收集 Cloudflare 記錄
總覽
這個剖析器可處理各種 Cloudflare 記錄類型 (DNS、HTTP、稽核、Zero Trust、CASB)。這項功能會先將常見欄位正規化,然後根據 QueryName、Action 和 ID 等特定欄位套用條件邏輯,從中擷取相關資料並對應至 UDM。此外,這項服務還會執行資料類型轉換、IP 位址和雜湊的 grok 比對,以及處理巢狀 JSON 酬載。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- IAM 的特殊存取權 Google Cloud 。
- Google Cloud Storage 的特殊存取權。
- 具備 Cloudflare 的特殊存取權。
建立 Google Cloud 儲存空間 bucket
- 登入 Google Cloud 主控台。
前往「Cloud Storage Buckets」(Cloud Storage bucket) 頁面。
點選「建立」。
在「建立 bucket」頁面中,輸入 bucket 資訊。完成下列每個步驟後,請按一下「繼續」前往下一個步驟:
在「開始使用」部分執行下列操作:
- 輸入符合值區名稱規定的不重複名稱 (例如 cloudflare-data)。
- 如要啟用階層命名空間,請按一下展開箭頭,展開「為檔案導向和資料密集型工作負載提供最理想的儲存空間」部分,然後選取「為這個值區啟用階層結構式命名空間」。
- 如要新增值區標籤,請按一下展開箭頭,展開「標籤」部分。
- 按一下「新增標籤」,然後指定標籤的鍵和值。
在「Choose where to store your data」(選擇資料的儲存位置) 專區中執行下列操作:
- 選取「位置類型」。
- 使用位置類型下拉式選單,選取要永久儲存 bucket 內物件資料的位置。
- 如果您選取「雙區域」位置類型,也可以勾選相關核取方塊,啟用強化型複製功能。
- 如要設定跨 bucket 複製作業,請展開「設定跨 bucket 複製作業」部分。
在「為資料選擇儲存空間級別」部分,選取值區的預設儲存空間級別,或選取「Autoclass」,讓系統自動管理值區資料的儲存空間級別。
在「選取如何控制物件的存取權」部分,選取「否」來強制禁止公開存取,並為值區物件選取存取權控管模型。
在「選擇保護物件資料的方式」部分,執行下列操作:
- 選取「資料保護」下要為值區設定的任何選項。
- 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取「資料加密方法」。
點選「建立」。
建立 Google Cloud 服務帳戶
- 依序前往「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
- 建立新的服務帳戶。
- 為其命名,例如 cloudflare-logs。
- 在上一個步驟中建立的 GCS bucket 上,授予服務帳戶「Storage Object Creator」角色。
- 為服務帳戶建立服務帳戶金鑰。
- 下載服務帳戶的 JSON 金鑰檔案。請妥善保管這個檔案。
啟用 Cloudflare IAM 對 Google Cloud Storage 的存取權
- 依序前往「儲存空間」>「瀏覽器」>「Bucket」>「權限」。
- 新增具備「Storage Object Admin」(Storage 物件管理員) 權限的成員
logpush@cloudflare-data.iam.gserviceaccount.com
。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱 (例如「Cloudflare Logs」)。
- 選取「Google Cloud Storage」做為「來源類型」。
- 選取「Cloudflare」做為「記錄類型」。
- 按一下「Chronicle 服務帳戶」的「取得服務帳戶」。
- 點選「下一步」。
指定下列輸入參數的值:
- 儲存空間值區 URI:Google Cloud 儲存空間值區網址,格式為
gs://my-bucket/<value>
。 - URI 為:選取「包含子目錄的目錄」。
- 來源刪除選項:根據偏好設定選取刪除選項。
- 儲存空間值區 URI:Google Cloud 儲存空間值區網址,格式為
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」。
從內容中心設定動態饋給
為下列欄位指定值:
- 儲存空間值區 URI: Google Cloud
gs://my-bucket/<value>
格式的儲存空間值區 URL。 - URI 為:選取「包含子目錄的目錄」。
來源刪除選項:根據偏好設定選取刪除選項。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
設定 Cloudflare 將記錄檔傳送至 Google Cloud Storage
- 登入 Cloudflare 資訊主頁。
- 選取要搭配 Logpush 使用的企業帳戶或網域 (也稱為區域)。
- 依序前往「Analytics & Logs」(數據分析與記錄檔) >「Logpush」(記錄檔推送)。
- 選取「建立 Logpush」工作。
- 在「選取目的地」中,選取「Google Cloud Storage」。
輸入或選取下列目的地詳細資料:
- Bucket:GCS bucket 名稱
- 路徑:儲存容器內的值區位置
- 核取方塊:將記錄檔整理到每日子資料夾 (建議)
按一下「繼續」。
擁有權驗證:
- Cloudflare 會將檔案傳送至你的 bucket。
- 複製並貼上權杖:
- 登入 Google Cloud 控制台 >「儲存空間」>「Cloudflare bucket」。
- 開啟擁有權爭議檔案。
- 複製「擁有權權杖」。
- 在 Cloudflare 控制台中輸入擁有權權杖。
- 選取 [繼續]。
- 選取要推送至值區的資料集。
設定記錄推送作業:
- 輸入工作名稱。
- 在「如果記錄相符」下方,您可以選取要納入和/或從記錄中移除的事件。
- 傳送下列欄位:選取要推送所有記錄,或選擇要推送哪些記錄。
選取「提交」即可完成設定。
UDM 對應表
記錄欄位 | UDM 對應 | 邏輯 |
---|---|---|
AccountID |
target.resource.id 、target.resource.product_object_id |
與活動相關聯的帳戶 ID。 |
Action |
security_result.action |
根據事件採取的動作。allow 或 allowed* 會導致 ALLOW 。unknown ,結果為 UNKNOWN_ACTION 。其他值會導致 BLOCK 。如果是存取記錄,login 會對應至 USER_LOGIN ,logout 會對應至 USER_LOGOUT ,如果電子郵件存在,其他值則會對應至 USER_RESOURCE_ACCESS 。 |
ActionResult |
security_result.action |
如果 true 對應至 ALLOW ,如果 false 對應至 BLOCK ,否則會對應至 UNKNOWN_ACTION 。 |
ActionType |
security_result.description |
執行的動作說明。 |
ActorEmail |
principal.user.email_addresses |
發起事件的執行者電子郵件地址。 |
ActorID |
principal.user.product_object_id |
發起事件的參與者 ID。 |
ActorIP |
principal.ip 、principal.asset.ip |
啟動事件的執行者 IP 位址。 |
Allowed |
security_result.action |
如果 true 對應至 ALLOW ,否則會對應至 BLOCK 。 |
AppDomain |
target.administrative_domain |
與事件相關的應用程式網域。 |
AppUUID |
target.resource.product_object_id |
與事件相關聯的應用程式 UUID。 |
AssetDisplayName |
principal.asset.attribute.labels.value ,其中「key」是 AssetDisplayName |
資產的顯示名稱。 |
AssetExternalID |
principal.asset_id (前置字串為「Cloudflare:」) |
素材資源的外部 ID。 |
AssetLink |
principal.url |
與資產相關聯的連結。 |
AssetMetadata.agreedToTerms |
principal.user.attribute.labels.value ,其中「key」是 agreedToTerms |
使用者是否同意條款。 |
AssetMetadata.changePasswordAtNextLogin |
principal.user.attribute.labels.value ,其中「key」是 changePasswordAtNextLogin |
使用者是否需要在下次登入時變更密碼。 |
AssetMetadata.clientId |
principal.user.userid |
資產中繼資料中的客戶 ID。 |
AssetMetadata.customerId |
principal.user.userid |
資產中繼資料中的客戶 ID。 |
AssetMetadata.familyName |
principal.user.last_name |
資產中繼資料中的使用者姓氏。 |
AssetMetadata.givenName |
principal.user.first_name |
資產中繼資料中的使用者名字。 |
AssetMetadata.includeInGlobalAddressList |
principal.user.attribute.labels.value ,其中「key」是 includeInGlobalAddressList |
使用者是否已加入全域通訊清單。 |
AssetMetadata.ipWhitelisted |
principal.user.attribute.labels.value ,其中「key」是 ipWhitelisted |
使用者是否已加入 IP 許可清單。 |
AssetMetadata.isAdmin |
principal.user.attribute.labels.value ,其中「key」是 isAdmin |
使用者是否為管理員。 |
AssetMetadata.isDelegatedAdmin |
principal.user.attribute.labels.value ,其中「key」是 isDelegatedAdmin |
使用者是否為委派管理員。 |
AssetMetadata.isEnforcedIn2Sv |
principal.user.attribute.labels.value ,其中「key」是 isEnforcedIn2Sv |
是否強制使用者啟用兩步驟驗證。 |
AssetMetadata.isEnrolledIn2Sv |
principal.user.attribute.labels.value ,其中「key」是 isEnrolledIn2Sv |
使用者是否已註冊兩步驟驗證。 |
AssetMetadata.kind |
(未對應) | 未對應至 IDM 物件。 |
AssetMetadata.lastLoginTime |
principal.user.attribute.labels.value ,其中「key」是 lastLoginTime |
使用者上次登入時間。 |
AssetMetadata.login |
principal.user.userid |
資產中繼資料中的登入名稱。 |
AssetMetadata.name.familyName |
principal.user.last_name |
資產中繼資料中的姓氏。 |
AssetMetadata.name.fullName |
principal.user.user_display_name |
資產中繼資料中的全名。 |
AssetMetadata.name.givenName |
principal.user.first_name |
資產中繼資料中的名字。 |
AssetMetadata.nativeApp |
security_result.detection_fields.value ,其中「key」是 nativeApp |
應用程式是否為原生應用程式。 |
AssetMetadata.owner.id |
principal.user.userid |
資產中繼資料中的擁有者 ID。 |
AssetMetadata.primaryEmail |
principal.user.email_addresses |
資產中繼資料中的主要電子郵件地址。 |
AssetMetadata.scopes |
(未對應) | 未對應至 IDM 物件。 |
AssetMetadata.site_admin |
principal.user.attribute.labels.value ,其中「key」是 site_admin |
使用者是否為網站管理員。 |
AssetMetadata.suspended |
principal.user.attribute.labels.value ,其中「key」是 suspended |
使用者是否已遭停權。 |
AssetMetadata.url |
principal.url |
資產中繼資料中的網址。 |
AssetMetadata.userKey |
principal.user.attribute.labels.value ,其中「key」是 userKey |
資產中繼資料中的使用者金鑰。 |
BlockedFileHash |
target.file.md5 、target.file.sha1 、target.file.sha256 |
遭封鎖檔案的雜湊值。使用 grok 剖析,以擷取 md5、sha1 或 sha256。 |
BlockedFileName |
security_result.about.file.full_path |
遭封鎖的檔案名稱。 |
BlockedFileReason |
security_result.summary |
封鎖檔案的原因。 |
BlockedFileSize |
target.file.size |
遭封鎖的檔案大小。 |
BotScore |
security_result.detection_fields.value ,其中「key」是 BotScore |
指派給要求的機器人分數。 |
BytesReceived |
network.received_bytes |
收到的位元組數。 |
BytesSent |
network.sent_bytes |
傳送的位元組數。 |
CacheCacheStatus |
additional.fields.value.string_value ,其中「key」是 CacheCacheStatus |
快取狀態。 |
CacheResponseBytes |
additional.fields.value.string_value ,其中「key」是 CacheResponseBytes |
快取回應的位元組數。 |
CacheResponseStatus |
additional.fields.value.string_value ,其中「key」是 CacheResponseStatus |
快取回應的狀態碼。 |
ClientASN |
(未對應) | 未對應至 IDM 物件。 |
ClientCountry |
principal.location.country_or_region |
用戶端的國家/地區。 |
ClientDeviceType |
additional.fields.value.string_value ,其中「key」是 ClientDeviceType |
用戶端裝置類型。 |
ClientIP |
principal.ip 、principal.asset.ip |
用戶端的 IP 位址。 |
ClientRequestMethod |
network.http.method |
用戶端使用的 HTTP 要求方法。 |
ClientRequestHost |
target.hostname 、target.asset.hostname |
用戶端要求的主機名稱。 |
ClientRequestPath |
(未對應) | 未對應至 IDM 物件。 |
ClientRequestProtocol |
network.application_protocol |
用戶端要求中使用的通訊協定 (例如 HTTP、HTTPS)。移除通訊協定版本。 |
ClientRequestReferer |
network.http.referral_url |
用戶端要求的參照網址。 |
ClientRequestURI |
target.url (如有 ClientRequestHost ,則會與其合併) |
用戶端要求的 URI。 |
ClientRequestUserAgent |
network.http.user_agent |
用戶端要求的 User-Agent。並剖析及對應至 network.http.parsed_user_agent 。 |
ClientSSLCipher |
network.tls.cipher |
用戶端使用的 SSL 密碼。 |
ClientSSLProtocol |
network.tls.version |
用戶端使用的 SSL 通訊協定。 |
ClientSrcPort |
principal.port |
用戶端的來源通訊埠。 |
ClientTCPHandshakeDurationMs |
additional.fields.value.string_value ,其中「key」是 ClientTCPHandshakeDurationMs |
用戶端 TCP 交握的持續時間。 |
ClientTLSHandshakeDurationMs |
additional.fields.value.string_value ,其中「key」是 ClientTLSHandshakeDurationMs |
用戶端 TLS 握手的時間長度。 |
ClientTLSVersion |
network.tls.version |
用戶端使用的傳輸層安全標準 (TLS) 版本。 |
ColoID |
(未對應) | 未對應至 IDM 物件。 |
Connection |
target.resource.attribute.labels.value ,其中「key」是 Connection |
連線類型 (例如 saml)。 |
ConnectionCloseReason |
additional.fields.value.string_value ,其中「key」是 ConnectionCloseReason |
連線關閉的原因。 |
ConnectionReuse |
additional.fields.value.string_value ,其中「key」是 ConnectionReuse |
是否重複使用連線。 |
Country |
target.location.country_or_region |
與活動相關聯的國家/地區。 |
CreatedAt |
metadata.event_timestamp |
事件建立時間戳記。 |
Datetime |
metadata.event_timestamp |
活動的日期和時間。 |
DestinationIP |
target.ip 、target.asset.ip |
目的地 IP 位址。 |
DestinationPort |
target.port |
目的地通訊埠。 |
DestinationTunnelID |
additional.fields.value.string_value ,其中「key」是 DestinationTunnelID |
目的地通道的 ID。 |
DeviceID |
principal.asset_id (前置字串為「Cloudflare:」) |
裝置 ID。 |
DeviceName |
principal.hostname 、principal.asset.hostname 、principal.asset.attribute.labels.value ,其中 key 是 DeviceName |
裝置名稱。 |
DownloadedFileNames |
security_result.about.labels.value ,其中「key」是 DownloadFileNames |
已下載檔案的名稱。 |
DstIP |
target.ip 、target.asset.ip |
目的地 IP 位址。 |
DstPort |
target.port |
目的地通訊埠。 |
EdgeColoCode |
additional.fields.value.string_value ,其中「key」是 EdgeColoCode |
Cloudflare 邊緣位置代碼。 |
EdgeColoID |
additional.fields.value.string_value ,其中「key」是 EdgeColoID |
Cloudflare 邊緣位置 ID。 |
EdgeEndTimestamp |
(未對應) | 未對應至 IDM 物件。 |
EdgeResponseBytes |
network.received_bytes |
邊緣裝置傳回的回應位元組數。 |
EdgeResponseContentType |
target.file.mime_type |
邊緣回應的內容類型。 |
EdgeResponseStatus |
network.http.response_code |
邊緣回應的狀態碼。 |
EdgeServerIP |
target.ip 、target.asset.ip |
邊緣伺服器的 IP 位址。 |
EdgeStartTimestamp |
metadata.event_timestamp |
要求在邊緣開始的時間戳記。 |
Email |
principal.user.email_addresses 、target.user.email_addresses |
與活動相關聯的電子郵件地址。 |
EgressColoName |
additional.fields.value.string_value ,其中「key」是 EgressColoName |
輸出 colo 的名稱。 |
EgressIP |
principal.ip 、principal.asset.ip |
傳出 IP 位址。將 network.direction 設為 OUTBOUND 。 |
EgressPort |
principal.port |
輸出埠。 |
EgressRuleID |
additional.fields.value.string_value ,其中「key」是 EgressRuleID |
輸出規則的 ID。 |
EgressRuleName |
additional.fields.value.string_value ,其中「key」是 EgressRuleName |
輸出規則的名稱。 |
FindingTypeDisplayName |
security_result.description |
發現項目類型的顯示名稱。 |
FindingTypeID |
security_result.rule_id |
發現項目類型的 ID。 |
FindingTypeSeverity |
security_result.severity |
發現項目類型的嚴重程度。 |
FirewallMatchesActions |
security_result.action |
防火牆規則採取的動作。allow 、Allow 、ALLOW 、skip 、SKIP 、Skip 對應至 ALLOW 。challengeSolved 和 jschallengeSolved 對應至 ALLOW_WITH_MODIFICATION 。drop 和 block 對應至 BLOCK 。其他值會對應至 UNKNOWN_ACTION 。 |
FirewallMatchesRuleIDs |
(第一個 ID),後續 ID 會建立新的 security_result 物件。security_result.rule_id |
相符的防火牆規則 ID。 |
FirewallMatchesSources |
security_result.rule_name |
相符防火牆規則的來源。 |
HTTPHost |
target.hostname |
HTTP 主機。 |
HTTPMethod |
network.http.method |
HTTP 方法。 |
HTTPVersion |
network.application_protocol |
如果值包含「HTTP」,則將 network.application_protocol 設為 HTTP 。 |
ID |
metadata.product_log_id |
活動的 ID。 |
IngressColoName |
additional.fields.value.string_value ,其中「key」是 IngressColoName |
傳入機房的名稱。 |
InstanceID |
principal.resource.product_object_id |
執行個體的 ID。 |
IntegrationDisplayName |
additional.fields.value.string_value ,其中「key」是 IntegrationDisplayName |
整合的顯示名稱。 |
IntegrationID |
metadata.product_deployment_id |
整合的 ID。 |
IntegrationPolicyVendor |
additional.fields.value.string_value ,其中「key」是 IntegrationPolicyVendor |
整合政策的供應商。 |
IPAddress |
target.ip 、target.asset.ip |
與事件相關聯的 IP 位址。 |
IsIsolated |
about.labels.value ,其中鍵為 IsIsolated ;security_result.about.resource.attribute.labels.value ,其中鍵為 IsIsolated |
事件是否已隔離。 |
Location |
principal.location.name |
與活動相關聯的位置。 |
NewValue |
security_result.about.labels.value ,其中「key」是 NewValue |
更新後的新值。 |
Offramp |
additional.fields.value.string_value ,其中「key」是 Offramp |
連線中使用的 Offramp。 |
OldValue |
security_result.about.labels.value ,其中「key」是 OldValue |
更新前的值。 |
OriginIP |
intermediary.ip 、target.ip 、target.asset.ip |
來源 IP 位址。 |
OriginPort |
target.port |
來源通訊埠。 |
OriginResponseBytes |
additional.fields.value.string_value ,其中「key」是 OriginResponseBytes |
來源回應中的位元組數。 |
OriginResponseStatus |
additional.fields.value.string_value ,其中「key」是 OriginResponseStatus |
來源回應的狀態碼。 |
OriginResponseTime |
additional.fields.value.string_value ,其中「key」是 OriginResponseTime |
來源的回應時間。 |
OriginSSLProtocol |
(未對應) | 未對應至 IDM 物件。 |
OriginTLSCertificateIssuer |
additional.fields.value.string_value ,其中「key」是 OriginTLSCertificateIssuer |
原始 TLS 憑證的簽發者。 |
OriginTLSCertificateValidationResult |
additional.fields.value.string_value ,其中「key」是 OriginTLSCertificateValidationResult |
原始 TLS 憑證驗證結果。 |
OriginTLSCipher |
additional.fields.value.string_value ,其中「key」是 OriginTLSCipher |
用於原始 TLS 連線的密碼。 |
OriginTLSHandshakeDurationMs |
additional.fields.value.string_value ,其中「key」是 OriginTLSHandshakeDurationMs |
原始 TLS 握手時間長度。 |
OriginTLSVersion |
additional.fields.value.string_value ,其中「key」是 OriginTLSVersion |
來源使用的傳輸層安全標準 (TLS) 版本。 |
OwnerID |
target.user.product_object_id |
擁有者的 ID。 |
Policy |
security_result.rule_name |
與活動相關的政策。 |
PolicyID |
security_result.rule_id |
政策的 ID。 |
PolicyName |
security_result.rule_name |
政策名稱。 |
Protocol |
network.application_protocol 、network.ip_protocol |
連線中使用的通訊協定。如果不是「tls」或「TLS」,則會轉換為大寫,並對應至 network.application_protocol 。否則,系統會使用 include 檔案剖析,並對應至 network.ip_protocol 。 |
PurposeJustificationPrompt |
(未對應) | 未對應至 IDM 物件。 |
PurposeJustificationResponse |
(未對應) | 未對應至 IDM 物件。 |
QueryCategoryIDs |
security_result.about.labels.value 、security_result.about.resource.attribute.labels.value ,其中鍵為 QueryCategoryIDs |
查詢類別的 ID。 |
QueryName |
network.dns.questions.name |
DNS 查詢的名稱。將 metadata.event_type 設為 NETWORK_DNS ,並將 network.application_protocol 設為 DNS 。 |
QueryNameReversed |
network.dns.questions.name |
DNS 查詢的反向名稱。 |
QuerySize |
network.sent_bytes |
查詢大小。 |
QueryType |
network.dns.questions.type |
DNS 查詢的類型。根據 DNS 查詢類型代碼對應至數值。 |
RData |
network.dns.answers.type 、network.dns.answers.data |
DNS 記錄資料。RData 陣列中的每個元素都會建立新的 answer 物件。 |
RayID |
metadata.product_log_id |
與要求相關聯的 Ray ID。 |
Referer |
network.http.referral_url |
參照網址。 |
RequestID |
metadata.product_log_id |
要求的 ID。 |
ResolverDecision |
security_result.summary |
解析人員做出的決定。 |
ResourceID |
target.resource.id 、target.resource.product_object_id |
資源 ID。 |
ResourceType |
target.resource.resource_subtype |
資源類型。 |
RuleEvaluationDurationMs |
additional.fields.value.string_value ,其中「key」是 RuleEvaluationDurationMs |
規則評估的持續時間。 |
SNI |
network.tls.client.server_name |
TLS 用戶端問候訊息中的伺服器名稱指示 (SNI)。 |
SecurityAction |
security_result.action |
我們已採取安全措施,空白值或沒有 SecurityAction 對應至 ALLOW 。challengeSolved 或 jschallengeSolved 對應至 ALLOW_WITH_MODIFICATION 。drop 或 block 會對應至 BLOCK 。 |
SecurityLevel |
security_result.severity |
安全等級。high 對應到 HIGH ,med 對應到 MEDIUM ,low 對應到 LOW 。 |
SessionEndTime |
additional.fields.value.string_value ,其中「key」是 SessionEndTime |
工作階段的結束時間。 |
SessionID |
network.session_id |
工作階段 ID。 |
SessionStartTime |
metadata.event_timestamp |
工作階段的開始時間。 |
SourceIP |
principal.ip 、principal.asset.ip 、src.ip 、src.asset.ip |
來源 IP 位址。 |
SourcePort |
principal.port 、src.port |
來源通訊埠。 |
SrcIP |
principal.ip 、principal.asset.ip |
來源 IP 位址。 |
SrcPort |
principal.port |
來源通訊埠。 |
TemporaryAccessDuration |
network.session_duration.seconds |
臨時存取權的有效時間。 |
Timestamp |
metadata.event_timestamp |
事件的時間戳記。 |
Transport |
network.ip_protocol |
傳輸通訊協定。轉換為大寫,並使用 include 檔案剖析。 |
UploadedFileNames |
security_result.about.labels.value ,其中「key」是 UploadedFileNames |
上傳檔案的名稱。 |
URL |
target.url |
與事件相關的網址。 |
UserAgent |
network.http.user_agent |
使用者代理程式字串。並剖析及對應至 network.http.parsed_user_agent 。 |
UserID |
principal.user.product_object_id 、event.idm.read_only_udm.target.user.product_object_id |
使用者 ID。 |
UserUID |
target.user.product_object_id |
使用者的 UID。 |
VirtualNetworkID |
principal.resource.product_object_id |
虛擬網路的 ID。 |
WAFAction |
security_result.about.labels.value ,其中「key」是 WAFAction |
網頁應用程式防火牆 (WAF) 採取的動作。 |
WAFAttackScore |
security_result.about.resource.attribute.labels.value ,其中「key」是 WAFAttackScore |
WAF 指派的攻擊分數。 |
WAFFlags |
security_result.about.resource.attribute.labels.value ,其中「key」是 WAFFlags |
網路應用程式防火牆標記。 |
WAFMatchedVar |
(未對應) | 未對應至 IDM 物件。 |
WAFProfile |
security_result.about.labels.value ,其中「key」是 WAFProfile |
網路應用程式防火牆設定檔。 |
WAFRCEAttackScore |
security_result.about.resource.attribute.labels.value ,其中「key」是 WAFRCEAttackScore |
WAF 遠端程式碼執行 (RCE) 攻擊分數。 |
WAFRuleID |
security_result.threat_id 、security_result.about.labels.value ,其中鍵為 WAFRuleID |
網路應用程式防火牆規則的 ID。 |
WAFRuleMessage |
security_result.rule_name 、security_result.threat_name |
與 WAF 規則相關聯的訊息。 |
WAFSQLiAttackScore |
security_result.about.resource.attribute.labels.value ,其中「key」是 WAFSQLiAttackScore |
WAF SQL 注入攻擊分數。 |
WAFXSSAttackScore |
security_result.about.resource.attribute.labels.value ,其中「key」是 WAFXSSAttackScore |
網頁應用程式防火牆跨網站指令碼攻擊 (XSS) 分數。 |
ZoneID |
additional.fields.value.string_value ,其中「key」是 ZoneID |
可用區 ID。 |
event.idm.read_only_udm.metadata.event_type |
metadata.event_type |
活動類型。由剖析器根據記錄資料設定。如未設定,或 NETWORK_DNS 事件沒有主體或目標,則預設為 GENERIC_EVENT 。可以是 NETWORK_DNS 、NETWORK_CONNECTION 、USER_LOGIN 、USER_LOGOUT 、USER_RESOURCE_ACCESS 、USER_RESOURCE_UPDATE_CONTENT 或 GENERIC_EVENT 。 |
event.idm.read_only_udm.metadata.log_type |
metadata.log_type |
記錄類型,設為「CLOUDFLARE」。 |
event.idm.read_only_udm.metadata.product_deployment_id |
metadata.product_deployment_id |
產品部署作業 ID。 |
event.idm.read_only_udm.metadata.product_log_id |
metadata.product_log_id |
產品記錄 ID。 |
event.idm.read_only_udm.metadata.product_name |
metadata.product_name |
產品名稱。由剖析器根據記錄資料設定。可以是「Cloudflare Gateway DNS」、「Cloudflare Gateway HTTP」、「Cloudflare Audit」或「Web Application Firewall」。 |
event.idm.read_only_udm.metadata.vendor_name |
metadata.vendor_name |
供應商名稱,設為「Cloudflare」。 |
event.idm.read_only_udm.metadata.event_timestamp |
metadata.event_timestamp |
事件的時間戳記。 |
event.idm.read_only_udm.network.application_protocol |
network.application_protocol |
網路連線中使用的應用程式通訊協定。 |
event.idm.read_only_udm.network.direction |
network.direction |
網路連線的方向。如果同時存在 EgressIP 和 SourceIP ,請設為 OUTBOUND 。 |
event.idm.read_only_udm.network.dns.answers |
network.dns.answers |
DNS 答案。 |
event.idm.read_only_udm.network.dns.questions |
network.dns.questions |
DNS 問題。 |
event.idm.read_only_udm.network.http.method |
network.http.method |
HTTP 方法。 |
event.idm.read_only_udm.network.http.parsed_user_agent |
network.http.parsed_user_agent |
已剖析的使用者代理程式。 |
event.idm.read_only_udm.network.http.referral_url |
network.http.referral_url |
HTTP 參照網址。 |
event.idm.read_only_udm.network.http.response_code |
network.http.response_code |
HTTP 回應代碼。 |
event.idm.read_only_udm.network.http.user_agent |
network.http.user_agent |
HTTP 使用者代理程式。 |
event.idm.read_only_udm.network.ip_protocol |
network.ip_protocol |
IP 通訊協定。 |
event.idm.read_only_udm.network.received_bytes |
network.received_bytes |
收到的位元組數。 |
event.idm.read_only_udm.network.sent_bytes |
network.sent_bytes |
傳送的位元組數。 |
event.idm.read_only_udm.network.session_duration.seconds |
network.session_duration.seconds |
網路工作階段的持續時間 (以秒為單位)。 |
event.idm.read_only_udm.network.session_id |
network.session_id |
網路工作階段 ID。 |
event.idm.read_only_udm.network.tls.cipher |
network.tls.cipher |
傳輸層安全標準 (TLS) 加密套件。 |
event.idm.read_only_udm.network.tls.client.server_name |
network.tls.client.server_name |
TLS 用戶端伺服器名稱。 |
event.idm.read_only_udm.network.tls.version |
network.tls.version |
傳輸層安全標準 (TLS) 版本。 |
event.idm.read_only_udm.principal.asset.attribute.labels |
principal.asset.attribute.labels |
與主要資產相關聯的標籤。 |
event.idm.read_only_udm.principal.asset.hostname |
principal.asset.hostname |
主要資產的主機名稱。 |
event.idm.read_only_udm.principal.asset.ip |
principal.asset.ip |
主體資產的 IP 位址。 |
event.idm.read_only_udm.principal.asset_id |
principal.asset_id |
主要資產的 ID。 |
event.idm.read_only_udm.principal.hostname |
principal.hostname |
主體的主機名稱。 |
event.idm.read_only_udm.principal.ip |
principal.ip |
主體的 IP 位址。 |
event.idm.read_only_udm.principal.location.country_or_region |
principal.location.country_or_region |
主要負責人所在國家/地區。 |
event.idm.read_only_udm.principal.location.name |
principal.location.name |
主體位置的名稱。 |
event.idm.read_only_udm.principal.port |
principal.port |
主體使用的通訊埠。 |
event.idm.read_only_udm.principal.resource.product_object_id |
principal.resource.product_object_id |
主體資源的產品物件 ID。 |
event.idm.read_only_udm.principal.url |
principal.url |
與主體相關聯的網址。 |
event.idm.read_only_udm.principal.user.attribute.labels |
principal.user.attribute.labels |
與主體使用者相關聯的標籤。 |
event.idm.read_only_udm.principal.user.email_addresses |
principal.user.email_addresses |
主要使用者的電子郵件地址。 |
event.idm.read_only_udm.principal.user.first_name |
principal.user.first_name |
主要使用者的名字。 |
event.idm.read_only_udm.principal.user.last_name |
principal.user.last_name |
主要使用者的姓氏。 |
event.idm.read_only_udm.principal.user.product_object_id |
principal.user.product_object_id |
主要使用者的產品物件 ID。 |
event.idm.read_only_udm.principal.user.userid |
principal.user.userid |
主要使用者的使用者 ID。 |
event.idm.read_only_udm.principal.user.user_display_name |
principal.user.user_display_name |
主要使用者的顯示名稱。 |
event.idm.read_only_udm.src.asset.ip |
src.asset.ip |
來源資產的 IP 位址。 |
event.idm.read_only_udm.src.ip |
src.ip |
來源的 IP 位址。 |
event.idm.read_only_udm.src.port |
src.port |
來源通訊埠。 |
event.idm.read_only_udm.target.administrative_domain |
target.administrative_domain |
目標的管理網域。 |
event.idm.read_only_udm.target.asset.hostname |
target.asset.hostname |
目標資產的主機名稱。 |
event.idm.read_only_udm.target.asset.ip |
target.asset.ip |
目標資產的 IP 位址。 |
event.idm.read_only_udm.target.file.mime_type |
target.file.mime_type |
目標檔案的 MIME 類型。 |
event.idm.read_only_udm.target.file.md5 |
target.file.md5 |
目標檔案的 MD5 雜湊。 |
event.idm.read_only_udm.target.file.sha1 |
target.file.sha1 |
目標檔案的 SHA1 雜湊。 |
event.idm.read_only_udm.target.file.sha256 |
target.file.sha256 |
目標檔案的 SHA256 雜湊。 |
event.idm.read_only_udm.target.file.size |
target.file.size |
目標檔案的大小。 |
event.idm.read_only_udm.target.hostname |
target.hostname |
目標的主機名稱。 |
event.idm.read_only_udm.target.ip |
target.ip |
目標的 IP 位址。 |
event.idm.read_only_udm.target.location.country_or_region |
target.location.country_or_region |
目標位置所在的國家/地區。 |
event.idm.read_only_udm.target.port |
target.port |
目標的通訊埠。 |
event.idm.read_only_udm.target.resource.attribute.labels |
target.resource.attribute.labels |
與目標資源相關聯的標籤。 |
event.idm.read_only_udm.target.resource.id |
target.resource.id |
目標資源的 ID。 |
event.idm.read_only_udm.target.resource.product_object_id |
target.resource.product_object_id |
目標資源的產品物件 ID。 |
event.idm.read_only_udm.target.resource.resource_subtype |
target.resource.resource_subtype |
目標資源的資源子類型。 |
event.idm.read_only_udm.target.url |
target.url |
目標的網址。 |
event.idm.read_only_udm.target.user.email_addresses |
target.user.email_addresses |
目標使用者的電子郵件地址。 |
event.idm.read_only_udm.target.user.product_object_id |
target.user.product_object_id |
目標使用者的產品物件 ID。 |
event.idm.read_only_udm.security_result.about.file.full_path |
security_result.about.file.full_path |
與安全性結果相關的檔案完整路徑。 |
event.idm.read_only_udm.security_result.about.labels |
security_result.about.labels |
與安全性結果相關聯的標籤。 |
event.idm.read_only_udm.security_result.about.resource.attribute.labels |
security_result.about.resource.attribute.labels |
與安全結果中的資源相關聯的標籤。 |
event.idm.read_only_udm.security_result.action |
security_result.action |
安全性結果中採取的動作。 |
event.idm.read_only_udm.security_result.detection_fields |
security_result.detection_fields |
安全結果中的偵測欄位。 |
event.idm.read_only_udm.security_result.description |
security_result.description |
安全性結果的說明。 |
event.idm.read_only_udm.security_result.rule_id |
security_result.rule_id |
安全結果的規則 ID。 |
event.idm.read_only_udm.security_result.rule_name |
security_result.rule_name |
安全結果的規則名稱。 |
event.idm.read_only_udm.security_result.severity |
security_result.severity |
安全性結果的嚴重程度。 |
event.idm.read_only_udm.security_result.summary |
security_result.summary |
安全結果摘要。 |
event.idm.read_only_udm.security_result.threat_id |
security_result.threat_id |
安全結果的威脅 ID。 |
event.idm.read_only_udm.security_result.threat_name |
security_result.threat_name |
安全結果的威脅名稱。 |
event.idm.read_only_udm.extensions.auth.type |
extensions.auth.type |
驗證類型。針對登入和登出事件設為 MACHINE 。 |
event.idm.read_only_udm.about |
about |
關於資訊。 |
event.idm.read_only_udm.additional.fields |
additional.fields |
其他欄位。 |
event.idm.read_only_udm.intermediary |
intermediary |
中介機構資訊。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。