Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Cloudflare

Compatível com:

Google SecOps SIEM

Visão geral

Esse analisador processa vários tipos de registros do Cloudflare (DNS, HTTP, auditoria, Zero Trust, CASB). Primeiro, ele normaliza campos comuns e depois aplica uma lógica condicional com base em campos específicos, como QueryName, Action e ID, para extrair e mapear dados relevantes para a UDM. Ele também realiza conversões de tipo de dados, correspondência de grok para endereços IP e hashes, além de processar payloads JSON aninhados.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Instância do Google SecOps.
Acesso privilegiado ao Google Cloud IAM.
Acesso privilegiado ao Google Cloud Storage.
Acesso privilegiado ao Cloudflare.

Criar um Google Cloud bucket do Storage

Faça login no console do Google Cloud .
Acesse a página Buckets do Cloud Storage.

Acessar buckets
Clique em Criar.
Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima etapa:
1. Na seção Começar, faça o seguinte:
  1. Insira um nome exclusivo que atenda aos requisitos de nome de bucket (por exemplo, cloudflare-data).
  2. Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.
  Observação: não é possível ativar o namespace hierárquico em um bucket atual.
  1. Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.
  2. Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.
2. Na seção Escolha onde armazenar seus dados, faça o seguinte:
  1. Selecione um tipo de local.
  2. Use o menu suspenso do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.
    1. Se você selecionar o tipo de local birregional, também poderá ativar a replicação turbo usando a caixa de seleção relevante.
  3. Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.
3. Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.
4. Na seção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e selecione um modelo de controle de acesso para os objetos do bucket.
  
  Observação: se a prevenção de acesso público já estiver aplicada pela política da organização do projeto, a caixa de seleção Impedir acesso público ficará bloqueada.
5. Na seção Escolha como proteger os dados do objeto, faça o seguinte:
  1. Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
  2. Para escolher como os dados do objeto serão criptografados, clique na seta de expansão identificada como Criptografia de dados e selecione um Método de criptografia de dados.
Clique em Criar.

Criar uma conta de serviço do Google Cloud

Acesse IAM e administrador > Contas de serviço.
Crie uma nova conta de serviço.
Dê um nome descritivo a ele (por exemplo, cloudflare-logs).
Conceda à conta de serviço o papel Criador de objetos do Storage no bucket do GCS criado na etapa anterior.
Crie uma chave de conta de serviço para a conta de serviço.
Faça o download de um arquivo de chave JSON para a conta de serviço. Mantenha esse arquivo seguro.

Ativar o Cloudflare IAM para o Google Cloud Storage

Acesse Armazenamento > Navegador > Bucket > Permissões.
Adicione o membro logpush@cloudflare-data.iam.gserviceaccount.com com a permissão Administrador de objetos do Storage.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

Configurações do SIEM > Feeds
Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed (por exemplo, Registros do Cloudflare).
Selecione Google Cloud Storage como o Tipo de origem.
Selecione Cloudflare como o Tipo de registro.
Clique em Receber conta de serviço como a Conta de serviço do Chronicle.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- URI do bucket de armazenamento: URL do bucket de armazenamento do Google Cloud no formato gs://my-bucket/<value>.
- O URI é um: selecione Diretório que inclui subdiretórios.
- Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
Observação: se você selecionar a opção Delete transferred files ou Delete transferred files and empty directories, verifique se concedeu as permissões adequadas à conta de serviço.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

URI do bucket de armazenamento: Google Cloud URL do bucket de armazenamento no formato gs://my-bucket/<value>.
O URI é um: selecione Diretório que inclui subdiretórios.
Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.

Observação: se você selecionar a opção Delete transferred files ou Delete transferred files and empty directories, verifique se concedeu as permissões adequadas à conta de serviço.

Opções avançadas

Nome do feed: um valor pré-preenchido que identifica o feed.
Tipo de origem: método usado para coletar registros no Google SecOps.
Namespace do recurso: namespace associado ao feed.
Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Configurar o Cloudflare para enviar registros ao Google Cloud Storage

Faça login no painel do Cloudflare.
Selecione a conta ou domínio empresarial (também conhecido como zona) que você quer usar com o Logpush.
Acesse Análise e registros > Logpush.
Selecione Criar um job Logpush.
Em Selecionar um destino, escolha Google Cloud Storage.
Insira ou selecione os seguintes detalhes de destino:
- Bucket: nome do bucket do GCS
- Caminho: local do bucket no contêiner de armazenamento
- Caixa de seleção: organizar registros em subpastas diárias (recomendado)
Observação: verifique se o bucket tem o IAM do Cloudflare como um usuário com o papel de Administrador de objetos do Storage.
Clique em Continuar.
Verificação de propriedade:
1. O Cloudflare vai enviar um arquivo para seu bucket.
2. Copie e cole o token:
  1. Faça login no console doGoogle Cloud > Armazenamento > Bucket do Cloudflare.
  2. Abra o arquivo de desafio de propriedade.
  3. Copie o token de propriedade.
  4. Insira o token de propriedade no console do Cloudflare.
  5. Selecione Continuar.
3. Selecione o conjunto de dados para enviar ao bucket.
Configure o job logpush:
1. Insira o nome do job.
2. Em Se os registros corresponderem, selecione os eventos que você quer incluir ou remover dos registros.
Observação: nem todos os conjuntos de dados têm essa opção disponível.
1. Enviar os seguintes campos: selecione para enviar todos os registros ou escolha seletivamente quais registros você quer enviar.
Selecione Enviar para finalizar a configuração.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`AccountID`	`target.resource.id`, `target.resource.product_object_id`	O ID da conta associada ao evento.
`Action`	`security_result.action`	Ação tomada com base no evento. `allow` ou `allowed*` resulta em `ALLOW`. `unknown` resulta em `UNKNOWN_ACTION`. Outros valores resultam em `BLOCK`. Para registros de acesso, `login` é mapeado para `USER_LOGIN`, `logout` para `USER_LOGOUT` e outros valores para `USER_RESOURCE_ACCESS` se um e-mail estiver presente.
`ActionResult`	`security_result.action`	Se `true`, será mapeado para `ALLOW`. Se `false`, será mapeado para `BLOCK`. Caso contrário, mapeia para `UNKNOWN_ACTION`.
`ActionType`	`security_result.description`	Descrição da ação realizada.
`ActorEmail`	`principal.user.email_addresses`	Endereço de e-mail do ator que iniciou o evento.
`ActorID`	`principal.user.product_object_id`	ID do ator que iniciou o evento.
`ActorIP`	`principal.ip`, `principal.asset.ip`	Endereço IP do ator que iniciou o evento.
`Allowed`	`security_result.action`	Se `true`, será mapeado para `ALLOW`. Caso contrário, mapeia para `BLOCK`.
`AppDomain`	`target.administrative_domain`	Domínio do aplicativo envolvido no evento.
`AppUUID`	`target.resource.product_object_id`	UUID do aplicativo envolvido no evento.
`AssetDisplayName`	`principal.asset.attribute.labels.value` em que a chave é `AssetDisplayName`	Nome de exibição do recurso.
`AssetExternalID`	`principal.asset_id` (com o prefixo "Cloudflare:")	ID externo do recurso.
`AssetLink`	`principal.url`	Link associado ao recurso.
`AssetMetadata.agreedToTerms`	`principal.user.attribute.labels.value` em que a chave é `agreedToTerms`	Se o usuário concordou com os termos.
`AssetMetadata.changePasswordAtNextLogin`	`principal.user.attribute.labels.value` em que a chave é `changePasswordAtNextLogin`	Se o usuário precisa mudar a senha no próximo login.
`AssetMetadata.clientId`	`principal.user.userid`	ID do cliente nos metadados do recurso.
`AssetMetadata.customerId`	`principal.user.userid`	ID do cliente nos metadados do recurso.
`AssetMetadata.familyName`	`principal.user.last_name`	Sobrenome do usuário nos metadados do recurso.
`AssetMetadata.givenName`	`principal.user.first_name`	Nome do usuário nos metadados do recurso.
`AssetMetadata.includeInGlobalAddressList`	`principal.user.attribute.labels.value` em que a chave é `includeInGlobalAddressList`	Se o usuário está incluído na lista de endereços global.
`AssetMetadata.ipWhitelisted`	`principal.user.attribute.labels.value` em que a chave é `ipWhitelisted`	Se o usuário está na lista de permissões de IP.
`AssetMetadata.isAdmin`	`principal.user.attribute.labels.value` em que a chave é `isAdmin`	Se o usuário é um administrador.
`AssetMetadata.isDelegatedAdmin`	`principal.user.attribute.labels.value` em que a chave é `isDelegatedAdmin`	Se o usuário é um administrador delegado.
`AssetMetadata.isEnforcedIn2Sv`	`principal.user.attribute.labels.value` em que a chave é `isEnforcedIn2Sv`	Indica se a 2SV é obrigatória para o usuário.
`AssetMetadata.isEnrolledIn2Sv`	`principal.user.attribute.labels.value` em que a chave é `isEnrolledIn2Sv`	Indica se o usuário está inscrito na verificação em duas etapas.
`AssetMetadata.kind`	(Não mapeado)	Não mapeado para o objeto IDM.
`AssetMetadata.lastLoginTime`	`principal.user.attribute.labels.value` em que a chave é `lastLoginTime`	Hora do último login do usuário.
`AssetMetadata.login`	`principal.user.userid`	Nome de login dos metadados do recurso.
`AssetMetadata.name.familyName`	`principal.user.last_name`	Nome da família nos metadados do recurso.
`AssetMetadata.name.fullName`	`principal.user.user_display_name`	Nome completo dos metadados do recurso.
`AssetMetadata.name.givenName`	`principal.user.first_name`	Nome fornecido nos metadados do recurso.
`AssetMetadata.nativeApp`	`security_result.detection_fields.value` em que a chave é `nativeApp`	Se o app é nativo.
`AssetMetadata.owner.id`	`principal.user.userid`	ID do proprietário nos metadados do recurso.
`AssetMetadata.primaryEmail`	`principal.user.email_addresses`	O e-mail principal dos metadados do recurso.
`AssetMetadata.scopes`	(Não mapeado)	Não mapeado para o objeto IDM.
`AssetMetadata.site_admin`	`principal.user.attribute.labels.value` em que a chave é `site_admin`	Se o usuário é um administrador do site.
`AssetMetadata.suspended`	`principal.user.attribute.labels.value` em que a chave é `suspended`	Indica se o usuário está suspenso.
`AssetMetadata.url`	`principal.url`	URL dos metadados do recurso.
`AssetMetadata.userKey`	`principal.user.attribute.labels.value` em que a chave é `userKey`	Chave do usuário dos metadados do recurso.
`BlockedFileHash`	`target.file.md5`, `target.file.sha1`, `target.file.sha256`	Hashes do arquivo bloqueado. Analisado usando grok para extrair md5, sha1 ou sha256.
`BlockedFileName`	`security_result.about.file.full_path`	Nome do arquivo bloqueado.
`BlockedFileReason`	`security_result.summary`	Motivo para bloquear o arquivo.
`BlockedFileSize`	`target.file.size`	Tamanho do arquivo bloqueado.
`BotScore`	`security_result.detection_fields.value` em que a chave é `BotScore`	Pontuação de bot atribuída à solicitação.
`BytesReceived`	`network.received_bytes`	Número de bytes recebidos.
`BytesSent`	`network.sent_bytes`	Número de bytes enviados.
`CacheCacheStatus`	`additional.fields.value.string_value` em que a chave é `CacheCacheStatus`	Status do cache.
`CacheResponseBytes`	`additional.fields.value.string_value` em que a chave é `CacheResponseBytes`	Número de bytes na resposta em cache.
`CacheResponseStatus`	`additional.fields.value.string_value` em que a chave é `CacheResponseStatus`	Código de status da resposta armazenada em cache.
`ClientASN`	(Não mapeado)	Não mapeado para o objeto IDM.
`ClientCountry`	`principal.location.country_or_region`	País do cliente.
`ClientDeviceType`	`additional.fields.value.string_value` em que a chave é `ClientDeviceType`	Tipo do dispositivo cliente.
`ClientIP`	`principal.ip`, `principal.asset.ip`	Endereço IP do cliente.
`ClientRequestMethod`	`network.http.method`	Método de solicitação HTTP usado pelo cliente.
`ClientRequestHost`	`target.hostname`, `target.asset.hostname`	Nome do host solicitado pelo cliente.
`ClientRequestPath`	(Não mapeado)	Não mapeado para o objeto IDM.
`ClientRequestProtocol`	`network.application_protocol`	Protocolo usado na solicitação do cliente (por exemplo, HTTP, HTTPS). A versão do protocolo é removida.
`ClientRequestReferer`	`network.http.referral_url`	URL de indicação da solicitação do cliente.
`ClientRequestURI`	`target.url` (combinado com `ClientRequestHost`, se presente)	URI solicitado pelo cliente.
`ClientRequestUserAgent`	`network.http.user_agent`	User agent da solicitação do cliente. Também analisado e mapeado para `network.http.parsed_user_agent`.
`ClientSSLCipher`	`network.tls.cipher`	Criptografia SSL usada pelo cliente.
`ClientSSLProtocol`	`network.tls.version`	Protocolo SSL usado pelo cliente.
`ClientSrcPort`	`principal.port`	Porta de origem do cliente.
`ClientTCPHandshakeDurationMs`	`additional.fields.value.string_value` em que a chave é `ClientTCPHandshakeDurationMs`	Duração do handshake TCP do cliente.
`ClientTLSHandshakeDurationMs`	`additional.fields.value.string_value` em que a chave é `ClientTLSHandshakeDurationMs`	Duração do handshake de TLS do cliente.
`ClientTLSVersion`	`network.tls.version`	Versão do TLS usada pelo cliente.
`ColoID`	(Não mapeado)	Não mapeado para o objeto IDM.
`Connection`	`target.resource.attribute.labels.value` em que a chave é `Connection`	Tipo de conexão (por exemplo, saml).
`ConnectionCloseReason`	`additional.fields.value.string_value` em que a chave é `ConnectionCloseReason`	Motivo do encerramento da conexão.
`ConnectionReuse`	`additional.fields.value.string_value` em que a chave é `ConnectionReuse`	Se a reutilização de conexão ocorreu.
`Country`	`target.location.country_or_region`	País associado ao evento.
`CreatedAt`	`metadata.event_timestamp`	Carimbo de data/hora da criação do evento.
`Datetime`	`metadata.event_timestamp`	Data e hora do evento.
`DestinationIP`	`target.ip`, `target.asset.ip`	Endereço IP de destino.
`DestinationPort`	`target.port`	Porta de destino.
`DestinationTunnelID`	`additional.fields.value.string_value` em que a chave é `DestinationTunnelID`	ID do túnel de destino.
`DeviceID`	`principal.asset_id` (com o prefixo "Cloudflare:")	ID do dispositivo.
`DeviceName`	`principal.hostname`, `principal.asset.hostname`, `principal.asset.attribute.labels.value` em que a chave é `DeviceName`	Nome do dispositivo.
`DownloadedFileNames`	`security_result.about.labels.value` em que a chave é `DownloadFileNames`	Nomes dos arquivos baixados.
`DstIP`	`target.ip`, `target.asset.ip`	Endereço IP de destino.
`DstPort`	`target.port`	Porta de destino.
`EdgeColoCode`	`additional.fields.value.string_value` em que a chave é `EdgeColoCode`	Código do local da borda do Cloudflare.
`EdgeColoID`	`additional.fields.value.string_value` em que a chave é `EdgeColoID`	ID do local da borda do Cloudflare.
`EdgeEndTimestamp`	(Não mapeado)	Não mapeado para o objeto IDM.
`EdgeResponseBytes`	`network.received_bytes`	Número de bytes na resposta da borda.
`EdgeResponseContentType`	`target.file.mime_type`	Tipo de conteúdo da resposta de borda.
`EdgeResponseStatus`	`network.http.response_code`	Código de status da resposta da borda.
`EdgeServerIP`	`target.ip`, `target.asset.ip`	Endereço IP do servidor de borda.
`EdgeStartTimestamp`	`metadata.event_timestamp`	Carimbo de data/hora do início da solicitação na borda.
`Email`	`principal.user.email_addresses`, `target.user.email_addresses`	Endereço de e-mail associado ao evento.
`EgressColoName`	`additional.fields.value.string_value` em que a chave é `EgressColoName`	Nome da colo de saída.
`EgressIP`	`principal.ip`, `principal.asset.ip`	Endereço IP de saída. Define `network.direction` como `OUTBOUND`.
`EgressPort`	`principal.port`	Porta de saída.
`EgressRuleID`	`additional.fields.value.string_value` em que a chave é `EgressRuleID`	ID da regra de saída.
`EgressRuleName`	`additional.fields.value.string_value` em que a chave é `EgressRuleName`	Nome da regra de saída.
`FindingTypeDisplayName`	`security_result.description`	Nome de exibição do tipo de descoberta.
`FindingTypeID`	`security_result.rule_id`	ID do tipo de descoberta.
`FindingTypeSeverity`	`security_result.severity`	Gravidade do tipo de descoberta.
`FirewallMatchesActions`	`security_result.action`	Ações realizadas pelas regras de firewall. `allow`, `Allow`, `ALLOW`, `skip`, `SKIP`, `Skip` correspondem a `ALLOW`. `challengeSolved` e `jschallengeSolved` são mapeados para `ALLOW_WITH_MODIFICATION`. `drop` e `block` são mapeados para `BLOCK`. Outros valores são mapeados para `UNKNOWN_ACTION`.
`FirewallMatchesRuleIDs`	`security_result.rule_id` (para o primeiro ID). Os IDs subsequentes criam novos objetos `security_result`.	IDs das regras de firewall correspondentes.
`FirewallMatchesSources`	`security_result.rule_name`	Origens das regras de firewall que corresponderam.
`HTTPHost`	`target.hostname`	Host HTTP.
`HTTPMethod`	`network.http.method`	Método HTTP.
`HTTPVersion`	`network.application_protocol`	Se o valor contiver "HTTP", defina `network.application_protocol` como `HTTP`.
`ID`	`metadata.product_log_id`	ID do evento.
`IngressColoName`	`additional.fields.value.string_value` em que a chave é `IngressColoName`	Nome da colo de entrada.
`InstanceID`	`principal.resource.product_object_id`	ID da instância.
`IntegrationDisplayName`	`additional.fields.value.string_value` em que a chave é `IntegrationDisplayName`	Nome de exibição da integração.
`IntegrationID`	`metadata.product_deployment_id`	ID da integração.
`IntegrationPolicyVendor`	`additional.fields.value.string_value` em que a chave é `IntegrationPolicyVendor`	Fornecedor da política de integração.
`IPAddress`	`target.ip`, `target.asset.ip`	Endereço IP associado ao evento.
`IsIsolated`	`about.labels.value` em que a chave é `IsIsolated`, `security_result.about.resource.attribute.labels.value` em que a chave é `IsIsolated`	Se o evento é isolado.
`Location`	`principal.location.name`	Local associado ao evento.
`NewValue`	`security_result.about.labels.value` em que a chave é `NewValue`	Novo valor após uma atualização.
`Offramp`	`additional.fields.value.string_value` em que a chave é `Offramp`	Offramp usada na conexão.
`OldValue`	`security_result.about.labels.value` em que a chave é `OldValue`	Valor antigo antes de uma atualização.
`OriginIP`	`intermediary.ip`, `target.ip`, `target.asset.ip`	Endereço IP de origem.
`OriginPort`	`target.port`	Porta de origem.
`OriginResponseBytes`	`additional.fields.value.string_value` em que a chave é `OriginResponseBytes`	Número de bytes na resposta da origem.
`OriginResponseStatus`	`additional.fields.value.string_value` em que a chave é `OriginResponseStatus`	Código de status da resposta da origem.
`OriginResponseTime`	`additional.fields.value.string_value` em que a chave é `OriginResponseTime`	Tempo de resposta da origem.
`OriginSSLProtocol`	(Não mapeado)	Não mapeado para o objeto IDM.
`OriginTLSCertificateIssuer`	`additional.fields.value.string_value` em que a chave é `OriginTLSCertificateIssuer`	Emissor do certificado TLS de origem.
`OriginTLSCertificateValidationResult`	`additional.fields.value.string_value` em que a chave é `OriginTLSCertificateValidationResult`	Resultado da validação do certificado TLS de origem.
`OriginTLSCipher`	`additional.fields.value.string_value` em que a chave é `OriginTLSCipher`	Criptografia usada na conexão TLS de origem.
`OriginTLSHandshakeDurationMs`	`additional.fields.value.string_value` em que a chave é `OriginTLSHandshakeDurationMs`	Duração do handshake de TLS de origem.
`OriginTLSVersion`	`additional.fields.value.string_value` em que a chave é `OriginTLSVersion`	Versão do TLS usada pela origem.
`OwnerID`	`target.user.product_object_id`	ID do proprietário.
`Policy`	`security_result.rule_name`	Política associada ao evento.
`PolicyID`	`security_result.rule_id`	ID da política.
`PolicyName`	`security_result.rule_name`	Nome da política.
`Protocol`	`network.application_protocol`, `network.ip_protocol`	Protocolo usado na conexão. Se não for "tls" ou "TLS", será convertido para maiúsculas e mapeado para `network.application_protocol`. Caso contrário, será analisado usando um arquivo de inclusão e mapeado para `network.ip_protocol`.
`PurposeJustificationPrompt`	(Não mapeado)	Não mapeado para o objeto IDM.
`PurposeJustificationResponse`	(Não mapeado)	Não mapeado para o objeto IDM.
`QueryCategoryIDs`	`security_result.about.labels.value`, `security_result.about.resource.attribute.labels.value` em que a chave é `QueryCategoryIDs`	IDs de categorias de consulta.
`QueryName`	`network.dns.questions.name`	Nome da consulta DNS. Define `metadata.event_type` como `NETWORK_DNS` e `network.application_protocol` como `DNS`.
`QueryNameReversed`	`network.dns.questions.name`	Nome invertido da consulta DNS.
`QuerySize`	`network.sent_bytes`	Tamanho da consulta.
`QueryType`	`network.dns.questions.type`	Tipo da consulta DNS. Mapeados para valores numéricos com base em códigos de tipo de consulta de DNS.
`RData`	`network.dns.answers.type`, `network.dns.answers.data`	Dados do registro DNS. Cada elemento na matriz `RData` cria um novo objeto `answer`.
`RayID`	`metadata.product_log_id`	ID do raio associado à solicitação.
`Referer`	`network.http.referral_url`	URL de referência.
`RequestID`	`metadata.product_log_id`	ID da solicitação.
`ResolverDecision`	`security_result.summary`	Decisão tomada pelo resolvedor.
`ResourceID`	`target.resource.id`, `target.resource.product_object_id`	ID do recurso.
`ResourceType`	`target.resource.resource_subtype`	Tipo do recurso.
`RuleEvaluationDurationMs`	`additional.fields.value.string_value` em que a chave é `RuleEvaluationDurationMs`	Duração da avaliação de regras.
`SNI`	`network.tls.client.server_name`	Indicação de nome do servidor (SNI) no TLS ClientHello.
`SecurityAction`	`security_result.action`	Ação de segurança realizada. Valor vazio ou nenhum `SecurityAction` mapeado para `ALLOW`. `challengeSolved` ou `jschallengeSolved` é mapeado para `ALLOW_WITH_MODIFICATION`. `drop` ou `block` é mapeado para `BLOCK`.
`SecurityLevel`	`security_result.severity`	Nível de segurança. `high` é mapeado para `HIGH`, `med` para `MEDIUM` e `low` para `LOW`.
`SessionEndTime`	`additional.fields.value.string_value` em que a chave é `SessionEndTime`	Horário de término da sessão.
`SessionID`	`network.session_id`	ID da sessão.
`SessionStartTime`	`metadata.event_timestamp`	Horário de início da sessão.
`SourceIP`	`principal.ip`, `principal.asset.ip`, `src.ip`, `src.asset.ip`	Endereço IP de origem.
`SourcePort`	`principal.port`, `src.port`	Porta de origem.
`SrcIP`	`principal.ip`, `principal.asset.ip`	Endereço IP de origem.
`SrcPort`	`principal.port`	Porta de origem.
`TemporaryAccessDuration`	`network.session_duration.seconds`	Duração do acesso temporário.
`Timestamp`	`metadata.event_timestamp`	Carimbo de data/hora do evento.
`Transport`	`network.ip_protocol`	Protocolo de transporte. Convertido para maiúsculas e analisado usando um arquivo de inclusão.
`UploadedFileNames`	`security_result.about.labels.value` em que a chave é `UploadedFileNames`	Nomes dos arquivos enviados.
`URL`	`target.url`	URL envolvido no evento.
`UserAgent`	`network.http.user_agent`	String do user agent. Também analisado e mapeado para `network.http.parsed_user_agent`.
`UserID`	`principal.user.product_object_id`, `event.idm.read_only_udm.target.user.product_object_id`	ID do usuário.
`UserUID`	`target.user.product_object_id`	UID do usuário.
`VirtualNetworkID`	`principal.resource.product_object_id`	ID da rede virtual.
`WAFAction`	`security_result.about.labels.value` em que a chave é `WAFAction`	Ação realizada pelo firewall de aplicativos da Web (WAF).
`WAFAttackScore`	`security_result.about.resource.attribute.labels.value` em que a chave é `WAFAttackScore`	Pontuação de ataque atribuída pelo WAF.
`WAFFlags`	`security_result.about.resource.attribute.labels.value` em que a chave é `WAFFlags`	Flags do WAF.
`WAFMatchedVar`	(Não mapeado)	Não mapeado para o objeto IDM.
`WAFProfile`	`security_result.about.labels.value` em que a chave é `WAFProfile`	Perfil do WAF.
`WAFRCEAttackScore`	`security_result.about.resource.attribute.labels.value` em que a chave é `WAFRCEAttackScore`	Pontuação de ataque de execução remota de código (RCE) do WAF.
`WAFRuleID`	`security_result.threat_id`, `security_result.about.labels.value` em que a chave é `WAFRuleID`	ID da regra do WAF.
`WAFRuleMessage`	`security_result.rule_name`, `security_result.threat_name`	Mensagem associada à regra do WAF.
`WAFSQLiAttackScore`	`security_result.about.resource.attribute.labels.value` em que a chave é `WAFSQLiAttackScore`	Pontuação de ataque de injeção SQL da WAF.
`WAFXSSAttackScore`	`security_result.about.resource.attribute.labels.value` em que a chave é `WAFXSSAttackScore`	Pontuação de ataque de scripting em vários locais (XSS) do WAF.
`ZoneID`	`additional.fields.value.string_value` em que a chave é `ZoneID`	ID da zona.
`event.idm.read_only_udm.metadata.event_type`	`metadata.event_type`	Tipo do evento. Definido pelo analisador com base nos dados de registro. O padrão é `GENERIC_EVENT` se não estiver definido ou se um evento `NETWORK_DNS` não tiver uma conta principal ou um destino. Pode ser `NETWORK_DNS`, `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_LOGOUT`, `USER_RESOURCE_ACCESS`, `USER_RESOURCE_UPDATE_CONTENT` ou `GENERIC_EVENT`.
`event.idm.read_only_udm.metadata.log_type`	`metadata.log_type`	Tipo de registro, definido como "CLOUDFLARE".
`event.idm.read_only_udm.metadata.product_deployment_id`	`metadata.product_deployment_id`	ID da implantação do produto.
`event.idm.read_only_udm.metadata.product_log_id`	`metadata.product_log_id`	ID do registro do produto.
`event.idm.read_only_udm.metadata.product_name`	`metadata.product_name`	Nome do produto. Definido pelo analisador com base nos dados de registro. Pode ser "DNS do Cloudflare Gateway", "HTTP do Cloudflare Gateway", "Auditoria do Cloudflare", "Firewall de aplicativos da Web".
`event.idm.read_only_udm.metadata.vendor_name`	`metadata.vendor_name`	Nome do fornecedor, definido como "Cloudflare".
`event.idm.read_only_udm.metadata.event_timestamp`	`metadata.event_timestamp`	Carimbo de data/hora do evento.
`event.idm.read_only_udm.network.application_protocol`	`network.application_protocol`	Protocolo de aplicativo usado na conexão de rede.
`event.idm.read_only_udm.network.direction`	`network.direction`	Direção da conexão de rede. Defina como `OUTBOUND` quando `EgressIP` e `SourceIP` estiverem presentes.
`event.idm.read_only_udm.network.dns.answers`	`network.dns.answers`	Respostas de DNS.
`event.idm.read_only_udm.network.dns.questions`	`network.dns.questions`	Perguntas sobre DNS.
`event.idm.read_only_udm.network.http.method`	`network.http.method`	Método HTTP.
`event.idm.read_only_udm.network.http.parsed_user_agent`	`network.http.parsed_user_agent`	User agent analisado.
`event.idm.read_only_udm.network.http.referral_url`	`network.http.referral_url`	URL de referência HTTP.
`event.idm.read_only_udm.network.http.response_code`	`network.http.response_code`	Código de resposta HTTP.
`event.idm.read_only_udm.network.http.user_agent`	`network.http.user_agent`	User agent HTTP.
`event.idm.read_only_udm.network.ip_protocol`	`network.ip_protocol`	Protocolo IP.
`event.idm.read_only_udm.network.received_bytes`	`network.received_bytes`	Número de bytes recebidos.
`event.idm.read_only_udm.network.sent_bytes`	`network.sent_bytes`	Número de bytes enviados.
`event.idm.read_only_udm.network.session_duration.seconds`	`network.session_duration.seconds`	Duração da sessão de rede em segundos.
`event.idm.read_only_udm.network.session_id`	`network.session_id`	ID da sessão de rede.
`event.idm.read_only_udm.network.tls.cipher`	`network.tls.cipher`	Pacote de criptografia TLS.
`event.idm.read_only_udm.network.tls.client.server_name`	`network.tls.client.server_name`	Nome do servidor cliente TLS.
`event.idm.read_only_udm.network.tls.version`	`network.tls.version`	Versão do TLS.
`event.idm.read_only_udm.principal.asset.attribute.labels`	`principal.asset.attribute.labels`	Rótulos associados ao recurso principal.
`event.idm.read_only_udm.principal.asset.hostname`	`principal.asset.hostname`	Nome do host do recurso principal.
`event.idm.read_only_udm.principal.asset.ip`	`principal.asset.ip`	Endereço IP do recurso principal.
`event.idm.read_only_udm.principal.asset_id`	`principal.asset_id`	ID do recurso principal.
`event.idm.read_only_udm.principal.hostname`	`principal.hostname`	Nome do host do principal.
`event.idm.read_only_udm.principal.ip`	`principal.ip`	Endereço IP do principal.
`event.idm.read_only_udm.principal.location.country_or_region`	`principal.location.country_or_region`	País ou região da localização do principal.
`event.idm.read_only_udm.principal.location.name`	`principal.location.name`	Nome do local do principal.
`event.idm.read_only_udm.principal.port`	`principal.port`	Porta usada pelo principal.
`event.idm.read_only_udm.principal.resource.product_object_id`	`principal.resource.product_object_id`	ID do objeto do produto do recurso do principal.
`event.idm.read_only_udm.principal.url`	`principal.url`	URL associado ao principal.
`event.idm.read_only_udm.principal.user.attribute.labels`	`principal.user.attribute.labels`	Rótulos associados ao usuário principal.
`event.idm.read_only_udm.principal.user.email_addresses`	`principal.user.email_addresses`	Endereços de e-mail do usuário principal.
`event.idm.read_only_udm.principal.user.first_name`	`principal.user.first_name`	Nome do usuário principal.
`event.idm.read_only_udm.principal.user.last_name`	`principal.user.last_name`	Sobrenome do usuário principal.
`event.idm.read_only_udm.principal.user.product_object_id`	`principal.user.product_object_id`	ID do objeto do produto do usuário principal.
`event.idm.read_only_udm.principal.user.userid`	`principal.user.userid`	ID do usuário principal.
`event.idm.read_only_udm.principal.user.user_display_name`	`principal.user.user_display_name`	Nome de exibição do usuário principal.
`event.idm.read_only_udm.src.asset.ip`	`src.asset.ip`	Endereço IP do recurso de origem.
`event.idm.read_only_udm.src.ip`	`src.ip`	Endereço IP da origem.
`event.idm.read_only_udm.src.port`	`src.port`	Porta da origem.
`event.idm.read_only_udm.target.administrative_domain`	`target.administrative_domain`	Domínio administrativo da meta.
`event.idm.read_only_udm.target.asset.hostname`	`target.asset.hostname`	Nome do host do recurso de destino.
`event.idm.read_only_udm.target.asset.ip`	`target.asset.ip`	Endereço IP do recurso de destino.
`event.idm.read_only_udm.target.file.mime_type`	`target.file.mime_type`	Tipo MIME do arquivo de destino.
`event.idm.read_only_udm.target.file.md5`	`target.file.md5`	Hash MD5 do arquivo de destino.
`event.idm.read_only_udm.target.file.sha1`	`target.file.sha1`	Hash SHA1 do arquivo de destino.
`event.idm.read_only_udm.target.file.sha256`	`target.file.sha256`	Hash SHA256 do arquivo de destino.
`event.idm.read_only_udm.target.file.size`	`target.file.size`	Tamanho do arquivo de destino.
`event.idm.read_only_udm.target.hostname`	`target.hostname`	Nome do host do destino.
`event.idm.read_only_udm.target.ip`	`target.ip`	Endereço IP do destino.
`event.idm.read_only_udm.target.location.country_or_region`	`target.location.country_or_region`	País ou região do local de destino.
`event.idm.read_only_udm.target.port`	`target.port`	Porta do destino.
`event.idm.read_only_udm.target.resource.attribute.labels`	`target.resource.attribute.labels`	Rótulos associados ao recurso de destino.
`event.idm.read_only_udm.target.resource.id`	`target.resource.id`	ID do recurso de destino.
`event.idm.read_only_udm.target.resource.product_object_id`	`target.resource.product_object_id`	ID do objeto do produto do recurso de destino.
`event.idm.read_only_udm.target.resource.resource_subtype`	`target.resource.resource_subtype`	Subtipo de recurso do recurso de destino.
`event.idm.read_only_udm.target.url`	`target.url`	URL do destino.
`event.idm.read_only_udm.target.user.email_addresses`	`target.user.email_addresses`	Endereços de e-mail do usuário de destino.
`event.idm.read_only_udm.target.user.product_object_id`	`target.user.product_object_id`	ID do objeto do produto do usuário de destino.
`event.idm.read_only_udm.security_result.about.file.full_path`	`security_result.about.file.full_path`	Caminho completo do arquivo envolvido no resultado de segurança.
`event.idm.read_only_udm.security_result.about.labels`	`security_result.about.labels`	Rótulos associados ao resultado de segurança.
`event.idm.read_only_udm.security_result.about.resource.attribute.labels`	`security_result.about.resource.attribute.labels`	Rótulos associados ao recurso no resultado de segurança.
`event.idm.read_only_udm.security_result.action`	`security_result.action`	Ação realizada no resultado de segurança.
`event.idm.read_only_udm.security_result.detection_fields`	`security_result.detection_fields`	Campos de detecção no resultado de segurança.
`event.idm.read_only_udm.security_result.description`	`security_result.description`	Descrição do resultado de segurança.
`event.idm.read_only_udm.security_result.rule_id`	`security_result.rule_id`	ID da regra do resultado de segurança.
`event.idm.read_only_udm.security_result.rule_name`	`security_result.rule_name`	Nome da regra do resultado de segurança.
`event.idm.read_only_udm.security_result.severity`	`security_result.severity`	Gravidade do resultado de segurança.
`event.idm.read_only_udm.security_result.summary`	`security_result.summary`	Resumo do resultado de segurança.
`event.idm.read_only_udm.security_result.threat_id`	`security_result.threat_id`	ID da ameaça do resultado de segurança.
`event.idm.read_only_udm.security_result.threat_name`	`security_result.threat_name`	Nome da ameaça do resultado de segurança.
`event.idm.read_only_udm.extensions.auth.type`	`extensions.auth.type`	Tipo de autenticação. Definido como `MACHINE` para eventos de login e logout.
`event.idm.read_only_udm.about`	`about`	Sobre informações.
`event.idm.read_only_udm.additional.fields`	`additional.fields`	Outros campos.
`event.idm.read_only_udm.intermediary`	`intermediary`	Informações intermediárias.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.