITH_MODIFICATION. drop y block se asignan a BLOCK. Otros valores se asignan a UNKNOWN_ACTION.
FirewallMatchesRuleIDs security_result.rule_id (para el primer ID), los IDs posteriores crean objetos security_result. IDs de las reglas de cortafuegos que han coincidido.
FirewallMatchesSources security_result.rule_name Fuentes de las reglas de cortafuegos que han coincidido.
HTTPHost target.hostname Host HTTP.
HTTPMethod network.http.method Método HTTP.
HTTPVersion network.application_protocol Si el valor contiene "HTTP", asigna network.application_protocol a HTTP.
ID metadata.product_log_id ID del evento.
IngressColoName additional.fields.value.string_value donde key es IngressColoName Nombre del colo de entrada.
InstanceID principal.resource.product_object_id ID de la instancia.
IntegrationDisplayName additional.fields.value.string_value donde key es IntegrationDisplayName Nombre visible de la integración.
IntegrationID metadata.product_deployment_id ID de la integración.
IntegrationPolicyVendor additional.fields.value.string_value donde key es IntegrationPolicyVendor Proveedor de la política de integración.
IPAddress target.ip, target.asset.ip Dirección IP asociada al evento.
IsIsolated about.labels.value donde la clave es IsIsolated, security_result.about.resource.attribute.labels.value donde la clave es IsIsolated Indica si el evento está aislado.
Location principal.location.name Ubicación asociada al evento.
NewValue security_result.about.labels.value donde key es NewValue Nuevo valor después de una actualización.
Offramp additional.fields.value.string_value donde key es Offramp Rampa de salida utilizada en la conexión.
OldValue security_result.about.labels.value donde key es OldValue Valor anterior a una actualización.
OriginIP intermediary.ip, target.ip, target.asset.ip Dirección IP de origen.
OriginPort target.port Puerto de origen.
OriginResponseBytes additional.fields.value.string_value donde key es OriginResponseBytes Número de bytes de la respuesta del origen.
OriginResponseStatus additional.fields.value.string_value donde key es OriginResponseStatus Código de estado de la respuesta del origen.
OriginResponseTime additional.fields.value.string_value donde key es OriginResponseTime Tiempo de respuesta del origen.
OriginSSLProtocol (Sin asignar) No está asignado al objeto IDM.
OriginTLSCertificateIssuer additional.fields.value.string_value donde key es OriginTLSCertificateIssuer Emisor del certificado TLS del origen.
OriginTLSCertificateValidationResult additional.fields.value.string_value donde key es OriginTLSCertificateValidationResult Resultado de la validación del certificado TLS del origen.
OriginTLSCipher additional.fields.value.string_value donde key es OriginTLSCipher Cifrado usado en la conexión TLS de origen.
OriginTLSHandshakeDurationMs additional.fields.value.string_value donde key es OriginTLSHandshakeDurationMs Duración del handshake TLS del origen.
OriginTLSVersion additional.fields.value.string_value donde key es OriginTLSVersion Versión de TLS utilizada por el origen.
OwnerID target.user.product_object_id ID del propietario.
Policy security_result.rule_name Política asociada al evento.
PolicyID security_result.rule_id ID de la política.
PolicyName security_result.rule_name Nombre de la política.
Protocol network.application_protocol, network.ip_protocol Protocolo utilizado en la conexión. Si no es "tls" o "TLS", se convierte a mayúsculas y se asigna a network.application_protocol. De lo contrario, se analiza mediante un archivo de inclusión y se asigna a network.ip_protocol.
PurposeJustificationPrompt (Sin asignar) No está asignado al objeto IDM.
PurposeJustificationResponse (Sin asignar) No está asignado al objeto IDM.
QueryCategoryIDs security_result.about.labels.value, security_result.about.resource.attribute.labels.value donde key es QueryCategoryIDs IDs de categorías de consultas.
QueryName network.dns.questions.name Nombre de la consulta de DNS. Asigna el valor NETWORK_DNS a metadata.event_type y el valor DNS a network.application_protocol.
QueryNameReversed network.dns.questions.name Nombre invertido de la consulta de DNS.
QuerySize network.sent_bytes Tamaño de la consulta.
QueryType network.dns.questions.type Tipo de consulta de DNS. Se asigna a valores numéricos en función de los códigos de tipo de consulta DNS.
RData network.dns.answers.type, network.dns.answers.data Datos del registro DNS. Cada elemento de la matriz RData crea un objeto answer.
RayID metadata.product_log_id ID de rayo asociado a la solicitud.
Referer network.http.referral_url URL referente.
RequestID metadata.product_log_id ID de la solicitud.
ResolverDecision security_result.summary Decisión tomada por el conciliador.
ResourceID target.resource.id, target.resource.product_object_id ID del recurso.
ResourceType target.resource.resource_subtype Tipo de recurso.
RuleEvaluationDurationMs additional.fields.value.string_value donde key es RuleEvaluationDurationMs Duración de la evaluación de la regla.
SNI network.tls.client.server_name Indicador del nombre del servidor (SNI) en el saludo del cliente de TLS.
SecurityAction security_result.action Se ha tomado una medida de seguridad. El valor vacío o la ausencia de SecurityAction se asigna a ALLOW. challengeSolved o jschallengeSolved se asigna a ALLOW_WITH_MODIFICATION. drop o block se asigna a BLOCK.
SecurityLevel security_result.severity Nivel de seguridad. high se asigna a HIGH, med a MEDIUM y low a LOW.
SessionEndTime additional.fields.value.string_value donde key es SessionEndTime Hora de finalización de la sesión.
SessionID network.session_id ID de la sesión.
SessionStartTime metadata.event_timestamp Hora de inicio de la sesión.
SourceIP principal.ip, principal.asset.ip, src.ip, src.asset.ip Dirección IP de origen.
SourcePort principal.port, src.port Puerto de origen.
SrcIP principal.ip, principal.asset.ip Dirección IP de origen.
SrcPort principal.port Puerto de origen.
TemporaryAccessDuration network.session_duration.seconds Duración del acceso temporal.
Timestamp metadata.event_timestamp Marca de tiempo del evento.
Transport network.ip_protocol Protocolo de transporte. Se ha convertido a mayúsculas y se ha analizado mediante un archivo de inclusión.
UploadedFileNames security_result.about.labels.value donde key es UploadedFileNames Nombres de los archivos subidos.
URL target.url URL implicada en el evento.
UserAgent network.http.user_agent Cadena user-agent. También se ha analizado y asignado a network.http.parsed_user_agent.
UserID principal.user.product_object_id, event.idm.read_only_udm.target.user.product_object_id ID del usuario.
UserUID target.user.product_object_id UID del usuario.
VirtualNetworkID principal.resource.product_object_id ID de la red virtual.
WAFAction security_result.about.labels.value donde key es WAFAction Acción realizada por el cortafuegos de aplicaciones web (WAF).
WAFAttackScore security_result.about.resource.attribute.labels.value donde key es WAFAttackScore Puntuación de ataque asignada por el WAF.
WAFFlags security_result.about.resource.attribute.labels.value donde key es WAFFlags Marcas de WAF.
WAFMatchedVar (Sin asignar) No está asignado al objeto IDM.
WAFProfile security_result.about.labels.value donde key es WAFProfile Perfil de WAF.
WAFRCEAttackScore security_result.about.resource.attribute.labels.value donde key es WAFRCEAttackScore Puntuación de ataque de ejecución remota de código (RCE) de WAF.
WAFRuleID security_result.threat_id, security_result.about.labels.value donde key es WAFRuleID ID de la regla de WAF.
WAFRuleMessage security_result.rule_name, security_result.threat_name Mensaje asociado a la regla del WAF.
WAFSQLiAttackScore security_result.about.resource.attribute.labels.value donde key es WAFSQLiAttackScore Puntuación de ataque de inyección SQL de WAF.
WAFXSSAttackScore security_result.about.resource.attribute.labels.value donde key es WAFXSSAttackScore Puntuación de ataque de cross-site scripting (XSS) del WAF.
ZoneID additional.fields.value.string_value donde key es ZoneID ID de zona.
event.idm.read_only_udm.metadata.event_type metadata.event_type Tipo de evento. Definido por el analizador en función de los datos de registro. Si no se define ningún valor o si un evento NETWORK_DNS no tiene principal ni objetivo, el valor predeterminado es GENERIC_EVENT. Puede ser NETWORK_DNS, NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_RESOURCE_UPDATE_CONTENT o GENERIC_EVENT.
event.idm.read_only_udm.metadata.log_type metadata.log_type Tipo de registro, definido como "CLOUDFLARE".
event.idm.read_only_udm.metadata.product_deployment_id metadata.product_deployment_id ID de implementación del producto.
event.idm.read_only_udm.metadata.product_log_id metadata.product_log_id ID de registro de producto.
event.idm.read_only_udm.metadata.product_name metadata.product_name Nombre del producto. Definido por el analizador en función de los datos de registro. Puede ser "Cloudflare Gateway DNS", "Cloudflare Gateway HTTP", "Cloudflare Audit" o "Web Application Firewall".
event.idm.read_only_udm.metadata.vendor_name metadata.vendor_name Nombre del proveedor, definido como "Cloudflare".
event.idm.read_only_udm.metadata.event_timestamp metadata.event_timestamp Marca de tiempo del evento.
event.idm.read_only_udm.network.application_protocol network.application_protocol Protocolo de aplicación utilizado en la conexión de red.
event.idm.read_only_udm.network.direction network.direction Dirección de la conexión de red. Se define como OUTBOUND cuando están presentes EgressIP y SourceIP.
event.idm.read_only_udm.network.dns.answers network.dns.answers Respuestas DNS.
event.idm.read_only_udm.network.dns.questions network.dns.questions Preguntas sobre DNS.
event.idm.read_only_udm.network.http.method network.http.method Método HTTP.
event.idm.read_only_udm.network.http.parsed_user_agent network.http.parsed_user_agent User-agent analizado.
event.idm.read_only_udm.network.http.referral_url network.http.referral_url URL de referencia HTTP.
event.idm.read_only_udm.network.http.response_code network.http.response_code Código de respuesta HTTP.
event.idm.read_only_udm.network.http.user_agent network.http.user_agent User-agent HTTP.
event.idm.read_only_udm.network.ip_protocol network.ip_protocol Protocolo IP.
event.idm.read_only_udm.network.received_bytes network.received_bytes Número de bytes recibidos.
event.idm.read_only_udm.network.sent_bytes network.sent_bytes Número de bytes enviados.
event.idm.read_only_udm.network.session_duration.seconds network.session_duration.seconds Duración de la sesión de red en segundos.
event.idm.read_only_udm.network.session_id network.session_id ID de sesión de la red.
event.idm.read_only_udm.network.tls.cipher network.tls.cipher Conjunto de algoritmos de cifrado TLS.
event.idm.read_only_udm.network.tls.client.server_name network.tls.client.server_name Nombre del servidor de cliente TLS.
event.idm.read_only_udm.network.tls.version network.tls.version Versión de TLS.
event.idm.read_only_udm.principal.asset.attribute.labels principal.asset.attribute.labels Etiquetas asociadas al recurso principal.
event.idm.read_only_udm.principal.asset.hostname principal.asset.hostname Nombre de host del recurso principal.
event.idm.read_only_udm.principal.asset.ip principal.asset.ip Dirección IP del recurso principal.
event.idm.read_only_udm.principal.asset_id principal.asset_id ID del recurso principal.
event.idm.read_only_udm.principal.hostname principal.hostname Nombre de host del principal.
event.idm.read_only_udm.principal.ip principal.ip Dirección IP de la entidad de seguridad.
event.idm.read_only_udm.principal.location.country_or_region principal.location.country_or_region País o región de la ubicación del principal.
event.idm.read_only_udm.principal.location.name principal.location.name Nombre de la ubicación de la entidad de seguridad.
event.idm.read_only_udm.principal.port principal.port Puerto usado por la entidad principal.
event.idm.read_only_udm.principal.resource.product_object_id principal.resource.product_object_id ID de objeto de producto del recurso de la entidad de seguridad.
event.idm.read_only_udm.principal.url principal.url URL asociada a la entidad principal.
event.idm.read_only_udm.principal.user.attribute.labels principal.user.attribute.labels Etiquetas asociadas al usuario principal.
event.idm.read_only_udm.principal.user.email_addresses principal.user.email_addresses Direcciones de correo del usuario principal.
event.idm.read_only_udm.principal.user.first_name principal.user.first_name Nombre del usuario principal.
event.idm.read_only_udm.principal.user.last_name principal.user.last_name Apellido del usuario principal.
event.idm.read_only_udm.principal.user.product_object_id principal.user.product_object_id ID de objeto de producto del usuario principal.
event.idm.read_only_udm.principal.user.userid principal.user.userid ID de usuario del usuario principal.
event.idm.read_only_udm.principal.user.user_display_name principal.user.user_display_name Nombre visible del usuario principal.
event.idm.read_only_udm.src.asset.ip src.asset.ip Dirección IP del recurso de origen.
event.idm.read_only_udm.src.ip src.ip Dirección IP de la fuente.
event.idm.read_only_udm.src.port src.port Puerto de origen.
event.idm.read_only_udm.target.administrative_domain target.administrative_domain Dominio administrativo del objetivo.
event.idm.read_only_udm.target.asset.hostname target.asset.hostname Nombre de host del recurso de destino.
event.idm.read_only_udm.target.asset.ip target.asset.ip Dirección IP del recurso de destino.
event.idm.read_only_udm.target.file.mime_type target.file.mime_type Tipo MIME del archivo de destino.
event.idm.read_only_udm.target.file.md5 target.file.md5 Hash MD5 del archivo de destino.
event.idm.read_only_udm.target.file.sha1 target.file.sha1 Hash SHA1 del archivo de destino.
event.idm.read_only_udm.target.file.sha256 target.file.sha256 Hash SHA256 del archivo de destino.
event.idm.read_only_udm.target.file.size target.file.size Tamaño del archivo de destino.
event.idm.read_only_udm.target.hostname target.hostname Nombre de host del destino.
event.idm.read_only_udm.target.ip target.ip Dirección IP del destino.
event.idm.read_only_udm.target.location.country_or_region target.location.country_or_region País o región de la ubicación del objetivo.
event.idm.read_only_udm.target.port target.port Puerto del destino.
event.idm.read_only_udm.target.resource.attribute.labels target.resource.attribute.labels Etiquetas asociadas al recurso de destino.
event.idm.read_only_udm.target.resource.id target.resource.id ID del recurso de destino.
event.idm.read_only_udm.target.resource.product_object_id target.resource.product_object_id ID de objeto de producto del recurso de destino.
event.idm.read_only_udm.target.resource.resource_subtype target.resource.resource_subtype Subtipo de recurso del recurso de destino.
event.idm.read_only_udm.target.url target.url URL del destino.
event.idm.read_only_udm.target.user.email_addresses target.user.email_addresses Direcciones de correo del usuario objetivo.
event.idm.read_only_udm.target.user.product_object_id target.user.product_object_id ID de objeto de producto del usuario de destino.
event.idm.read_only_udm.security_result.about.file.full_path security_result.about.file.full_path Ruta completa del archivo implicado en el resultado de seguridad.
event.idm.read_only_udm.security_result.about.labels security_result.about.labels Etiquetas asociadas al resultado de seguridad.
event.idm.read_only_udm.security_result.about.resource.attribute.labels security_result.about.resource.attribute.labels Etiquetas asociadas al recurso en el resultado de seguridad.
event.idm.read_only_udm.security_result.action security_result.action Acción llevada a cabo en el resultado de seguridad.
event.idm.read_only_udm.security_result.detection_fields security_result.detection_fields Campos de detección en el resultado de seguridad.
event.idm.read_only_udm.security_result.description security_result.description Descripción del resultado de seguridad.
event.idm.read_only_udm.security_result.rule_id security_result.rule_id ID de la regla del resultado de seguridad.
event.idm.read_only_udm.security_result.rule_name security_result.rule_name Nombre de la regla del resultado de seguridad.
event.idm.read_only_udm.security_result.severity security_result.severity Gravedad del resultado de seguridad.
event.idm.read_only_udm.security_result.summary security_result.summary Resumen del resultado de seguridad.
event.idm.read_only_udm.security_result.threat_id security_result.threat_id ID de amenaza del resultado de seguridad.
event.idm.read_only_udm.security_result.threat_name security_result.threat_name Nombre de la amenaza del resultado de seguridad.
event.idm.read_only_udm.extensions.auth.type extensions.auth.type Tipo de autenticación. Se define como MACHINE para los eventos de inicio y cierre de sesión.
event.idm.read_only_udm.about about Información.
event.idm.read_only_udm.additional.fields additional.fields Campos adicionales.
event.idm.read_only_udm.intermediary intermediary Información del intermediario.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.