Raccogliere i log di Cloudflare

Supportato in:

Panoramica

Questo parser gestisce vari tipi di log Cloudflare (DNS, HTTP, audit, Zero Trust, CASB). Innanzitutto normalizza i campi comuni, poi applica la logica condizionale in base a campi specifici come QueryName, Action e ID per estrarre e mappare i dati pertinenti a UDM. Esegue anche conversioni di tipi di dati, corrispondenze grok per indirizzi IP e hash e gestisce payload JSON nidificati.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps.
  • Accesso privilegiato a Google Cloud IAM.
  • Accesso privilegiato a Google Cloud Storage.
  • Accesso con privilegi a Cloudflare.

Crea un Google Cloud bucket di archiviazione

  1. Accedi alla Google Cloud console.

  2. Vai alla pagina Bucket Cloud Storage.

    Vai a Bucket

  3. Fai clic su Crea.

  4. Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio riportato di seguito, fai clic su Continua per passare al passaggio successivo:

    1. Nella sezione Inizia:

      1. Inserisci un nome univoco che soddisfi i requisiti del nome del bucket (ad esempio, cloudflare-data).
      2. Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita uno spazio dei nomi gerarchico in questo bucket.
      1. Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.
      2. Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

    2. Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:

      1. Seleziona un Tipo di località.
      2. Utilizza il menu a discesa del tipo di località per selezionare una località in cui verranno archiviati in modo permanente i dati degli oggetti all'interno del bucket.
        1. Se selezioni il tipo di località a doppia regione, puoi anche scegliere di attivare la replica turbo utilizzando la casella di controllo pertinente.
      3. Per configurare la replica tra bucket, espandi la sezione Configura replica tra bucket.

    3. Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket oppure Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.

    4. Nella sezione Scegli come controllare l'accesso agli oggetti, seleziona No per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.

    5. Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:

      1. Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
      2. Per scegliere come criptare i dati degli oggetti, fai clic sulla freccia di espansione con l'etichetta Crittografia dei dati e seleziona un metodo di crittografia dei dati.

  5. Fai clic su Crea.

Crea un service account Google Cloud

  1. Vai a IAM e amministrazione > Service Accounts.
  2. Crea un nuovo account di servizio.
  3. Assegna un nome descrittivo (ad esempio, cloudflare-logs).
  4. Concedi all'account di servizio il ruolo Creatore oggetti Storage nel bucket GCS creato nel passaggio precedente.
  5. Crea una chiave dell'account di servizio per l'account di servizio.
  6. Scarica un file della chiave JSON per il account di servizio. Mantieni al sicuro questo file.

Abilitare Cloudflare IAM in Google Cloud Storage

  1. Vai a Storage > Browser > Bucket > Autorizzazioni.
  2. Aggiungi il membro logpush@cloudflare-data.iam.gserviceaccount.com con l'autorizzazione Amministratore oggetti Storage.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Log Cloudflare).
  5. Seleziona Google Cloud Storage come Tipo di origine.
  6. Seleziona Cloudflare come Tipo di log.
  7. Fai clic su Ottieni account di servizio come Account di servizio Chronicle.
  8. Fai clic su Avanti.

  9. Specifica i valori per i seguenti parametri di input:

    • URI bucket di archiviazione: URL del bucket Google Cloud Storage nel formato gs://my-bucket/<value>.
    • L'URI è un: seleziona Directory che include sottodirectory.
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

  10. Fai clic su Avanti.

  11. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • URI bucket di archiviazione: Google Cloud URL del bucket di archiviazione nel formato gs://my-bucket/<value>.
  • L'URI è un: seleziona Directory che include sottodirectory.

  • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Configurare Cloudflare per inviare i log a Google Cloud Storage

  1. Accedi alla dashboard di Cloudflare.
  2. Seleziona l'account o il dominio Enterprise (noto anche come zona) che vuoi utilizzare con Logpush.
  3. Vai ad Analytics e log > Logpush.
  4. Seleziona Crea un job Logpush.
  5. In Seleziona una destinazione, seleziona Google Cloud Storage.

  6. Inserisci o seleziona i seguenti dettagli della destinazione:

    • Bucket: nome del bucket GCS
    • Percorso: posizione del bucket all'interno del container di archiviazione
    • Casella di controllo: organizza i log in sottocartelle giornaliere (opzione consigliata)

  7. Fai clic su Continua.

  8. Verifica della proprietà:

    1. Cloudflare invierà un file al tuo bucket.
    2. Copia e incolla il token:
      1. Accedi alla consoleGoogle Cloud > Storage > Bucket Cloudflare.
      2. Apri il file di verifica della proprietà.
      3. Copia il token di proprietà.
      4. Inserisci il token di proprietà nella console Cloudflare.
      5. Seleziona Continua.
    3. Seleziona il set di dati da inviare al bucket.

  9. Configura il job logpush:

    1. Inserisci il nome del job.
    2. Nella sezione Se i log corrispondono, puoi selezionare gli eventi da includere e/o rimuovere dai log.
    1. Invia i seguenti campi: seleziona per trasferire tutti i log o scegliere in modo selettivo quali log vuoi trasferire.

  10. Seleziona Invia per finalizzare la configurazione.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
AccountID target.resource.id, target.resource.product_object_id L'ID account associato all'evento.
Action security_result.action Azione intrapresa in base all'evento. allow o allowed* restituisce ALLOW. unknown restituisce UNKNOWN_ACTION. Gli altri valori restituiscono BLOCK. Per i log di accesso, login corrisponde a USER_LOGIN, logout a USER_LOGOUT e altri valori a USER_RESOURCE_ACCESS se è presente un'email.
ActionResult security_result.action Se true, viene mappato a ALLOW. Se false, viene mappato a BLOCK. In caso contrario, viene mappato a UNKNOWN_ACTION.
ActionType security_result.description Descrizione dell'azione eseguita.
ActorEmail principal.user.email_addresses Indirizzo email dell'attore che ha avviato l'evento.
ActorID principal.user.product_object_id ID dell'attore che avvia l'evento.
ActorIP principal.ip, principal.asset.ip Indirizzo IP dell'attore che avvia l'evento.
Allowed security_result.action Se true, viene mappato a ALLOW. In caso contrario, viene mappato a BLOCK.
AppDomain target.administrative_domain Il dominio dell'applicazione coinvolta nell'evento.
AppUUID target.resource.product_object_id UUID dell'applicazione coinvolta nell'evento.
AssetDisplayName principal.asset.attribute.labels.value where key is AssetDisplayName Il nome visualizzato dell'asset.
AssetExternalID principal.asset_id (con il prefisso "Cloudflare:") ID esterno dell'asset.
AssetLink principal.url Link associato alla risorsa.
AssetMetadata.agreedToTerms principal.user.attribute.labels.value where key is agreedToTerms Indica se l'utente ha accettato i termini.
AssetMetadata.changePasswordAtNextLogin principal.user.attribute.labels.value where key is changePasswordAtNextLogin Indica se l'utente deve cambiare la password al prossimo accesso.
AssetMetadata.clientId principal.user.userid L'ID cliente contenuto nei metadati della risorsa.
AssetMetadata.customerId principal.user.userid L'ID cliente contenuto nei metadati della risorsa.
AssetMetadata.familyName principal.user.last_name Il cognome dell'utente contenuto nei metadati della risorsa.
AssetMetadata.givenName principal.user.first_name Il nome dell'utente contenuto nei metadati della risorsa.
AssetMetadata.includeInGlobalAddressList principal.user.attribute.labels.value where key is includeInGlobalAddressList Se l'utente è incluso nell'elenco indirizzi globale.
AssetMetadata.ipWhitelisted principal.user.attribute.labels.value where key is ipWhitelisted Indica se l'utente è autorizzato in base all'IP.
AssetMetadata.isAdmin principal.user.attribute.labels.value where key is isAdmin Indica se l'utente è un amministratore.
AssetMetadata.isDelegatedAdmin principal.user.attribute.labels.value where key is isDelegatedAdmin Indica se l'utente è un amministratore delegato.
AssetMetadata.isEnforcedIn2Sv principal.user.attribute.labels.value where key is isEnforcedIn2Sv Indica se la V2P è applicata per l'utente.
AssetMetadata.isEnrolledIn2Sv principal.user.attribute.labels.value where key is isEnrolledIn2Sv Indica se l'utente è registrato per la verifica in due passaggi.
AssetMetadata.kind (Non mappato) Non mappato all'oggetto IDM.
AssetMetadata.lastLoginTime principal.user.attribute.labels.value where key is lastLoginTime L'ora dell'ultimo accesso dell'utente.
AssetMetadata.login principal.user.userid Il nome di accesso contenuto nei metadati della risorsa.
AssetMetadata.name.familyName principal.user.last_name Il cognome contenuto nei metadati della risorsa.
AssetMetadata.name.fullName principal.user.user_display_name Il nome completo contenuto nei metadati della risorsa.
AssetMetadata.name.givenName principal.user.first_name Il nome contenuto nei metadati della risorsa.
AssetMetadata.nativeApp security_result.detection_fields.value where key is nativeApp Indica se l'app è nativa.
AssetMetadata.owner.id principal.user.userid L'ID proprietario contenuto nei metadati della risorsa.
AssetMetadata.primaryEmail principal.user.email_addresses L'indirizzo email principale contenuto nei metadati della risorsa.
AssetMetadata.scopes (Non mappato) Non mappato all'oggetto IDM.
AssetMetadata.site_admin principal.user.attribute.labels.value where key is site_admin Indica se l'utente è un amministratore del sito.
AssetMetadata.suspended principal.user.attribute.labels.value where key is suspended Indica se l'utente è sospeso.
AssetMetadata.url principal.url L'URL contenuto nei metadati della risorsa.
AssetMetadata.userKey principal.user.attribute.labels.value where key is userKey Chiave utente dai metadati della risorsa.
BlockedFileHash target.file.md5, target.file.sha1, target.file.sha256 Hash del file bloccato. Analizzato utilizzando grok per estrarre md5, sha1 o sha256.
BlockedFileName security_result.about.file.full_path Nome del file bloccato.
BlockedFileReason security_result.summary Motivo del blocco del file.
BlockedFileSize target.file.size Dimensioni del file bloccato.
BotScore security_result.detection_fields.value where key is BotScore Punteggio del bot assegnato alla richiesta.
BytesReceived network.received_bytes Numero di byte ricevuti.
BytesSent network.sent_bytes Numero di byte inviati.
CacheCacheStatus additional.fields.value.string_value where key is CacheCacheStatus Stato della cache.
CacheResponseBytes additional.fields.value.string_value where key is CacheResponseBytes Numero di byte nella risposta memorizzata nella cache.
CacheResponseStatus additional.fields.value.string_value where key is CacheResponseStatus Codice di stato della risposta memorizzata nella cache.
ClientASN (Non mappato) Non mappato all'oggetto IDM.
ClientCountry principal.location.country_or_region Il paese del cliente.
ClientDeviceType additional.fields.value.string_value where key is ClientDeviceType Tipo di dispositivo client.
ClientIP principal.ip, principal.asset.ip Indirizzo IP del client.
ClientRequestMethod network.http.method Metodo di richiesta HTTP utilizzato dal client.
ClientRequestHost target.hostname, target.asset.hostname Nome host richiesto dal client.
ClientRequestPath (Non mappato) Non mappato all'oggetto IDM.
ClientRequestProtocol network.application_protocol Protocollo utilizzato nella richiesta del client (ad es. HTTP, HTTPS). La versione del protocollo viene rimossa.
ClientRequestReferer network.http.referral_url URL referrer della richiesta client.
ClientRequestURI target.url (combinato con ClientRequestHost se presente) URI richiesto dal client.
ClientRequestUserAgent network.http.user_agent User agent della richiesta client. Inoltre, è stato analizzato e mappato a network.http.parsed_user_agent.
ClientSSLCipher network.tls.cipher La crittografia SSL utilizzata dal client.
ClientSSLProtocol network.tls.version Protocollo SSL utilizzato dal client.
ClientSrcPort principal.port Porta di origine del client.
ClientTCPHandshakeDurationMs additional.fields.value.string_value where key is ClientTCPHandshakeDurationMs Durata dell'handshake TCP del client.
ClientTLSHandshakeDurationMs additional.fields.value.string_value where key is ClientTLSHandshakeDurationMs Durata dell'handshake TLS del client.
ClientTLSVersion network.tls.version Versione di TLS utilizzata dal client.
ColoID (Non mappato) Non mappato all'oggetto IDM.
Connection target.resource.attribute.labels.value where key is Connection Tipo di connessione (ad es. saml).
ConnectionCloseReason additional.fields.value.string_value where key is ConnectionCloseReason Motivo della chiusura della connessione.
ConnectionReuse additional.fields.value.string_value where key is ConnectionReuse Se si è verificato il riutilizzo della connessione.
Country target.location.country_or_region Il paese associato all'evento.
CreatedAt metadata.event_timestamp Timestamp della creazione dell'evento.
Datetime metadata.event_timestamp Data e ora dell'evento.
DestinationIP target.ip, target.asset.ip Indirizzo IP di destinazione.
DestinationPort target.port Porta di destinazione.
DestinationTunnelID additional.fields.value.string_value where key is DestinationTunnelID ID del tunnel di destinazione.
DeviceID principal.asset_id (con il prefisso "Cloudflare:") ID del dispositivo.
DeviceName principal.hostname, principal.asset.hostname, principal.asset.attribute.labels.value dove la chiave è DeviceName Il nome del dispositivo.
DownloadedFileNames security_result.about.labels.value where key is DownloadFileNames Nomi dei file scaricati.
DstIP target.ip, target.asset.ip Indirizzo IP di destinazione.
DstPort target.port Porta di destinazione.
EdgeColoCode additional.fields.value.string_value where key is EdgeColoCode Codice della località edge di Cloudflare.
EdgeColoID additional.fields.value.string_value where key is EdgeColoID ID della località edge di Cloudflare.
EdgeEndTimestamp (Non mappato) Non mappato all'oggetto IDM.
EdgeResponseBytes network.received_bytes Numero di byte nella risposta dall'edge.
EdgeResponseContentType target.file.mime_type Tipo di contenuti della risposta edge.
EdgeResponseStatus network.http.response_code Codice di stato della risposta edge.
EdgeServerIP target.ip, target.asset.ip L'indirizzo IP del server perimetrale.
EdgeStartTimestamp metadata.event_timestamp Timestamp dell'inizio della richiesta all'edge.
Email principal.user.email_addresses, target.user.email_addresses Indirizzo email associato all'evento.
EgressColoName additional.fields.value.string_value where key is EgressColoName Nome del colo di uscita.
EgressIP principal.ip, principal.asset.ip Indirizzo IP di uscita. Imposta network.direction su OUTBOUND.
EgressPort principal.port Porta di uscita.
EgressRuleID additional.fields.value.string_value where key is EgressRuleID ID della regola in uscita.
EgressRuleName additional.fields.value.string_value where key is EgressRuleName Nome della regola in uscita.
FindingTypeDisplayName security_result.description Nome visualizzato del tipo di risultato.
FindingTypeID security_result.rule_id ID del tipo di risultato.
FindingTypeSeverity security_result.severity Gravità del tipo di risultato.
FirewallMatchesActions security_result.action Azioni intraprese dalle regole firewall. allow, Allow, ALLOW, skip, SKIP, Skip corrisponde a ALLOW. challengeSolved e jschallengeSolved corrispondono a ALLOW_WITH_MODIFICATION. drop e block corrispondono a BLOCK. Gli altri valori vengono mappati a UNKNOWN_ACTION.
FirewallMatchesRuleIDs security_result.rule_id (per il primo ID), gli ID successivi creano nuovi oggetti security_result. ID delle regole firewall corrispondenti.
FirewallMatchesSources security_result.rule_name Origini delle regole firewall corrispondenti.
HTTPHost target.hostname Host HTTP.
HTTPMethod network.http.method Metodo HTTP.
HTTPVersion network.application_protocol Se il valore contiene "HTTP", imposta network.application_protocol su HTTP.
ID metadata.product_log_id ID dell'evento.
IngressColoName additional.fields.value.string_value where key is IngressColoName Nome della colo di ingresso.
InstanceID principal.resource.product_object_id ID dell'istanza.
IntegrationDisplayName additional.fields.value.string_value where key is IntegrationDisplayName Nome visualizzato dell'integrazione.
IntegrationID metadata.product_deployment_id ID dell'integrazione.
IntegrationPolicyVendor additional.fields.value.string_value where key is IntegrationPolicyVendor Fornitore del criterio di integrazione.
IPAddress target.ip, target.asset.ip Indirizzo IP associato all'evento.
IsIsolated about.labels.value dove la chiave è IsIsolated, security_result.about.resource.attribute.labels.value dove la chiave è IsIsolated Se l'evento è isolato.
Location principal.location.name La posizione associata all'evento.
NewValue security_result.about.labels.value where key is NewValue Nuovo valore dopo un aggiornamento.
Offramp additional.fields.value.string_value where key is Offramp L'uscita utilizzata nella connessione.
OldValue security_result.about.labels.value where key is OldValue Valore precedente a un aggiornamento.
OriginIP intermediary.ip, target.ip, target.asset.ip Indirizzo IP di origine.
OriginPort target.port Porta di origine.
OriginResponseBytes additional.fields.value.string_value where key is OriginResponseBytes Numero di byte nella risposta dell'origine.
OriginResponseStatus additional.fields.value.string_value where key is OriginResponseStatus Codice di stato della risposta dell'origine.
OriginResponseTime additional.fields.value.string_value where key is OriginResponseTime Tempo di risposta dell'origine.
OriginSSLProtocol (Non mappato) Non mappato all'oggetto IDM.
OriginTLSCertificateIssuer additional.fields.value.string_value where key is OriginTLSCertificateIssuer L'emittente del certificato TLS di origine.
OriginTLSCertificateValidationResult additional.fields.value.string_value where key is OriginTLSCertificateValidationResult Risultato della convalida del certificato TLS di origine.
OriginTLSCipher additional.fields.value.string_value where key is OriginTLSCipher Crittografia utilizzata nella connessione TLS di origine.
OriginTLSHandshakeDurationMs additional.fields.value.string_value where key is OriginTLSHandshakeDurationMs Durata dell'handshake TLS di origine.
OriginTLSVersion additional.fields.value.string_value where key is OriginTLSVersion Versione TLS utilizzata dall'origine.
OwnerID target.user.product_object_id ID del proprietario.
Policy security_result.rule_name Norma associata all'evento.
PolicyID security_result.rule_id ID del criterio.
PolicyName security_result.rule_name Nome del criterio.
Protocol network.application_protocol, network.ip_protocol Protocollo utilizzato nella connessione. Se non è "tls" o "TLS", viene convertito in maiuscolo e mappato a network.application_protocol. In caso contrario, viene analizzato utilizzando un file di inclusione e mappato a network.ip_protocol.
PurposeJustificationPrompt (Non mappato) Non mappato all'oggetto IDM.
PurposeJustificationResponse (Non mappato) Non mappato all'oggetto IDM.
QueryCategoryIDs security_result.about.labels.value, security_result.about.resource.attribute.labels.value dove la chiave è QueryCategoryIDs ID delle categorie di query.
QueryName network.dns.questions.name Nome della query DNS. Imposta metadata.event_type su NETWORK_DNS e network.application_protocol su DNS.
QueryNameReversed network.dns.questions.name Nome invertito della query DNS.
QuerySize network.sent_bytes Dimensioni della query.
QueryType network.dns.questions.type Tipo di query DNS. Mappato a valori numerici in base ai codici del tipo di query DNS.
RData network.dns.answers.type, network.dns.answers.data Dati del record DNS. Ogni elemento dell'array RData crea un nuovo oggetto answer.
RayID metadata.product_log_id L'ID Ray associato alla richiesta.
Referer network.http.referral_url URL del referrer.
RequestID metadata.product_log_id ID della richiesta.
ResolverDecision security_result.summary Decisione presa dal risolutore.
ResourceID target.resource.id, target.resource.product_object_id ID della risorsa.
ResourceType target.resource.resource_subtype Tipo di risorsa.
RuleEvaluationDurationMs additional.fields.value.string_value where key is RuleEvaluationDurationMs Durata della valutazione della regola.
SNI network.tls.client.server_name Indicazione nome server (SNI) in TLS client hello.
SecurityAction security_result.action Azione di sicurezza intrapresa. Il valore vuoto o nessun SecurityAction corrisponde a ALLOW. challengeSolved o jschallengeSolved corrisponde a ALLOW_WITH_MODIFICATION. drop o block corrisponde a BLOCK.
SecurityLevel security_result.severity Livello di sicurezza. high corrisponde a HIGH, med a MEDIUM e low a LOW.
SessionEndTime additional.fields.value.string_value where key is SessionEndTime Ora di fine della sessione.
SessionID network.session_id ID della sessione.
SessionStartTime metadata.event_timestamp Ora di inizio della sessione.
SourceIP principal.ip, principal.asset.ip, src.ip, src.asset.ip Indirizzo IP di origine.
SourcePort principal.port, src.port Porta di origine.
SrcIP principal.ip, principal.asset.ip Indirizzo IP di origine.
SrcPort principal.port Porta di origine.
TemporaryAccessDuration network.session_duration.seconds Durata dell'accesso temporaneo.
Timestamp metadata.event_timestamp Timestamp dell'evento.
Transport network.ip_protocol Protocollo di trasporto. Convertito in maiuscolo e analizzato utilizzando un file di inclusione.
UploadedFileNames security_result.about.labels.value where key is UploadedFileNames Nomi dei file caricati.
URL target.url L'URL coinvolto nell'evento.
UserAgent network.http.user_agent Stringa user agent. Inoltre, è stato analizzato e mappato a network.http.parsed_user_agent.
UserID principal.user.product_object_id, event.idm.read_only_udm.target.user.product_object_id ID dell'utente.
UserUID target.user.product_object_id UID dell'utente.
VirtualNetworkID principal.resource.product_object_id ID della rete virtuale.
WAFAction security_result.about.labels.value where key is WAFAction Azione intrapresa dal web application firewall (WAF).
WAFAttackScore security_result.about.resource.attribute.labels.value where key is WAFAttackScore Punteggio di attacco assegnato dal WAF.
WAFFlags security_result.about.resource.attribute.labels.value where key is WAFFlags Flag WAF.
WAFMatchedVar (Non mappato) Non mappato all'oggetto IDM.
WAFProfile security_result.about.labels.value where key is WAFProfile Profilo WAF.
WAFRCEAttackScore security_result.about.resource.attribute.labels.value where key is WAFRCEAttackScore Punteggio di attacco di esecuzione di codice remoto (RCE) del WAF.
WAFRuleID security_result.threat_id, security_result.about.labels.value dove la chiave è WAFRuleID ID della regola WAF.
WAFRuleMessage security_result.rule_name, security_result.threat_name Messaggio associato alla regola WAF.
WAFSQLiAttackScore security_result.about.resource.attribute.labels.value where key is WAFSQLiAttackScore Punteggio dell'attacco SQL injection WAF.
WAFXSSAttackScore security_result.about.resource.attribute.labels.value where key is WAFXSSAttackScore Punteggio di attacco di cross-site scripting (XSS) WAF.
ZoneID additional.fields.value.string_value where key is ZoneID ID zona.
event.idm.read_only_udm.metadata.event_type metadata.event_type Tipo di evento. Impostato dal parser in base ai dati dei log. Se non è impostato o se un evento NETWORK_DNS non ha un'entità o una destinazione, il valore predefinito è GENERIC_EVENT. Può essere NETWORK_DNS, NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_RESOURCE_UPDATE_CONTENT o GENERIC_EVENT.
event.idm.read_only_udm.metadata.log_type metadata.log_type Tipo di log, impostato su "CLOUDFLARE".
event.idm.read_only_udm.metadata.product_deployment_id metadata.product_deployment_id ID deployment prodotto.
event.idm.read_only_udm.metadata.product_log_id metadata.product_log_id ID log prodotto.
event.idm.read_only_udm.metadata.product_name metadata.product_name Nome del prodotto. Impostato dal parser in base ai dati dei log. Può essere "Cloudflare Gateway DNS", "Cloudflare Gateway HTTP", "Cloudflare Audit", "Web Application Firewall".
event.idm.read_only_udm.metadata.vendor_name metadata.vendor_name Nome del fornitore, impostato su "Cloudflare".
event.idm.read_only_udm.metadata.event_timestamp metadata.event_timestamp Timestamp dell'evento.
event.idm.read_only_udm.network.application_protocol network.application_protocol Protocollo applicativo utilizzato nella connessione di rete.
event.idm.read_only_udm.network.direction network.direction Direzione della connessione di rete. Impostato su OUTBOUND quando sono presenti EgressIP e SourceIP.
event.idm.read_only_udm.network.dns.answers network.dns.answers Risposte DNS.
event.idm.read_only_udm.network.dns.questions network.dns.questions Domande sul DNS.
event.idm.read_only_udm.network.http.method network.http.method Metodo HTTP.
event.idm.read_only_udm.network.http.parsed_user_agent network.http.parsed_user_agent User agent analizzato.
event.idm.read_only_udm.network.http.referral_url network.http.referral_url URL di referral HTTP.
event.idm.read_only_udm.network.http.response_code network.http.response_code Codice di risposta HTTP.
event.idm.read_only_udm.network.http.user_agent network.http.user_agent User agent HTTP.
event.idm.read_only_udm.network.ip_protocol network.ip_protocol Protocollo IP.
event.idm.read_only_udm.network.received_bytes network.received_bytes Numero di byte ricevuti.
event.idm.read_only_udm.network.sent_bytes network.sent_bytes Numero di byte inviati.
event.idm.read_only_udm.network.session_duration.seconds network.session_duration.seconds Durata della sessione di rete in secondi.
event.idm.read_only_udm.network.session_id network.session_id ID sessione di rete.
event.idm.read_only_udm.network.tls.cipher network.tls.cipher Suite di crittografia TLS.
event.idm.read_only_udm.network.tls.client.server_name network.tls.client.server_name Nome del server client TLS.
event.idm.read_only_udm.network.tls.version network.tls.version Versione TLS.
event.idm.read_only_udm.principal.asset.attribute.labels principal.asset.attribute.labels Etichette associate alla risorsa principale.
event.idm.read_only_udm.principal.asset.hostname principal.asset.hostname Nome host dell'asset principale.
event.idm.read_only_udm.principal.asset.ip principal.asset.ip Indirizzo IP dell'asset principale.
event.idm.read_only_udm.principal.asset_id principal.asset_id ID della risorsa principale.
event.idm.read_only_udm.principal.hostname principal.hostname Il nome host dell'entità.
event.idm.read_only_udm.principal.ip principal.ip L'indirizzo IP dell'entità.
event.idm.read_only_udm.principal.location.country_or_region principal.location.country_or_region Il paese o la regione in cui si trova il mandante.
event.idm.read_only_udm.principal.location.name principal.location.name Nome della sede del mandante.
event.idm.read_only_udm.principal.port principal.port Porta utilizzata dal preside.
event.idm.read_only_udm.principal.resource.product_object_id principal.resource.product_object_id ID oggetto prodotto della risorsa del principal.
event.idm.read_only_udm.principal.url principal.url L'URL associato all'entità.
event.idm.read_only_udm.principal.user.attribute.labels principal.user.attribute.labels Etichette associate all'utente principale.
event.idm.read_only_udm.principal.user.email_addresses principal.user.email_addresses Indirizzi email dell'utente principale.
event.idm.read_only_udm.principal.user.first_name principal.user.first_name Nome dell'utente principale.
event.idm.read_only_udm.principal.user.last_name principal.user.last_name Il cognome dell'utente principale.
event.idm.read_only_udm.principal.user.product_object_id principal.user.product_object_id ID oggetto prodotto dell'utente principale.
event.idm.read_only_udm.principal.user.userid principal.user.userid ID utente dell'utente principale.
event.idm.read_only_udm.principal.user.user_display_name principal.user.user_display_name Nome visualizzato dell'utente principale.
event.idm.read_only_udm.src.asset.ip src.asset.ip L'indirizzo IP dell'asset di origine.
event.idm.read_only_udm.src.ip src.ip L'indirizzo IP dell'origine.
event.idm.read_only_udm.src.port src.port Porta dell'origine.
event.idm.read_only_udm.target.administrative_domain target.administrative_domain Dominio amministrativo del target.
event.idm.read_only_udm.target.asset.hostname target.asset.hostname Il nome host dell'asset di destinazione.
event.idm.read_only_udm.target.asset.ip target.asset.ip Indirizzo IP dell'asset di destinazione.
event.idm.read_only_udm.target.file.mime_type target.file.mime_type Tipo MIME del file di destinazione.
event.idm.read_only_udm.target.file.md5 target.file.md5 Hash MD5 del file di destinazione.
event.idm.read_only_udm.target.file.sha1 target.file.sha1 Hash SHA1 del file di destinazione.
event.idm.read_only_udm.target.file.sha256 target.file.sha256 Hash SHA256 del file di destinazione.
event.idm.read_only_udm.target.file.size target.file.size Dimensioni del file di destinazione.
event.idm.read_only_udm.target.hostname target.hostname Nome host della destinazione.
event.idm.read_only_udm.target.ip target.ip Indirizzo IP della destinazione.
event.idm.read_only_udm.target.location.country_or_region target.location.country_or_region Il paese o la regione della posizione del target.
event.idm.read_only_udm.target.port target.port Porta della destinazione.
event.idm.read_only_udm.target.resource.attribute.labels target.resource.attribute.labels Etichette associate alla risorsa di destinazione.
event.idm.read_only_udm.target.resource.id target.resource.id ID della risorsa di destinazione.
event.idm.read_only_udm.target.resource.product_object_id target.resource.product_object_id ID oggetto prodotto della risorsa di destinazione.
event.idm.read_only_udm.target.resource.resource_subtype target.resource.resource_subtype Sottotipo di risorsa della risorsa di destinazione.
event.idm.read_only_udm.target.url target.url L'URL della destinazione.
event.idm.read_only_udm.target.user.email_addresses target.user.email_addresses Indirizzi email dell'utente di destinazione.
event.idm.read_only_udm.target.user.product_object_id target.user.product_object_id ID oggetto prodotto dell'utente di destinazione.
event.idm.read_only_udm.security_result.about.file.full_path security_result.about.file.full_path Il percorso completo del file coinvolto nel risultato di sicurezza.
event.idm.read_only_udm.security_result.about.labels security_result.about.labels Etichette associate al risultato di sicurezza.
event.idm.read_only_udm.security_result.about.resource.attribute.labels security_result.about.resource.attribute.labels Etichette associate alla risorsa nel risultato di sicurezza.
event.idm.read_only_udm.security_result.action security_result.action Azione intrapresa nel risultato di sicurezza.
event.idm.read_only_udm.security_result.detection_fields security_result.detection_fields Campi di rilevamento nel risultato di sicurezza.
event.idm.read_only_udm.security_result.description security_result.description Descrizione del risultato di sicurezza.
event.idm.read_only_udm.security_result.rule_id security_result.rule_id ID regola del risultato di sicurezza.
event.idm.read_only_udm.security_result.rule_name security_result.rule_name Nome della regola del risultato di sicurezza.
event.idm.read_only_udm.security_result.severity security_result.severity Gravità del risultato di sicurezza.
event.idm.read_only_udm.security_result.summary security_result.summary Riepilogo del risultato di sicurezza.
event.idm.read_only_udm.security_result.threat_id security_result.threat_id ID minaccia del risultato di sicurezza.
event.idm.read_only_udm.security_result.threat_name security_result.threat_name Nome della minaccia del risultato di sicurezza.
event.idm.read_only_udm.extensions.auth.type extensions.auth.type Tipo di autenticazione. Imposta MACHINE per gli eventi di accesso e disconnessione.
event.idm.read_only_udm.about about Informazioni.
event.idm.read_only_udm.additional.fields additional.fields Campi aggiuntivi.
event.idm.read_only_udm.intermediary intermediary Informazioni sull'intermediario.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.