收集 Cloudflare 記錄

支援的國家/地區:

總覽

這個剖析器可處理各種 Cloudflare 記錄類型 (DNS、HTTP、稽核、Zero Trust、CASB)。這項功能會先將常見欄位正規化,然後根據 QueryNameActionID 等特定欄位套用條件邏輯,從中擷取相關資料並對應至 UDM。此外,這項服務還會執行資料類型轉換、IP 位址和雜湊的 grok 比對,以及處理巢狀 JSON 酬載。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體。
  • IAM 的特殊存取權 Google Cloud 。
  • Google Cloud Storage 的特殊存取權。
  • 具備 Cloudflare 的特殊存取權。

建立 Google Cloud 儲存空間 bucket

  1. 登入 Google Cloud 主控台。
  2. 前往「Cloud Storage Buckets」(Cloud Storage bucket) 頁面。

    前往「Buckets」(值區) 頁面

  3. 點選「建立」

  4. 在「建立 bucket」頁面中,輸入 bucket 資訊。完成下列每個步驟後,請按一下「繼續」前往下一個步驟:

    1. 在「開始使用」部分執行下列操作:

      1. 輸入符合值區名稱規定的不重複名稱 (例如 cloudflare-data)。
      2. 如要啟用階層命名空間,請按一下展開箭頭,展開「為檔案導向和資料密集型工作負載提供最理想的儲存空間」部分,然後選取「為這個值區啟用階層結構式命名空間」
      1. 如要新增值區標籤,請按一下展開箭頭,展開「標籤」部分。
      2. 按一下「新增標籤」,然後指定標籤的鍵和值。
    2. 在「Choose where to store your data」(選擇資料的儲存位置) 專區中執行下列操作:

      1. 選取「位置類型」
      2. 使用位置類型下拉式選單,選取要永久儲存 bucket 內物件資料的位置
        1. 如果您選取「雙區域」位置類型,也可以勾選相關核取方塊,啟用強化型複製功能。
      3. 如要設定跨 bucket 複製作業,請展開「設定跨 bucket 複製作業」部分。
    3. 在「為資料選擇儲存空間級別」部分,選取值區的預設儲存空間級別,或選取「Autoclass」,讓系統自動管理值區資料的儲存空間級別。

    4. 在「選取如何控制物件的存取權」部分,選取「否」來強制禁止公開存取,並為值區物件選取存取權控管模型

    5. 在「選擇保護物件資料的方式」部分,執行下列操作:

      1. 選取「資料保護」下要為值區設定的任何選項。
      2. 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取「資料加密方法」
  5. 點選「建立」

建立 Google Cloud 服務帳戶

  1. 依序前往「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)
  2. 建立新的服務帳戶。
  3. 為其命名,例如 cloudflare-logs
  4. 在上一個步驟中建立的 GCS bucket 上,授予服務帳戶「Storage Object Creator」角色。
  5. 為服務帳戶建立服務帳戶金鑰
  6. 下載服務帳戶的 JSON 金鑰檔案。請妥善保管這個檔案

啟用 Cloudflare IAM 對 Google Cloud Storage 的存取權

  1. 依序前往「儲存空間」>「瀏覽器」>「Bucket」>「權限」
  2. 新增具備「Storage Object Admin」(Storage 物件管理員) 權限的成員 logpush@cloudflare-data.iam.gserviceaccount.com

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」,設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態消息」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中,輸入動態饋給的名稱 (例如「Cloudflare Logs」)。
  5. 選取「Google Cloud Storage」做為「來源類型」。
  6. 選取「Cloudflare」做為「記錄類型」
  7. 按一下「Chronicle 服務帳戶」的「取得服務帳戶」
  8. 點選「下一步」
  9. 指定下列輸入參數的值:

    • 儲存空間值區 URI:Google Cloud 儲存空間值區網址,格式為 gs://my-bucket/<value>
    • URI 為:選取「包含子目錄的目錄」
    • 來源刪除選項:根據偏好設定選取刪除選項。
  10. 點選「下一步」

  11. 在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」

從內容中心設定動態饋給

為下列欄位指定值:

  • 儲存空間值區 URI: Google Cloud gs://my-bucket/<value> 格式的儲存空間值區 URL。
  • URI 為:選取「包含子目錄的目錄」
  • 來源刪除選項:根據偏好設定選取刪除選項。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間:與動態饋給相關聯的命名空間。
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

設定 Cloudflare 將記錄檔傳送至 Google Cloud Storage

  1. 登入 Cloudflare 資訊主頁
  2. 選取要搭配 Logpush 使用的企業帳戶或網域 (也稱為區域)。
  3. 依序前往「Analytics & Logs」(數據分析與記錄檔) >「Logpush」(記錄檔推送)
  4. 選取「建立 Logpush」工作。
  5. 在「選取目的地」中,選取「Google Cloud Storage」
  6. 輸入或選取下列目的地詳細資料:

    • Bucket:GCS bucket 名稱
    • 路徑:儲存容器內的值區位置
    • 核取方塊:將記錄檔整理到每日子資料夾 (建議)
  7. 按一下「繼續」

  8. 擁有權驗證:

    1. Cloudflare 會將檔案傳送至你的 bucket
    2. 複製並貼上權杖:
      1. 登入 Google Cloud 控制台 >「儲存空間」>「Cloudflare bucket」
      2. 開啟擁有權爭議檔案
      3. 複製「擁有權權杖」
      4. Cloudflare 控制台中輸入擁有權權杖。
      5. 選取 [繼續]
    3. 選取要推送至值區的資料集
  9. 設定記錄推送作業:

    1. 輸入工作名稱。
    2. 在「如果記錄相符」下方,您可以選取要納入和/或從記錄中移除的事件。
    1. 傳送下列欄位:選取要推送所有記錄,或選擇要推送哪些記錄
  10. 選取「提交」即可完成設定。

UDM 對應表

記錄欄位 UDM 對應 邏輯
AccountID target.resource.idtarget.resource.product_object_id 與活動相關聯的帳戶 ID。
Action security_result.action 根據事件採取的動作。allowallowed* 會導致 ALLOWunknown,結果為 UNKNOWN_ACTION。其他值會導致 BLOCK。如果是存取記錄,login 會對應至 USER_LOGINlogout 會對應至 USER_LOGOUT,如果電子郵件存在,其他值則會對應至 USER_RESOURCE_ACCESS
ActionResult security_result.action 如果 true 對應至 ALLOW,如果 false 對應至 BLOCK,否則會對應至 UNKNOWN_ACTION
ActionType security_result.description 執行的動作說明。
ActorEmail principal.user.email_addresses 發起事件的執行者電子郵件地址。
ActorID principal.user.product_object_id 發起事件的參與者 ID。
ActorIP principal.ipprincipal.asset.ip 啟動事件的執行者 IP 位址。
Allowed security_result.action 如果 true 對應至 ALLOW,否則會對應至 BLOCK
AppDomain target.administrative_domain 與事件相關的應用程式網域。
AppUUID target.resource.product_object_id 與事件相關聯的應用程式 UUID。
AssetDisplayName principal.asset.attribute.labels.value,其中「key」是 AssetDisplayName 資產的顯示名稱。
AssetExternalID principal.asset_id (前置字串為「Cloudflare:」) 素材資源的外部 ID。
AssetLink principal.url 與資產相關聯的連結。
AssetMetadata.agreedToTerms principal.user.attribute.labels.value,其中「key」是 agreedToTerms 使用者是否同意條款。
AssetMetadata.changePasswordAtNextLogin principal.user.attribute.labels.value,其中「key」是 changePasswordAtNextLogin 使用者是否需要在下次登入時變更密碼。
AssetMetadata.clientId principal.user.userid 資產中繼資料中的客戶 ID。
AssetMetadata.customerId principal.user.userid 資產中繼資料中的客戶 ID。
AssetMetadata.familyName principal.user.last_name 資產中繼資料中的使用者姓氏。
AssetMetadata.givenName principal.user.first_name 資產中繼資料中的使用者名字。
AssetMetadata.includeInGlobalAddressList principal.user.attribute.labels.value,其中「key」是 includeInGlobalAddressList 使用者是否已加入全域通訊清單。
AssetMetadata.ipWhitelisted principal.user.attribute.labels.value,其中「key」是 ipWhitelisted 使用者是否已加入 IP 許可清單。
AssetMetadata.isAdmin principal.user.attribute.labels.value,其中「key」是 isAdmin 使用者是否為管理員。
AssetMetadata.isDelegatedAdmin principal.user.attribute.labels.value,其中「key」是 isDelegatedAdmin 使用者是否為委派管理員。
AssetMetadata.isEnforcedIn2Sv principal.user.attribute.labels.value,其中「key」是 isEnforcedIn2Sv 是否強制使用者啟用兩步驟驗證。
AssetMetadata.isEnrolledIn2Sv principal.user.attribute.labels.value,其中「key」是 isEnrolledIn2Sv 使用者是否已註冊兩步驟驗證。
AssetMetadata.kind (未對應) 未對應至 IDM 物件。
AssetMetadata.lastLoginTime principal.user.attribute.labels.value,其中「key」是 lastLoginTime 使用者上次登入時間。
AssetMetadata.login principal.user.userid 資產中繼資料中的登入名稱。
AssetMetadata.name.familyName principal.user.last_name 資產中繼資料中的姓氏。
AssetMetadata.name.fullName principal.user.user_display_name 資產中繼資料中的全名。
AssetMetadata.name.givenName principal.user.first_name 資產中繼資料中的名字。
AssetMetadata.nativeApp security_result.detection_fields.value,其中「key」是 nativeApp 應用程式是否為原生應用程式。
AssetMetadata.owner.id principal.user.userid 資產中繼資料中的擁有者 ID。
AssetMetadata.primaryEmail principal.user.email_addresses 資產中繼資料中的主要電子郵件地址。
AssetMetadata.scopes (未對應) 未對應至 IDM 物件。
AssetMetadata.site_admin principal.user.attribute.labels.value,其中「key」是 site_admin 使用者是否為網站管理員。
AssetMetadata.suspended principal.user.attribute.labels.value,其中「key」是 suspended 使用者是否已遭停權。
AssetMetadata.url principal.url 資產中繼資料中的網址。
AssetMetadata.userKey principal.user.attribute.labels.value,其中「key」是 userKey 資產中繼資料中的使用者金鑰。
BlockedFileHash target.file.md5target.file.sha1target.file.sha256 遭封鎖檔案的雜湊值。使用 grok 剖析,以擷取 md5、sha1 或 sha256。
BlockedFileName security_result.about.file.full_path 遭封鎖的檔案名稱。
BlockedFileReason security_result.summary 封鎖檔案的原因。
BlockedFileSize target.file.size 遭封鎖的檔案大小。
BotScore security_result.detection_fields.value,其中「key」是 BotScore 指派給要求的機器人分數。
BytesReceived network.received_bytes 收到的位元組數。
BytesSent network.sent_bytes 傳送的位元組數。
CacheCacheStatus additional.fields.value.string_value,其中「key」是 CacheCacheStatus 快取狀態。
CacheResponseBytes additional.fields.value.string_value,其中「key」是 CacheResponseBytes 快取回應的位元組數。
CacheResponseStatus additional.fields.value.string_value,其中「key」是 CacheResponseStatus 快取回應的狀態碼。
ClientASN (未對應) 未對應至 IDM 物件。
ClientCountry principal.location.country_or_region 用戶端的國家/地區。
ClientDeviceType additional.fields.value.string_value,其中「key」是 ClientDeviceType 用戶端裝置類型。
ClientIP principal.ipprincipal.asset.ip 用戶端的 IP 位址。
ClientRequestMethod network.http.method 用戶端使用的 HTTP 要求方法。
ClientRequestHost target.hostnametarget.asset.hostname 用戶端要求的主機名稱。
ClientRequestPath (未對應) 未對應至 IDM 物件。
ClientRequestProtocol network.application_protocol 用戶端要求中使用的通訊協定 (例如 HTTP、HTTPS)。移除通訊協定版本。
ClientRequestReferer network.http.referral_url 用戶端要求的參照網址。
ClientRequestURI target.url (如有 ClientRequestHost,則會與其合併) 用戶端要求的 URI。
ClientRequestUserAgent network.http.user_agent 用戶端要求的 User-Agent。並剖析及對應至 network.http.parsed_user_agent
ClientSSLCipher network.tls.cipher 用戶端使用的 SSL 密碼。
ClientSSLProtocol network.tls.version 用戶端使用的 SSL 通訊協定。
ClientSrcPort principal.port 用戶端的來源通訊埠。
ClientTCPHandshakeDurationMs additional.fields.value.string_value,其中「key」是 ClientTCPHandshakeDurationMs 用戶端 TCP 交握的持續時間。
ClientTLSHandshakeDurationMs additional.fields.value.string_value,其中「key」是 ClientTLSHandshakeDurationMs 用戶端 TLS 握手的時間長度。
ClientTLSVersion network.tls.version 用戶端使用的傳輸層安全標準 (TLS) 版本。
ColoID (未對應) 未對應至 IDM 物件。
Connection target.resource.attribute.labels.value,其中「key」是 Connection 連線類型 (例如 saml)。
ConnectionCloseReason additional.fields.value.string_value,其中「key」是 ConnectionCloseReason 連線關閉的原因。
ConnectionReuse additional.fields.value.string_value,其中「key」是 ConnectionReuse 是否重複使用連線。
Country target.location.country_or_region 與活動相關聯的國家/地區。
CreatedAt metadata.event_timestamp 事件建立時間戳記。
Datetime metadata.event_timestamp 活動的日期和時間。
DestinationIP target.iptarget.asset.ip 目的地 IP 位址。
DestinationPort target.port 目的地通訊埠。
DestinationTunnelID additional.fields.value.string_value,其中「key」是 DestinationTunnelID 目的地通道的 ID。
DeviceID principal.asset_id (前置字串為「Cloudflare:」) 裝置 ID。
DeviceName principal.hostnameprincipal.asset.hostnameprincipal.asset.attribute.labels.value,其中 key 是 DeviceName 裝置名稱。
DownloadedFileNames security_result.about.labels.value,其中「key」是 DownloadFileNames 已下載檔案的名稱。
DstIP target.iptarget.asset.ip 目的地 IP 位址。
DstPort target.port 目的地通訊埠。
EdgeColoCode additional.fields.value.string_value,其中「key」是 EdgeColoCode Cloudflare 邊緣位置代碼。
EdgeColoID additional.fields.value.string_value,其中「key」是 EdgeColoID Cloudflare 邊緣位置 ID。
EdgeEndTimestamp (未對應) 未對應至 IDM 物件。
EdgeResponseBytes network.received_bytes 邊緣裝置傳回的回應位元組數。
EdgeResponseContentType target.file.mime_type 邊緣回應的內容類型。
EdgeResponseStatus network.http.response_code 邊緣回應的狀態碼。
EdgeServerIP target.iptarget.asset.ip 邊緣伺服器的 IP 位址。
EdgeStartTimestamp metadata.event_timestamp 要求在邊緣開始的時間戳記。
Email principal.user.email_addressestarget.user.email_addresses 與活動相關聯的電子郵件地址。
EgressColoName additional.fields.value.string_value,其中「key」是 EgressColoName 輸出 colo 的名稱。
EgressIP principal.ipprincipal.asset.ip 傳出 IP 位址。將 network.direction 設為 OUTBOUND
EgressPort principal.port 輸出埠。
EgressRuleID additional.fields.value.string_value,其中「key」是 EgressRuleID 輸出規則的 ID。
EgressRuleName additional.fields.value.string_value,其中「key」是 EgressRuleName 輸出規則的名稱。
FindingTypeDisplayName security_result.description 發現項目類型的顯示名稱。
FindingTypeID security_result.rule_id 發現項目類型的 ID。
FindingTypeSeverity security_result.severity 發現項目類型的嚴重程度。
FirewallMatchesActions security_result.action 防火牆規則採取的動作。allowAllowALLOWskipSKIPSkip 對應至 ALLOWchallengeSolvedjschallengeSolved 對應至 ALLOW_WITH_MODIFICATIONdropblock 對應至 BLOCK。其他值會對應至 UNKNOWN_ACTION
FirewallMatchesRuleIDs (第一個 ID),後續 ID 會建立新的 security_result 物件。security_result.rule_id 相符的防火牆規則 ID。
FirewallMatchesSources security_result.rule_name 相符防火牆規則的來源。
HTTPHost target.hostname HTTP 主機。
HTTPMethod network.http.method HTTP 方法。
HTTPVersion network.application_protocol 如果值包含「HTTP」,則將 network.application_protocol 設為 HTTP
ID metadata.product_log_id 活動的 ID。
IngressColoName additional.fields.value.string_value,其中「key」是 IngressColoName 傳入機房的名稱。
InstanceID principal.resource.product_object_id 執行個體的 ID。
IntegrationDisplayName additional.fields.value.string_value,其中「key」是 IntegrationDisplayName 整合的顯示名稱。
IntegrationID metadata.product_deployment_id 整合的 ID。
IntegrationPolicyVendor additional.fields.value.string_value,其中「key」是 IntegrationPolicyVendor 整合政策的供應商。
IPAddress target.iptarget.asset.ip 與事件相關聯的 IP 位址。
IsIsolated about.labels.value,其中鍵為 IsIsolatedsecurity_result.about.resource.attribute.labels.value,其中鍵為 IsIsolated 事件是否已隔離。
Location principal.location.name 與活動相關聯的位置。
NewValue security_result.about.labels.value,其中「key」是 NewValue 更新後的新值。
Offramp additional.fields.value.string_value,其中「key」是 Offramp 連線中使用的 Offramp。
OldValue security_result.about.labels.value,其中「key」是 OldValue 更新前的值。
OriginIP intermediary.iptarget.iptarget.asset.ip 來源 IP 位址。
OriginPort target.port 來源通訊埠。
OriginResponseBytes additional.fields.value.string_value,其中「key」是 OriginResponseBytes 來源回應中的位元組數。
OriginResponseStatus additional.fields.value.string_value,其中「key」是 OriginResponseStatus 來源回應的狀態碼。
OriginResponseTime additional.fields.value.string_value,其中「key」是 OriginResponseTime 來源的回應時間。
OriginSSLProtocol (未對應) 未對應至 IDM 物件。
OriginTLSCertificateIssuer additional.fields.value.string_value,其中「key」是 OriginTLSCertificateIssuer 原始 TLS 憑證的簽發者。
OriginTLSCertificateValidationResult additional.fields.value.string_value,其中「key」是 OriginTLSCertificateValidationResult 原始 TLS 憑證驗證結果。
OriginTLSCipher additional.fields.value.string_value,其中「key」是 OriginTLSCipher 用於原始 TLS 連線的密碼。
OriginTLSHandshakeDurationMs additional.fields.value.string_value,其中「key」是 OriginTLSHandshakeDurationMs 原始 TLS 握手時間長度。
OriginTLSVersion additional.fields.value.string_value,其中「key」是 OriginTLSVersion 來源使用的傳輸層安全標準 (TLS) 版本。
OwnerID target.user.product_object_id 擁有者的 ID。
Policy security_result.rule_name 與活動相關的政策。
PolicyID security_result.rule_id 政策的 ID。
PolicyName security_result.rule_name 政策名稱。
Protocol network.application_protocolnetwork.ip_protocol 連線中使用的通訊協定。如果不是「tls」或「TLS」,則會轉換為大寫,並對應至 network.application_protocol。否則,系統會使用 include 檔案剖析,並對應至 network.ip_protocol
PurposeJustificationPrompt (未對應) 未對應至 IDM 物件。
PurposeJustificationResponse (未對應) 未對應至 IDM 物件。
QueryCategoryIDs security_result.about.labels.valuesecurity_result.about.resource.attribute.labels.value,其中鍵為 QueryCategoryIDs 查詢類別的 ID。
QueryName network.dns.questions.name DNS 查詢的名稱。將 metadata.event_type 設為 NETWORK_DNS,並將 network.application_protocol 設為 DNS
QueryNameReversed network.dns.questions.name DNS 查詢的反向名稱。
QuerySize network.sent_bytes 查詢大小。
QueryType network.dns.questions.type DNS 查詢的類型。根據 DNS 查詢類型代碼對應至數值。
RData network.dns.answers.typenetwork.dns.answers.data DNS 記錄資料。RData 陣列中的每個元素都會建立新的 answer 物件。
RayID metadata.product_log_id 與要求相關聯的 Ray ID。
Referer network.http.referral_url 參照網址。
RequestID metadata.product_log_id 要求的 ID。
ResolverDecision security_result.summary 解析人員做出的決定。
ResourceID target.resource.idtarget.resource.product_object_id 資源 ID。
ResourceType target.resource.resource_subtype 資源類型。
RuleEvaluationDurationMs additional.fields.value.string_value,其中「key」是 RuleEvaluationDurationMs 規則評估的持續時間。
SNI network.tls.client.server_name TLS 用戶端問候訊息中的伺服器名稱指示 (SNI)。
SecurityAction security_result.action 我們已採取安全措施,空白值或沒有 SecurityAction 對應至 ALLOWchallengeSolvedjschallengeSolved 對應至 ALLOW_WITH_MODIFICATIONdropblock 會對應至 BLOCK
SecurityLevel security_result.severity 安全等級。high 對應到 HIGHmed 對應到 MEDIUMlow 對應到 LOW
SessionEndTime additional.fields.value.string_value,其中「key」是 SessionEndTime 工作階段的結束時間。
SessionID network.session_id 工作階段 ID。
SessionStartTime metadata.event_timestamp 工作階段的開始時間。
SourceIP principal.ipprincipal.asset.ipsrc.ipsrc.asset.ip 來源 IP 位址。
SourcePort principal.portsrc.port 來源通訊埠。
SrcIP principal.ipprincipal.asset.ip 來源 IP 位址。
SrcPort principal.port 來源通訊埠。
TemporaryAccessDuration network.session_duration.seconds 臨時存取權的有效時間。
Timestamp metadata.event_timestamp 事件的時間戳記。
Transport network.ip_protocol 傳輸通訊協定。轉換為大寫,並使用 include 檔案剖析。
UploadedFileNames security_result.about.labels.value,其中「key」是 UploadedFileNames 上傳檔案的名稱。
URL target.url 與事件相關的網址。
UserAgent network.http.user_agent 使用者代理程式字串。並剖析及對應至 network.http.parsed_user_agent
UserID principal.user.product_object_idevent.idm.read_only_udm.target.user.product_object_id 使用者 ID。
UserUID target.user.product_object_id 使用者的 UID。
VirtualNetworkID principal.resource.product_object_id 虛擬網路的 ID。
WAFAction security_result.about.labels.value,其中「key」是 WAFAction 網頁應用程式防火牆 (WAF) 採取的動作。
WAFAttackScore security_result.about.resource.attribute.labels.value,其中「key」是 WAFAttackScore WAF 指派的攻擊分數。
WAFFlags security_result.about.resource.attribute.labels.value,其中「key」是 WAFFlags 網路應用程式防火牆標記。
WAFMatchedVar (未對應) 未對應至 IDM 物件。
WAFProfile security_result.about.labels.value,其中「key」是 WAFProfile 網路應用程式防火牆設定檔。
WAFRCEAttackScore security_result.about.resource.attribute.labels.value,其中「key」是 WAFRCEAttackScore WAF 遠端程式碼執行 (RCE) 攻擊分數。
WAFRuleID security_result.threat_idsecurity_result.about.labels.value,其中鍵為 WAFRuleID 網路應用程式防火牆規則的 ID。
WAFRuleMessage security_result.rule_namesecurity_result.threat_name 與 WAF 規則相關聯的訊息。
WAFSQLiAttackScore security_result.about.resource.attribute.labels.value,其中「key」是 WAFSQLiAttackScore WAF SQL 注入攻擊分數。
WAFXSSAttackScore security_result.about.resource.attribute.labels.value,其中「key」是 WAFXSSAttackScore 網頁應用程式防火牆跨網站指令碼攻擊 (XSS) 分數。
ZoneID additional.fields.value.string_value,其中「key」是 ZoneID 可用區 ID。
event.idm.read_only_udm.metadata.event_type metadata.event_type 活動類型。由剖析器根據記錄資料設定。如未設定,或 NETWORK_DNS 事件沒有主體或目標,則預設為 GENERIC_EVENT。可以是 NETWORK_DNSNETWORK_CONNECTIONUSER_LOGINUSER_LOGOUTUSER_RESOURCE_ACCESSUSER_RESOURCE_UPDATE_CONTENTGENERIC_EVENT
event.idm.read_only_udm.metadata.log_type metadata.log_type 記錄類型,設為「CLOUDFLARE」。
event.idm.read_only_udm.metadata.product_deployment_id metadata.product_deployment_id 產品部署作業 ID。
event.idm.read_only_udm.metadata.product_log_id metadata.product_log_id 產品記錄 ID。
event.idm.read_only_udm.metadata.product_name metadata.product_name 產品名稱。由剖析器根據記錄資料設定。可以是「Cloudflare Gateway DNS」、「Cloudflare Gateway HTTP」、「Cloudflare Audit」或「Web Application Firewall」。
event.idm.read_only_udm.metadata.vendor_name metadata.vendor_name 供應商名稱,設為「Cloudflare」。
event.idm.read_only_udm.metadata.event_timestamp metadata.event_timestamp 事件的時間戳記。
event.idm.read_only_udm.network.application_protocol network.application_protocol 網路連線中使用的應用程式通訊協定。
event.idm.read_only_udm.network.direction network.direction 網路連線的方向。如果同時存在 EgressIPSourceIP,請設為 OUTBOUND
event.idm.read_only_udm.network.dns.answers network.dns.answers DNS 答案。
event.idm.read_only_udm.network.dns.questions network.dns.questions DNS 問題。
event.idm.read_only_udm.network.http.method network.http.method HTTP 方法。
event.idm.read_only_udm.network.http.parsed_user_agent network.http.parsed_user_agent 已剖析的使用者代理程式。
event.idm.read_only_udm.network.http.referral_url network.http.referral_url HTTP 參照網址。
event.idm.read_only_udm.network.http.response_code network.http.response_code HTTP 回應代碼。
event.idm.read_only_udm.network.http.user_agent network.http.user_agent HTTP 使用者代理程式。
event.idm.read_only_udm.network.ip_protocol network.ip_protocol IP 通訊協定。
event.idm.read_only_udm.network.received_bytes network.received_bytes 收到的位元組數。
event.idm.read_only_udm.network.sent_bytes network.sent_bytes 傳送的位元組數。
event.idm.read_only_udm.network.session_duration.seconds network.session_duration.seconds 網路工作階段的持續時間 (以秒為單位)。
event.idm.read_only_udm.network.session_id network.session_id 網路工作階段 ID。
event.idm.read_only_udm.network.tls.cipher network.tls.cipher 傳輸層安全標準 (TLS) 加密套件。
event.idm.read_only_udm.network.tls.client.server_name network.tls.client.server_name TLS 用戶端伺服器名稱。
event.idm.read_only_udm.network.tls.version network.tls.version 傳輸層安全標準 (TLS) 版本。
event.idm.read_only_udm.principal.asset.attribute.labels principal.asset.attribute.labels 與主要資產相關聯的標籤。
event.idm.read_only_udm.principal.asset.hostname principal.asset.hostname 主要資產的主機名稱。
event.idm.read_only_udm.principal.asset.ip principal.asset.ip 主體資產的 IP 位址。
event.idm.read_only_udm.principal.asset_id principal.asset_id 主要資產的 ID。
event.idm.read_only_udm.principal.hostname principal.hostname 主體的主機名稱。
event.idm.read_only_udm.principal.ip principal.ip 主體的 IP 位址。
event.idm.read_only_udm.principal.location.country_or_region principal.location.country_or_region 主要負責人所在國家/地區。
event.idm.read_only_udm.principal.location.name principal.location.name 主體位置的名稱。
event.idm.read_only_udm.principal.port principal.port 主體使用的通訊埠。
event.idm.read_only_udm.principal.resource.product_object_id principal.resource.product_object_id 主體資源的產品物件 ID。
event.idm.read_only_udm.principal.url principal.url 與主體相關聯的網址。
event.idm.read_only_udm.principal.user.attribute.labels principal.user.attribute.labels 與主體使用者相關聯的標籤。
event.idm.read_only_udm.principal.user.email_addresses principal.user.email_addresses 主要使用者的電子郵件地址。
event.idm.read_only_udm.principal.user.first_name principal.user.first_name 主要使用者的名字。
event.idm.read_only_udm.principal.user.last_name principal.user.last_name 主要使用者的姓氏。
event.idm.read_only_udm.principal.user.product_object_id principal.user.product_object_id 主要使用者的產品物件 ID。
event.idm.read_only_udm.principal.user.userid principal.user.userid 主要使用者的使用者 ID。
event.idm.read_only_udm.principal.user.user_display_name principal.user.user_display_name 主要使用者的顯示名稱。
event.idm.read_only_udm.src.asset.ip src.asset.ip 來源資產的 IP 位址。
event.idm.read_only_udm.src.ip src.ip 來源的 IP 位址。
event.idm.read_only_udm.src.port src.port 來源通訊埠。
event.idm.read_only_udm.target.administrative_domain target.administrative_domain 目標的管理網域。
event.idm.read_only_udm.target.asset.hostname target.asset.hostname 目標資產的主機名稱。
event.idm.read_only_udm.target.asset.ip target.asset.ip 目標資產的 IP 位址。
event.idm.read_only_udm.target.file.mime_type target.file.mime_type 目標檔案的 MIME 類型。
event.idm.read_only_udm.target.file.md5 target.file.md5 目標檔案的 MD5 雜湊。
event.idm.read_only_udm.target.file.sha1 target.file.sha1 目標檔案的 SHA1 雜湊。
event.idm.read_only_udm.target.file.sha256 target.file.sha256 目標檔案的 SHA256 雜湊。
event.idm.read_only_udm.target.file.size target.file.size 目標檔案的大小。
event.idm.read_only_udm.target.hostname target.hostname 目標的主機名稱。
event.idm.read_only_udm.target.ip target.ip 目標的 IP 位址。
event.idm.read_only_udm.target.location.country_or_region target.location.country_or_region 目標位置所在的國家/地區。
event.idm.read_only_udm.target.port target.port 目標的通訊埠。
event.idm.read_only_udm.target.resource.attribute.labels target.resource.attribute.labels 與目標資源相關聯的標籤。
event.idm.read_only_udm.target.resource.id target.resource.id 目標資源的 ID。
event.idm.read_only_udm.target.resource.product_object_id target.resource.product_object_id 目標資源的產品物件 ID。
event.idm.read_only_udm.target.resource.resource_subtype target.resource.resource_subtype 目標資源的資源子類型。
event.idm.read_only_udm.target.url target.url 目標的網址。
event.idm.read_only_udm.target.user.email_addresses target.user.email_addresses 目標使用者的電子郵件地址。
event.idm.read_only_udm.target.user.product_object_id target.user.product_object_id 目標使用者的產品物件 ID。
event.idm.read_only_udm.security_result.about.file.full_path security_result.about.file.full_path 與安全性結果相關的檔案完整路徑。
event.idm.read_only_udm.security_result.about.labels security_result.about.labels 與安全性結果相關聯的標籤。
event.idm.read_only_udm.security_result.about.resource.attribute.labels security_result.about.resource.attribute.labels 與安全結果中的資源相關聯的標籤。
event.idm.read_only_udm.security_result.action security_result.action 安全性結果中採取的動作。
event.idm.read_only_udm.security_result.detection_fields security_result.detection_fields 安全結果中的偵測欄位。
event.idm.read_only_udm.security_result.description security_result.description 安全性結果的說明。
event.idm.read_only_udm.security_result.rule_id security_result.rule_id 安全結果的規則 ID。
event.idm.read_only_udm.security_result.rule_name security_result.rule_name 安全結果的規則名稱。
event.idm.read_only_udm.security_result.severity security_result.severity 安全性結果的嚴重程度。
event.idm.read_only_udm.security_result.summary security_result.summary 安全結果摘要。
event.idm.read_only_udm.security_result.threat_id security_result.threat_id 安全結果的威脅 ID。
event.idm.read_only_udm.security_result.threat_name security_result.threat_name 安全結果的威脅名稱。
event.idm.read_only_udm.extensions.auth.type extensions.auth.type 驗證類型。針對登入和登出事件設為 MACHINE
event.idm.read_only_udm.about about 關於資訊。
event.idm.read_only_udm.additional.fields additional.fields 其他欄位。
event.idm.read_only_udm.intermediary intermediary 中介機構資訊。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。