Collecter les journaux Cloudflare

Compatible avec :

Présentation

Ce parseur gère différents types de journaux Cloudflare (DNS, HTTP, audit, Zero Trust, CASB). Il normalise d'abord les champs courants, puis applique une logique conditionnelle basée sur des champs spécifiques tels que QueryName, Action et ID pour extraire et mapper les données pertinentes à l'UDM. Il effectue également des conversions de types de données, des correspondances grok pour les adresses IP et les hachages, et gère les charges utiles JSON imbriquées.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps.
  • Accès privilégié à Google Cloud IAM.
  • Accès privilégié à Google Cloud Storage.
  • Accès privilégié à Cloudflare.

Créer un bucket de stockage Google Cloud

  1. Connectez-vous à la console Google Cloud .

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante :

    1. Dans la section Premiers pas, procédez comme suit :

      1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets (par exemple, cloudflare-data).
      2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.
      1. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.
      2. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      1. Sélectionnez un type d'emplacement.
      2. Utilisez le menu déroulant du type d'emplacement pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.
        1. Si vous sélectionnez le type d'emplacement birégional, vous pouvez également choisir d'activer la réplication turbo à l'aide de la case à cocher correspondante.
      3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit :

      1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Créer un compte de service Google Cloud

  1. Accédez à IAM et administration > Comptes de service.
  2. Créez un compte de service.
  3. Attribuez-lui un nom descriptif (par exemple, cloudflare-logs).
  4. Attribuez le rôle Créateur des objets de l'espace de stockage au compte de service sur le bucket GCS que vous avez créé à l'étape précédente.
  5. Créez une clé de compte de service pour le compte de service.
  6. Téléchargez un fichier de clé JSON pour le compte de service. Conservez ce fichier en lieu sûr.

Activer Cloudflare IAM pour Google Cloud Storage

  1. Accédez à Stockage > Navigateur > Bucket > Autorisations.
  2. Ajoutez le membre logpush@cloudflare-data.iam.gserviceaccount.com avec l'autorisation Administrateur des objets Storage.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux Cloudflare).
  5. Sélectionnez Google Cloud Storage comme Type de source.
  6. Sélectionnez Cloudflare comme Type de journal.
  7. Cliquez sur Obtenir un compte de service en tant que compte de service Chronicle.
  8. Cliquez sur Suivant.

  9. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URI du bucket de stockage : URL du bucket de stockage Google Cloud au format gs://my-bucket/<value>.
    • URI is a (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

  10. Cliquez sur Suivant.

  11. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • URI du bucket Storage : URL du bucket Storage au format gs://my-bucket/<value>. Google Cloud
  • URI is a (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).

  • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Configurer Cloudflare pour envoyer des journaux à Google Cloud Storage

  1. Connectez-vous au tableau de bord Cloudflare.
  2. Sélectionnez le compte ou le domaine Enterprise (également appelé zone) que vous souhaitez utiliser avec Logpush.
  3. Accédez à Analytics & Logs > Logpush.
  4. Sélectionnez Create a Logpush (Créer un job Logpush).
  5. Dans Sélectionner une destination, sélectionnez Google Cloud Storage.

  6. Saisissez ou sélectionnez les informations suivantes sur la destination :

    • Bucket : nom du bucket GCS
    • Chemin d'accès : emplacement du bucket dans le conteneur de stockage
    • Case à cocher : "Organiser les journaux dans des sous-dossiers quotidiens" (recommandé)

  7. Cliquez sur Continuer.

  8. Validation de la propriété :

    1. Cloudflare enverra un fichier à votre bucket.
    2. Copiez et collez le jeton :
      1. Connectez-vous à la consoleGoogle Cloud > Stockage > Bucket Cloudflare.
      2. Ouvrez le fichier de validation de la propriété.
      3. Copiez le jeton de propriété.
      4. Saisissez le jeton de propriété dans la console Cloudflare.
      5. Cliquez sur Continuer.
    3. Sélectionnez l'ensemble de données à transférer vers le bucket.

  9. Configurez le job logpush :

    1. Saisissez le nom du job.
    2. Sous Si les journaux correspondent, vous pouvez sélectionner les événements à inclure et/ou à supprimer de vos journaux.
    1. Envoyer les champs suivants : sélectionnez Envoyer tous les journaux ou choisissez les journaux que vous souhaitez envoyer.

  10. Sélectionnez Envoyer pour finaliser la configuration.

Table de mappage UDM

Champ de journal Mappage UDM Logique
AccountID target.resource.id, target.resource.product_object_id ID du compte associé à l'événement.
Action security_result.action Action effectuée en fonction de l'événement. allow ou allowed* donne ALLOW. unknown donne UNKNOWN_ACTION. Les autres valeurs génèrent BLOCK. Pour les journaux d'accès, login correspond à USER_LOGIN, logout à USER_LOGOUT et les autres valeurs à USER_RESOURCE_ACCESS si une adresse e-mail est présente.
ActionResult security_result.action Si la valeur est true, elle correspond à ALLOW. Si la valeur est false, elle correspond à BLOCK. Sinon, la valeur est mappée sur UNKNOWN_ACTION.
ActionType security_result.description Description de l'action effectuée.
ActorEmail principal.user.email_addresses Adresse e-mail de l'acteur à l'origine de l'événement.
ActorID principal.user.product_object_id ID de l'acteur ayant déclenché l'événement.
ActorIP principal.ip, principal.asset.ip Adresse IP de l'acteur ayant déclenché l'événement.
Allowed security_result.action Si la valeur est true, elle correspond à ALLOW. Sinon, la valeur est mappée sur BLOCK.
AppDomain target.administrative_domain Domaine de l'application impliquée dans l'événement.
AppUUID target.resource.product_object_id UUID de l'application impliquée dans l'événement.
AssetDisplayName principal.asset.attribute.labels.value où la clé est AssetDisplayName Nom à afficher de l'élément.
AssetExternalID principal.asset_id (préfixé par "Cloudflare :") ID externe de l'élément.
AssetLink principal.url Lien associé à l'élément.
AssetMetadata.agreedToTerms principal.user.attribute.labels.value où la clé est agreedToTerms Indique si l'utilisateur a accepté les conditions.
AssetMetadata.changePasswordAtNextLogin principal.user.attribute.labels.value où la clé est changePasswordAtNextLogin Indique si l'utilisateur doit changer de mot de passe lors de sa prochaine connexion.
AssetMetadata.clientId principal.user.userid ID client issu des métadonnées de l'élément.
AssetMetadata.customerId principal.user.userid Numéro client issu des métadonnées de l'élément.
AssetMetadata.familyName principal.user.last_name Nom de famille de l'utilisateur à partir des métadonnées de l'asset.
AssetMetadata.givenName principal.user.first_name Prénom de l'utilisateur à partir des métadonnées de l'élément.
AssetMetadata.includeInGlobalAddressList principal.user.attribute.labels.value où la clé est includeInGlobalAddressList Indique si l'utilisateur est inclus dans la liste d'adresses générale.
AssetMetadata.ipWhitelisted principal.user.attribute.labels.value où la clé est ipWhitelisted Indique si l'adresse IP de l'utilisateur figure sur la liste blanche.
AssetMetadata.isAdmin principal.user.attribute.labels.value où la clé est isAdmin Indique si l'utilisateur est un administrateur.
AssetMetadata.isDelegatedAdmin principal.user.attribute.labels.value où la clé est isDelegatedAdmin Indique si l'utilisateur est un administrateur délégué.
AssetMetadata.isEnforcedIn2Sv principal.user.attribute.labels.value où la clé est isEnforcedIn2Sv Indique si la validation en deux étapes est appliquée pour l'utilisateur.
AssetMetadata.isEnrolledIn2Sv principal.user.attribute.labels.value où la clé est isEnrolledIn2Sv Indique si l'utilisateur est inscrit ou non à la validation en deux étapes.
AssetMetadata.kind (Non mappé) Non mappé à l'objet IDM.
AssetMetadata.lastLoginTime principal.user.attribute.labels.value où la clé est lastLoginTime Date et heure de la dernière connexion de l'utilisateur.
AssetMetadata.login principal.user.userid Nom de connexion issu des métadonnées de l'élément.
AssetMetadata.name.familyName principal.user.last_name Nom de famille extrait des métadonnées de l'élément.
AssetMetadata.name.fullName principal.user.user_display_name Nom complet issu des métadonnées de l'élément.
AssetMetadata.name.givenName principal.user.first_name Prénom indiqué dans les métadonnées de l'élément.
AssetMetadata.nativeApp security_result.detection_fields.value où la clé est nativeApp Indique si l'application est native.
AssetMetadata.owner.id principal.user.userid ID du propriétaire à partir des métadonnées de l'élément.
AssetMetadata.primaryEmail principal.user.email_addresses Adresse e-mail principale issue des métadonnées de l'élément.
AssetMetadata.scopes (Non mappé) Non mappé à l'objet IDM.
AssetMetadata.site_admin principal.user.attribute.labels.value où la clé est site_admin Indique si l'utilisateur est un administrateur du site.
AssetMetadata.suspended principal.user.attribute.labels.value où la clé est suspended Indique si l'utilisateur est suspendu.
AssetMetadata.url principal.url URL issue des métadonnées de l'élément.
AssetMetadata.userKey principal.user.attribute.labels.value où la clé est userKey Clé utilisateur issue des métadonnées de l'élément.
BlockedFileHash target.file.md5, target.file.sha1, target.file.sha256 Codes de hachage du fichier bloqué. Analysé à l'aide de grok pour extraire md5, sha1 ou sha256.
BlockedFileName security_result.about.file.full_path Nom du fichier bloqué.
BlockedFileReason security_result.summary Motif du blocage du fichier.
BlockedFileSize target.file.size Taille du fichier bloqué.
BotScore security_result.detection_fields.value où la clé est BotScore Score de bot attribué à la requête.
BytesReceived network.received_bytes Nombre d'octets reçus.
BytesSent network.sent_bytes Nombre d'octets envoyés.
CacheCacheStatus additional.fields.value.string_value où la clé est CacheCacheStatus État du cache.
CacheResponseBytes additional.fields.value.string_value où la clé est CacheResponseBytes Nombre d'octets dans la réponse mise en cache.
CacheResponseStatus additional.fields.value.string_value où la clé est CacheResponseStatus Code d'état de la réponse mise en cache.
ClientASN (Non mappé) Non mappé à l'objet IDM.
ClientCountry principal.location.country_or_region Pays du client.
ClientDeviceType additional.fields.value.string_value où la clé est ClientDeviceType Type de l'appareil client.
ClientIP principal.ip, principal.asset.ip Adresse IP du client.
ClientRequestMethod network.http.method Méthode de requête HTTP utilisée par le client.
ClientRequestHost target.hostname, target.asset.hostname Nom d'hôte demandé par le client.
ClientRequestPath (Non mappé) Non mappé à l'objet IDM.
ClientRequestProtocol network.application_protocol Protocole utilisé dans la requête du client (par exemple, HTTP, HTTPS). La version du protocole est supprimée.
ClientRequestReferer network.http.referral_url URL de provenance de la requête du client.
ClientRequestURI target.url (combiné avec ClientRequestHost, le cas échéant) URI demandé par le client.
ClientRequestUserAgent network.http.user_agent User-agent de la requête du client. Également analysé et mappé sur network.http.parsed_user_agent.
ClientSSLCipher network.tls.cipher Algorithme de chiffrement SSL utilisé par le client.
ClientSSLProtocol network.tls.version Protocole SSL utilisé par le client.
ClientSrcPort principal.port Port source du client.
ClientTCPHandshakeDurationMs additional.fields.value.string_value où la clé est ClientTCPHandshakeDurationMs Durée du handshake TCP du client.
ClientTLSHandshakeDurationMs additional.fields.value.string_value où la clé est ClientTLSHandshakeDurationMs Durée du handshake TLS du client.
ClientTLSVersion network.tls.version Version TLS utilisée par le client.
ColoID (Non mappé) Non mappé à l'objet IDM.
Connection target.resource.attribute.labels.value où la clé est Connection Type de connexion (par exemple, SAML).
ConnectionCloseReason additional.fields.value.string_value où la clé est ConnectionCloseReason Raison de la fermeture de la connexion.
ConnectionReuse additional.fields.value.string_value où la clé est ConnectionReuse Indique si la connexion a été réutilisée.
Country target.location.country_or_region Pays associé à l'événement.
CreatedAt metadata.event_timestamp Code temporel de la création de l'événement.
Datetime metadata.event_timestamp Date et heure de l'événement.
DestinationIP target.ip, target.asset.ip Adresse IP de destination.
DestinationPort target.port Port de destination.
DestinationTunnelID additional.fields.value.string_value où la clé est DestinationTunnelID ID du tunnel de destination.
DeviceID principal.asset_id (préfixé par "Cloudflare :") ID de l'appareil.
DeviceName principal.hostname, principal.asset.hostname, principal.asset.attribute.labels.value où la clé est DeviceName Nom de l'appareil.
DownloadedFileNames security_result.about.labels.value où la clé est DownloadFileNames Noms des fichiers téléchargés.
DstIP target.ip, target.asset.ip Adresse IP de destination.
DstPort target.port Port de destination.
EdgeColoCode additional.fields.value.string_value où la clé est EdgeColoCode Code de l'emplacement Cloudflare.
EdgeColoID additional.fields.value.string_value où la clé est EdgeColoID ID de l'emplacement Edge Cloudflare.
EdgeEndTimestamp (Non mappé) Non mappé à l'objet IDM.
EdgeResponseBytes network.received_bytes Nombre d'octets dans la réponse du périphérique Edge.
EdgeResponseContentType target.file.mime_type Type de contenu de la réponse Edge.
EdgeResponseStatus network.http.response_code Code d'état de la réponse Edge.
EdgeServerIP target.ip, target.asset.ip Adresse IP du serveur Edge.
EdgeStartTimestamp metadata.event_timestamp Code temporel du début de la requête à la périphérie.
Email principal.user.email_addresses, target.user.email_addresses Adresse e-mail associée à l'événement.
EgressColoName additional.fields.value.string_value où la clé est EgressColoName Nom du colo de sortie.
EgressIP principal.ip, principal.asset.ip Adresse IP de sortie. Définit network.direction sur OUTBOUND.
EgressPort principal.port Port de sortie.
EgressRuleID additional.fields.value.string_value où la clé est EgressRuleID ID de la règle de sortie.
EgressRuleName additional.fields.value.string_value où la clé est EgressRuleName Nom de la règle de sortie.
FindingTypeDisplayName security_result.description Nom à afficher du type de résultat.
FindingTypeID security_result.rule_id ID du type de résultat.
FindingTypeSeverity security_result.severity Gravité du type de résultat.
FirewallMatchesActions security_result.action Actions effectuées par les règles de pare-feu. allow, Allow, ALLOW, skip, SKIP, Skip correspondent à ALLOW. challengeSolved et jschallengeSolved correspondent à ALLOW_WITH_MODIFICATION. drop et block correspondent à BLOCK. Les autres valeurs correspondent à UNKNOWN_ACTION.
FirewallMatchesRuleIDs security_result.rule_id (pour le premier ID), les ID suivants créent de nouveaux objets security_result. ID des règles de pare-feu correspondantes.
FirewallMatchesSources security_result.rule_name Sources des règles de pare-feu correspondantes.
HTTPHost target.hostname Hôte HTTP.
HTTPMethod network.http.method Méthode HTTP.
HTTPVersion network.application_protocol Si la valeur contient "HTTP", définit network.application_protocol sur HTTP.
ID metadata.product_log_id ID de l'événement.
IngressColoName additional.fields.value.string_value où la clé est IngressColoName Nom du colo d'entrée.
InstanceID principal.resource.product_object_id ID de l'instance.
IntegrationDisplayName additional.fields.value.string_value où la clé est IntegrationDisplayName Nom à afficher de l'intégration.
IntegrationID metadata.product_deployment_id ID de l'intégration.
IntegrationPolicyVendor additional.fields.value.string_value où la clé est IntegrationPolicyVendor Fournisseur de la règle d'intégration.
IPAddress target.ip, target.asset.ip Adresse IP associée à l'événement.
IsIsolated about.labels.value où la clé est IsIsolated, security_result.about.resource.attribute.labels.value où la clé est IsIsolated Indique si l'événement est isolé.
Location principal.location.name Lieu associé à l'événement.
NewValue security_result.about.labels.value où la clé est NewValue Nouvelle valeur après une mise à jour.
Offramp additional.fields.value.string_value où la clé est Offramp La passerelle de sortie utilisée dans la connexion.
OldValue security_result.about.labels.value où la clé est OldValue Ancienne valeur avant une mise à jour.
OriginIP intermediary.ip, target.ip, target.asset.ip Adresse IP d'origine.
OriginPort target.port Port d'origine.
OriginResponseBytes additional.fields.value.string_value où la clé est OriginResponseBytes Nombre d'octets dans la réponse d'origine.
OriginResponseStatus additional.fields.value.string_value où la clé est OriginResponseStatus Code d'état de la réponse d'origine.
OriginResponseTime additional.fields.value.string_value où la clé est OriginResponseTime Temps de réponse de l'origine.
OriginSSLProtocol (Non mappé) Non mappé à l'objet IDM.
OriginTLSCertificateIssuer additional.fields.value.string_value où la clé est OriginTLSCertificateIssuer Émetteur du certificat TLS d'origine.
OriginTLSCertificateValidationResult additional.fields.value.string_value où la clé est OriginTLSCertificateValidationResult Résultat de la validation du certificat TLS d'origine.
OriginTLSCipher additional.fields.value.string_value où la clé est OriginTLSCipher Algorithme de chiffrement utilisé dans la connexion TLS d'origine.
OriginTLSHandshakeDurationMs additional.fields.value.string_value où la clé est OriginTLSHandshakeDurationMs Durée du handshake TLS d'origine.
OriginTLSVersion additional.fields.value.string_value où la clé est OriginTLSVersion Version TLS utilisée par l'origine.
OwnerID target.user.product_object_id ID du propriétaire.
Policy security_result.rule_name Règlement associé à l'événement.
PolicyID security_result.rule_id ID de la stratégie.
PolicyName security_result.rule_name Nom de la stratégie
Protocol network.application_protocol, network.ip_protocol Protocole utilisé dans la connexion. Si la valeur n'est pas "tls" ou "TLS", elle est convertie en majuscules et mappée sur network.application_protocol. Sinon, il est analysé à l'aide d'un fichier include et mappé sur network.ip_protocol.
PurposeJustificationPrompt (Non mappé) Non mappé à l'objet IDM.
PurposeJustificationResponse (Non mappé) Non mappé à l'objet IDM.
QueryCategoryIDs security_result.about.labels.value, security_result.about.resource.attribute.labels.value où la clé est QueryCategoryIDs ID des catégories de requêtes.
QueryName network.dns.questions.name Nom de la requête DNS. Définit metadata.event_type sur NETWORK_DNS et network.application_protocol sur DNS.
QueryNameReversed network.dns.questions.name Nom inversé de la requête DNS.
QuerySize network.sent_bytes Taille de la requête.
QueryType network.dns.questions.type Type de requête DNS. Mappé sur des valeurs numériques en fonction des codes de type de requête DNS.
RData network.dns.answers.type, network.dns.answers.data Données d'enregistrement DNS. Chaque élément du tableau RData crée un objet answer.
RayID metadata.product_log_id ID Ray associé à la requête.
Referer network.http.referral_url URL de provenance.
RequestID metadata.product_log_id ID de la demande.
ResolverDecision security_result.summary Décision prise par le responsable de la résolution.
ResourceID target.resource.id, target.resource.product_object_id ID de la ressource.
ResourceType target.resource.resource_subtype Type de la ressource.
RuleEvaluationDurationMs additional.fields.value.string_value où la clé est RuleEvaluationDurationMs Durée de l'évaluation de la règle.
SNI network.tls.client.server_name Indication du nom du serveur (SNI) dans le message TLS client_hello.
SecurityAction security_result.action Action de sécurité effectuée. Une valeur vide ou l'absence de SecurityAction correspond à ALLOW. challengeSolved ou jschallengeSolved correspond à ALLOW_WITH_MODIFICATION. drop ou block correspond à BLOCK.
SecurityLevel security_result.severity Niveau de sécurité. high correspond à HIGH, med à MEDIUM et low à LOW.
SessionEndTime additional.fields.value.string_value où la clé est SessionEndTime Heure de fin de la session.
SessionID network.session_id ID de la session.
SessionStartTime metadata.event_timestamp Heure de début de la session.
SourceIP principal.ip, principal.asset.ip, src.ip, src.asset.ip Adresse IP source.
SourcePort principal.port, src.port Port source
SrcIP principal.ip, principal.asset.ip Adresse IP source.
SrcPort principal.port Port source
TemporaryAccessDuration network.session_duration.seconds Durée de l'accès temporaire.
Timestamp metadata.event_timestamp Code temporel de l'événement.
Transport network.ip_protocol Protocole de transport. Converti en majuscules et analysé à l'aide d'un fichier d'inclusion.
UploadedFileNames security_result.about.labels.value où la clé est UploadedFileNames Noms des fichiers importés.
URL target.url URL impliquée dans l'événement.
UserAgent network.http.user_agent Chaîne user-agent. Également analysé et mappé sur network.http.parsed_user_agent.
UserID principal.user.product_object_id, event.idm.read_only_udm.target.user.product_object_id ID de l'utilisateur.
UserUID target.user.product_object_id UID de l'utilisateur.
VirtualNetworkID principal.resource.product_object_id ID du réseau virtuel.
WAFAction security_result.about.labels.value où la clé est WAFAction Action entreprise par le pare-feu d'application Web (WAF).
WAFAttackScore security_result.about.resource.attribute.labels.value où la clé est WAFAttackScore Score d'attaque attribué par le WAF.
WAFFlags security_result.about.resource.attribute.labels.value où la clé est WAFFlags Indicateurs WAF.
WAFMatchedVar (Non mappé) Non mappé à l'objet IDM.
WAFProfile security_result.about.labels.value où la clé est WAFProfile Profil WAF.
WAFRCEAttackScore security_result.about.resource.attribute.labels.value où la clé est WAFRCEAttackScore Score d'attaque par exécution de code à distance (RCE) du WAF.
WAFRuleID security_result.threat_id, security_result.about.labels.value où la clé est WAFRuleID ID de la règle WAF.
WAFRuleMessage security_result.rule_name, security_result.threat_name Message associé à la règle WAF.
WAFSQLiAttackScore security_result.about.resource.attribute.labels.value où la clé est WAFSQLiAttackScore Score d'attaque par injection SQL du WAF.
WAFXSSAttackScore security_result.about.resource.attribute.labels.value où la clé est WAFXSSAttackScore Score d'attaque par script intersites (XSS) du WAF.
ZoneID additional.fields.value.string_value où la clé est ZoneID ID de zone.
event.idm.read_only_udm.metadata.event_type metadata.event_type Type d'événement. Définie par l'analyseur en fonction des données du journal. La valeur par défaut est GENERIC_EVENT si elle n'est pas définie ou si un événement NETWORK_DNS n'a pas de compte principal ni de cible. Il peut s'agir de NETWORK_DNS, NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_RESOURCE_UPDATE_CONTENT ou GENERIC_EVENT.
event.idm.read_only_udm.metadata.log_type metadata.log_type Type de journal défini sur "CLOUDFLARE".
event.idm.read_only_udm.metadata.product_deployment_id metadata.product_deployment_id ID de déploiement du produit.
event.idm.read_only_udm.metadata.product_log_id metadata.product_log_id ID du journal du produit.
event.idm.read_only_udm.metadata.product_name metadata.product_name Nom du produit. Définie par l'analyseur en fonction des données du journal. Les valeurs possibles sont "Cloudflare Gateway DNS", "Cloudflare Gateway HTTP", "Cloudflare Audit" et "Web Application Firewall".
event.idm.read_only_udm.metadata.vendor_name metadata.vendor_name Nom du fournisseur défini sur "Cloudflare".
event.idm.read_only_udm.metadata.event_timestamp metadata.event_timestamp Code temporel de l'événement.
event.idm.read_only_udm.network.application_protocol network.application_protocol Protocole d'application utilisé dans la connexion réseau.
event.idm.read_only_udm.network.direction network.direction Sens de la connexion réseau. Définissez sur OUTBOUND lorsque EgressIP et SourceIP sont présents.
event.idm.read_only_udm.network.dns.answers network.dns.answers Réponses DNS.
event.idm.read_only_udm.network.dns.questions network.dns.questions Questions sur le DNS.
event.idm.read_only_udm.network.http.method network.http.method Méthode HTTP.
event.idm.read_only_udm.network.http.parsed_user_agent network.http.parsed_user_agent User-agent analysé.
event.idm.read_only_udm.network.http.referral_url network.http.referral_url URL de provenance HTTP.
event.idm.read_only_udm.network.http.response_code network.http.response_code Code de réponse HTTP.
event.idm.read_only_udm.network.http.user_agent network.http.user_agent User-agent HTTP.
event.idm.read_only_udm.network.ip_protocol network.ip_protocol Protocole IP.
event.idm.read_only_udm.network.received_bytes network.received_bytes Nombre d'octets reçus.
event.idm.read_only_udm.network.sent_bytes network.sent_bytes Nombre d'octets envoyés.
event.idm.read_only_udm.network.session_duration.seconds network.session_duration.seconds Durée de la session réseau en secondes.
event.idm.read_only_udm.network.session_id network.session_id ID de session réseau.
event.idm.read_only_udm.network.tls.cipher network.tls.cipher Suite de chiffrement TLS.
event.idm.read_only_udm.network.tls.client.server_name network.tls.client.server_name Nom du serveur client TLS.
event.idm.read_only_udm.network.tls.version network.tls.version Version TLS.
event.idm.read_only_udm.principal.asset.attribute.labels principal.asset.attribute.labels Libellés associés à l'élément principal.
event.idm.read_only_udm.principal.asset.hostname principal.asset.hostname Nom d'hôte de l'asset principal.
event.idm.read_only_udm.principal.asset.ip principal.asset.ip Adresse IP de l'élément principal.
event.idm.read_only_udm.principal.asset_id principal.asset_id ID de l'asset principal.
event.idm.read_only_udm.principal.hostname principal.hostname Nom d'hôte du principal.
event.idm.read_only_udm.principal.ip principal.ip Adresse IP du compte principal.
event.idm.read_only_udm.principal.location.country_or_region principal.location.country_or_region Pays ou région où se trouve le mandant.
event.idm.read_only_udm.principal.location.name principal.location.name Nom de l'établissement du compte principal.
event.idm.read_only_udm.principal.port principal.port Port utilisé par le principal.
event.idm.read_only_udm.principal.resource.product_object_id principal.resource.product_object_id ID d'objet produit de la ressource du principal.
event.idm.read_only_udm.principal.url principal.url URL associée au compte principal.
event.idm.read_only_udm.principal.user.attribute.labels principal.user.attribute.labels Libellés associés à l'utilisateur principal.
event.idm.read_only_udm.principal.user.email_addresses principal.user.email_addresses Adresses e-mail de l'utilisateur principal.
event.idm.read_only_udm.principal.user.first_name principal.user.first_name Prénom de l'utilisateur principal.
event.idm.read_only_udm.principal.user.last_name principal.user.last_name Nom de famille de l'utilisateur principal.
event.idm.read_only_udm.principal.user.product_object_id principal.user.product_object_id ID d'objet produit de l'utilisateur principal.
event.idm.read_only_udm.principal.user.userid principal.user.userid ID utilisateur de l'utilisateur principal.
event.idm.read_only_udm.principal.user.user_display_name principal.user.user_display_name Nom à afficher de l'utilisateur principal.
event.idm.read_only_udm.src.asset.ip src.asset.ip Adresse IP de l'élément source.
event.idm.read_only_udm.src.ip src.ip Adresse IP de la source.
event.idm.read_only_udm.src.port src.port Port de la source.
event.idm.read_only_udm.target.administrative_domain target.administrative_domain Domaine administratif de la cible.
event.idm.read_only_udm.target.asset.hostname target.asset.hostname Nom d'hôte de l'asset cible.
event.idm.read_only_udm.target.asset.ip target.asset.ip Adresse IP de l'élément cible.
event.idm.read_only_udm.target.file.mime_type target.file.mime_type Type MIME du fichier cible.
event.idm.read_only_udm.target.file.md5 target.file.md5 Hachage MD5 du fichier cible.
event.idm.read_only_udm.target.file.sha1 target.file.sha1 Hachage SHA1 du fichier cible.
event.idm.read_only_udm.target.file.sha256 target.file.sha256 Hachage SHA-256 du fichier cible.
event.idm.read_only_udm.target.file.size target.file.size Taille du fichier cible.
event.idm.read_only_udm.target.hostname target.hostname Nom d'hôte de la cible.
event.idm.read_only_udm.target.ip target.ip Adresse IP de la cible.
event.idm.read_only_udm.target.location.country_or_region target.location.country_or_region Pays ou région où se trouve la cible.
event.idm.read_only_udm.target.port target.port Port de la cible.
event.idm.read_only_udm.target.resource.attribute.labels target.resource.attribute.labels Libellés associés à la ressource cible.
event.idm.read_only_udm.target.resource.id target.resource.id ID de la ressource cible.
event.idm.read_only_udm.target.resource.product_object_id target.resource.product_object_id ID d'objet produit de la ressource cible.
event.idm.read_only_udm.target.resource.resource_subtype target.resource.resource_subtype Sous-type de ressource de la ressource cible.
event.idm.read_only_udm.target.url target.url URL de la cible.
event.idm.read_only_udm.target.user.email_addresses target.user.email_addresses Adresses e-mail de l'utilisateur cible.
event.idm.read_only_udm.target.user.product_object_id target.user.product_object_id ID d'objet produit de l'utilisateur cible.
event.idm.read_only_udm.security_result.about.file.full_path security_result.about.file.full_path Chemin d'accès complet au fichier concerné par le résultat de sécurité.
event.idm.read_only_udm.security_result.about.labels security_result.about.labels Libellés associés au résultat de sécurité.
event.idm.read_only_udm.security_result.about.resource.attribute.labels security_result.about.resource.attribute.labels Libellés associés à la ressource dans le résultat de sécurité.
event.idm.read_only_udm.security_result.action security_result.action Action effectuée dans le résultat de sécurité.
event.idm.read_only_udm.security_result.detection_fields security_result.detection_fields Champs de détection dans le résultat de sécurité.
event.idm.read_only_udm.security_result.description security_result.description Description du résultat de sécurité.
event.idm.read_only_udm.security_result.rule_id security_result.rule_id ID de la règle du résultat de sécurité.
event.idm.read_only_udm.security_result.rule_name security_result.rule_name Nom de la règle du résultat de sécurité.
event.idm.read_only_udm.security_result.severity security_result.severity Gravité du résultat de sécurité.
event.idm.read_only_udm.security_result.summary security_result.summary Résumé du résultat de sécurité.
event.idm.read_only_udm.security_result.threat_id security_result.threat_id ID de menace du résultat de sécurité.
event.idm.read_only_udm.security_result.threat_name security_result.threat_name Nom de la menace du résultat de sécurité.
event.idm.read_only_udm.extensions.auth.type extensions.auth.type Type d'authentification. Définissez la valeur sur MACHINE pour les événements de connexion et de déconnexion.
event.idm.read_only_udm.about about À propos des informations
event.idm.read_only_udm.additional.fields additional.fields Champs supplémentaires.
event.idm.read_only_udm.intermediary intermediary Informations sur l'intermédiaire.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.