Recoger registros de Palo Alto Prisma Cloud
Disponible en:
SecOps de Google
SIEM
En este documento se describe cómo puede recoger registros de Palo Alto Prisma Cloud configurando un feed de Google Security Operations.
Para obtener más información, consulta Ingestión de datos en Google Security Operations.
Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión PAN_PRISMA_CLOUD.
Configurar Palo Alto Prisma Cloud
- Inicia sesión en la consola de Palo Alto Prisma Cloud con una cuenta de administrador.
- En el menú Configuración, haz clic en Teclas de acceso.
- Haz clic en Añadir nuevo y escribe un Nombre.
Haz clic en Crear. Aparecerán los valores ID de clave de acceso y Clave secreta.
Guarda los valores de ID de clave de acceso y Clave secreta. Estos valores son obligatorios al configurar el feed de Google Security Operations.
Configurar feeds
Para configurar un feed, sigue estos pasos:
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Añadir feed.
- En la página siguiente, haga clic en Configurar un solo feed.
- En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Registros de Palo Alto Prisma Cloud).
- Seleccione API de terceros como Tipo de fuente.
- Seleccione Palo Alto Prisma Cloud como Tipo de registro.
- Haz clic en Siguiente.
- Configure los siguientes parámetros de entrada obligatorios:
- Nombre de usuario: especifica el ID de clave de acceso que has obtenido anteriormente.
- Contraseña: especifica la clave secreta que has obtenido anteriormente.
- Nombre de host de la API: especifica el nombre de host de la API.
- Haz clic en Siguiente y, a continuación, en Enviar.
Referencia de asignación de campos
Este código de analizador extrae campos de los registros de PAN PRISMA CLOUD con formato JSON, realiza transformaciones de datos y asignaciones para estructurar los datos en el esquema UDM de Chronicle. Gestiona varias estructuras de mensajes de registro, incluidos objetos y arrays anidados, para normalizar diversos eventos de seguridad e información contextual para el análisis en Chronicle.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| accountName | read_only_udm.target.resource.attribute.cloud.project.id | Se asigna directamente desde el campo accountName. |
| accountId | read_only_udm.target.hostname | Se asigna directamente desde el campo accountId. |
| accountId | read_only_udm.target.asset.hostname | Se asigna directamente desde el campo accountId. |
| accountId | read_only_udm.principal.cloud.project.id | Se asigna directamente desde el campo accountId de la matriz aggregatedAlerts. |
| acción | read_only_udm.security_result.description | Se asigna directamente desde el campo action después de eliminar la parte JSON. |
| alertId | read_only_udm.metadata.product_log_id | Se asigna directamente desde el campo alertId. |
| alertRules.0.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_0 | Se asigna directamente desde el campo alertRules.0.allowAutoRemediate. |
| alertRules.0.enabled | read_only_udm.security_result.detection_fields.enabled_0 | Se asigna directamente desde el campo alertRules.0.enabled. |
| alertRules.0.name | read_only_udm.security_result.detection_fields.name_0 | Se asigna directamente desde el campo alertRules.0.name. |
| alertRules.0.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_0 | Se asigna directamente desde el campo alertRules.0.notifyOnDismissed. |
| alertRules.0.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_0 | Se asigna directamente desde el campo alertRules.0.notifyOnOpen. |
| alertRules.0.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_0 | Se asigna directamente desde el campo alertRules.0.notifyOnResolved. |
| alertRules.0.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 | Se asigna directamente desde el campo alertRules.0.notifyOnSnoozed. |
| alertRules.0.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_0 | Se asigna directamente desde el campo alertRules.0.policyScanConfigId. |
| alertRules.0.scanAll | read_only_udm.security_result.detection_fields.scanAll_0 | Se asigna directamente desde el campo alertRules.0.scanAll. |
| alertRules.1.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_1 | Se asigna directamente desde el campo alertRules.1.allowAutoRemediate. |
| alertRules.1.createdBy | read_only_udm.principal.user.email_addresses | Se asigna directamente desde el campo alertRules.1.createdBy. |
| alertRules.1.enabled | read_only_udm.security_result.detection_fields.enabled_1 | Se asigna directamente desde el campo alertRules.1.enabled. |
| alertRules.1.name | read_only_udm.security_result.detection_fields.name_1 | Se asigna directamente desde el campo alertRules.1.name. |
| alertRules.1.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_1 | Se asigna directamente desde el campo alertRules.1.notifyOnDismissed. |
| alertRules.1.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_1 | Se asigna directamente desde el campo alertRules.1.notifyOnOpen. |
| alertRules.1.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_1 | Se asigna directamente desde el campo alertRules.1.notifyOnResolved. |
| alertRules.1.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 | Se asigna directamente desde el campo alertRules.1.notifyOnSnoozed. |
| alertRules.1.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_1 | Se asigna directamente desde el campo alertRules.1.policyScanConfigId. |
| alertRules.1.scanAll | read_only_udm.security_result.detection_fields.scanAll_1 | Se asigna directamente desde el campo alertRules.1.scanAll. |
| alertRules.2.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_2 | Se asigna directamente desde el campo alertRules.2.allowAutoRemediate. |
| alertRules.2.createdBy | read_only_udm.principal.user.email_addresses | Se asigna directamente desde el campo alertRules.2.createdBy. |
| alertRules.2.enabled | read_only_udm.security_result.detection_fields.enabled_2 | Se asigna directamente desde el campo alertRules.2.enabled. |
| alertRules.2.name | read_only_udm.security_result.detection_fields.name_2 | Se asigna directamente desde el campo alertRules.2.name. |
| alertRules.2.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_2 | Se asigna directamente desde el campo alertRules.2.notifyOnDismissed. |
| alertRules.2.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_2 | Se asigna directamente desde el campo alertRules.2.notifyOnOpen. |
| alertRules.2.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_2 | Se asigna directamente desde el campo alertRules.2.notifyOnResolved. |
| alertRules.2.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 | Se asigna directamente desde el campo alertRules.2.notifyOnSnoozed. |
| alertRules.2.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_2 | Se asigna directamente desde el campo alertRules.2.policyScanConfigId. |
| alertRules.2.scanAll | read_only_udm.security_result.detection_fields.scanAll_2 | Se asigna directamente desde el campo alertRules.2.scanAll. |
| alertRuleId | read_only_udm.security_result.rule_id | Se asigna directamente desde el campo alertRuleId. |
| alertRuleName | read_only_udm.security_result.rule_name | Se asigna directamente desde el campo alertRuleName. |
| alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | Se asigna directamente desde el campo alertStatus del objeto event_data.msg_data. |
| alertTs | read_only_udm.metadata.event_timestamp.seconds | Se asigna directamente desde el campo alertTs después de convertirlo en una marca de tiempo UNIX. |
| alertTs | read_only_udm.metadata.event_timestamp.nanos | Se asigna directamente desde el campo alertTs después de convertirlo en una marca de tiempo UNIX. |
| callbackUrl | read_only_udm.metadata.url_back_to_product | Se asigna directamente desde el campo callbackUrl. |
| cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | Se asigna directamente desde el campo cloudServiceName. |
| cloudType | read_only_udm.target.resource.attribute.cloud.environment | Asignado desde el campo cloudType. Si cloudType es "gcp", el valor se asigna a "GOOGLE_CLOUD_PLATFORM". Si cloudType es "aws", el valor se define como "AMAZON_WEB_SERVICES". |
| complianceMetadata.0.requirementId | read_only_udm.security_result.rule_id | Se asigna directamente desde el campo complianceMetadata.0.requirementId. |
| complianceMetadata.0.requirementName | read_only_udm.security_result.summary | Se asigna directamente desde el campo complianceMetadata.0.requirementName. |
| complianceMetadata.0.standardName | read_only_udm.security_result.rule_name | Se asigna directamente desde el campo complianceMetadata.0.standardName. |
| complianceMetadata.1.requirementId | read_only_udm.security_result.rule_id | Se asigna directamente desde el campo complianceMetadata.1.requirementId. |
| complianceMetadata.1.requirementName | read_only_udm.security_result.summary | Se asigna directamente desde el campo complianceMetadata.1.requirementName. |
| complianceMetadata.1.standardName | read_only_udm.security_result.rule_name | Se asigna directamente desde el campo complianceMetadata.1.standardName. |
| complianceMetadata.2.requirementId | read_only_udm.security_result.rule_id | Se asigna directamente desde el campo complianceMetadata.2.requirementId. |
| complianceMetadata.2.requirementName | read_only_udm.security_result.summary | Se asigna directamente desde el campo complianceMetadata.2.requirementName. |
| complianceMetadata.2.standardName | read_only_udm.security_result.rule_name | Se asigna directamente desde el campo complianceMetadata.2.standardName. |
| complianceMetadata.3.requirementId | read_only_udm.security_result.rule_id | Se asigna directamente desde el campo complianceMetadata.3.requirementId. |
| complianceMetadata.3.requirementName | read_only_udm.security_result.summary | Se asigna directamente desde el campo complianceMetadata.3.requirementName. |
| complianceMetadata.3.standardName | read_only_udm.security_result.rule_name | Se asigna directamente desde el campo complianceMetadata.3.standardName. |
| complianceMetadata.4.requirementId | read_only_udm.security_result.rule_id | Se asigna directamente desde el campo complianceMetadata.4.requirementId. |
| complianceMetadata.4.requirementName | read_only_udm.security_result.summary | Se asigna directamente desde el campo complianceMetadata.4.requirementName. |
| complianceMetadata.4.standardName | read_only_udm.security_result.rule_name | Se asigna directamente desde el campo complianceMetadata.4.standardName. |
| event_data.app | read_only_udm.target.application | Se asigna directamente desde el campo event_data.app. |
| event_data.msg_data.account.cloudType | read_only_udm.target.resource.attribute.cloud.environment | Asignado desde el campo event_data.msg_data.account.cloudType. Si el valor es "aws", se define como "AMAZON_WEB_SERVICES". |
| event_data.msg_data.account.id | read_only_udm.target.cloud.project.id | Se asigna directamente desde el campo event_data.msg_data.account.id. |
| event_data.msg_data.account.name | read_only_udm.target.cloud.project.name | Se asigna directamente desde el campo event_data.msg_data.account.name. |
| event_data.msg_data.accountIDs | read_only_udm.principal.resource.attribute.labels.event message accountId {index} | Se asigna directamente desde la matriz event_data.msg_data.accountIDs. |
| event_data.msg_data.aggregatedAlerts.0.category | read_only_udm.security_result.category_details | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.category. |
| event_data.msg_data.aggregatedAlerts.0.command | read_only_udm.principal.process.command_line | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.command. |
| event_data.msg_data.aggregatedAlerts.0.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | Se asigna directamente desde la matriz event_data.msg_data.aggregatedAlerts.0.collections. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category | read_only_udm.security_result.category_details | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description | read_only_udm.security_result.description | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity | read_only_udm.security_result.severity | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity después de convertirlo a mayúsculas. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title | read_only_udm.security_result.action_details | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title. |
| event_data.msg_data.aggregatedAlerts.0.container | read_only_udm.target.resource.name | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.container. |
| event_data.msg_data.aggregatedAlerts.0.containerID | read_only_udm.target.resource.product_object_id | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.containerID. |
| event_data.msg_data.aggregatedAlerts.0.fqdn | read_only_udm.principal.domain.name | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.fqdn. |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.hostname | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.host. |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.asset.hostname | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.host. |
| event_data.msg_data.aggregatedAlerts.0.image | read_only_udm.target.resource.attribute.labels.image | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.image. |
| event_data.msg_data.aggregatedAlerts.0.imageID | read_only_udm.target.resource.attribute.labels.imageID | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.imageID. |
| event_data.msg_data.aggregatedAlerts.0.labels.controller-uid | read_only_udm.target.user.product_object_id | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.labels.controller-uid. |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name. |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid. |
| event_data.msg_data.aggregatedAlerts.0.msg_data | read_only_udm.security_result.description | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.msg_data. |
| event_data.msg_data.aggregatedAlerts.0.rule | read_only_udm.security_result.rule_name | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.rule. |
| event_data.msg_data.aggregatedAlerts.0.startupProcess | read_only_udm.principal.application | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.startupProcess. |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.seconds | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.time después de convertirlo en una marca de tiempo UNIX. |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.nanos | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.time después de convertirlo en una marca de tiempo UNIX. |
| event_data.msg_data.aggregatedAlerts.0.type | read_only_udm.security_result.category_details | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.type. |
| event_data.msg_data.aggregatedAlerts.0.user | read_only_udm.principal.user.userid | Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.user. |
| event_data.msg_data.alertId | read_only_udm.security_result.detection_fields.event message alertId | Se asigna directamente desde el campo event_data.msg_data.alertId. |
| event_data.msg_data.alertRuleId | read_only_udm.security_result.rule_id | Se asigna directamente desde el campo event_data.msg_data.alertRuleId. |
| event_data.msg_data.alertRuleName | read_only_udm.security_result.rule_name | Se asigna directamente desde el campo event_data.msg_data.alertRuleName. |
| event_data.msg_data.alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | Se asigna directamente desde el campo event_data.msg_data.alertStatus. |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.seconds | Se asigna directamente desde el campo event_data.msg_data.alertTs después de convertirlo en una marca de tiempo UNIX. |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.nanos | Se asigna directamente desde el campo event_data.msg_data.alertTs después de convertirlo en una marca de tiempo UNIX. |
| event_data.msg_data.category | read_only_udm.security_result.category_details | Se asigna directamente desde el campo event_data.msg_data.category. |
| event_data.msg_data.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | Se asigna directamente desde la matriz event_data.msg_data.collections. |
| event_data.msg_data.command | read_only_udm.principal.process.command_line | Se asigna directamente desde el campo event_data.msg_data.command. |
| event_data.msg_data.complianceIssues.0.category | read_only_udm.security_result.category_details | Se asigna directamente desde el campo event_data.msg_data.complianceIssues.0.category. |
| event_data.msg_data.complianceIssues.0.description | read_only_udm.security_result.description | Se asigna directamente desde el campo event_data.msg_data.complianceIssues.0.description. |
| event_data.msg_data.complianceIssues.0.severity | read_only_udm.security_result.severity | Se asigna directamente desde el campo event_data.msg_data.complianceIssues.0.severity después de convertirlo a mayúsculas. |
| event_data.msg_data.complianceIssues.0.title | read_only_udm.security_result.action_details | Se asigna directamente desde el campo event_data.msg_data.complianceIssues.0.title. |
| event_data.msg_data.container | read_only_udm.target.resource.name | Se asigna directamente desde el campo event_data.msg_data.container. |
| event_data.msg_data.containerID | read_only_udm.target.resource.product_object_id | Se asigna directamente desde el campo event_data.msg_data.containerID. |
| event_data.msg_data.dropped | read_only_udm.security_result.detection_fields.dropped | Se asigna directamente desde el campo event_data.msg_data.dropped después de convertirlo en una cadena. |
| event_data.msg_data.fqdn | read_only_udm.principal.domain.name | Se asigna directamente desde el campo event_data.msg_data.fqdn. |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.seconds | Se asigna directamente desde el campo event_data.msg_data.firstSeen después de convertirlo en una marca de tiempo UNIX. |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.nanos | Se asigna directamente desde el campo event_data.msg_data.firstSeen después de convertirlo en una marca de tiempo UNIX. |
| event_data.msg_data.host | read_only_udm.principal.hostname | Se asigna directamente desde el campo event_data.msg_data.host. |
| event_data.msg_data.host | read_only_udm.principal.asset.hostname | Se asigna directamente desde el campo event_data.msg_data.host. |
| event_data.msg_data.image | read_only_udm.target.resource.attribute.labels.image | Se asigna directamente desde el campo event_data.msg_data.image. |
| event_data.msg_data.imageID | read_only_udm.target.resource.attribute.labels.imageID | Se asigna directamente desde el campo event_data.msg_data.imageID. |
| event_data.msg_data.labels.controller-uid | read_only_udm.target.user.product_object_id | Se asigna directamente desde el campo event_data.msg_data.labels.controller-uid. |
| event_data.msg_data.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | Se asigna directamente desde el campo event_data.msg_data.labels.io.kubernetes.pod.name. |
| event_data.msg_data.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | Se asigna directamente desde el campo event_data.msg_data.labels.io.kubernetes.pod.uid. |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.seconds | Se asigna directamente desde el campo event_data.msg_data.lastSeen después de convertirlo en una marca de tiempo UNIX. |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.nanos | Se asigna directamente desde el campo event_data.msg_data.lastSeen después de convertirlo en una marca de tiempo UNIX. |
| event_data.msg_data.metadata.cveCritical | read_only_udm.security_result.detection_fields.event_data metadata cveCritical | Se asigna directamente desde el campo event_data.msg_data.metadata.cveCritical. |
| event_data.msg_data.metadata.cveHigh | read_only_udm.security_result.detection_fields.event_data metadata cveHigh | Se asigna directamente desde el campo event_data.msg_data.metadata.cveHigh. |
| event_data.msg_data.metadata.cveLow | read_only_udm.security_result.detection_fields.event_data metadata cveLow | Se asigna directamente desde el campo event_data.msg_data.metadata.cveLow. |
| event_data.msg_data.metadata.cveMedium | read_only_udm.security_result.detection_fields.event_data metadata cveMedium | Se asigna directamente desde el campo event_data.msg_data.metadata.cveMedium. |
| event_data.msg_data.metadata.source | read_only_udm.principal.hostname | Se asigna directamente desde el campo event_data.msg_data.metadata.source. |
| event_data.msg_data.metadata.source | read_only_udm.principal.asset.hostname | Se asigna directamente desde el campo event_data.msg_data.metadata.source. |
| event_data.msg_data.msg_data | read_only_udm.security_result.description | Se asigna directamente desde el campo event_data.msg_data.msg_data. |
| event_data.msg_data.policy.description | read_only_udm.security_result.description | Se asigna directamente desde el campo event_data.msg_data.policy.description. |
| event_data.msg_data.policy.id | read_only_udm.security_result.detection_fields.policy_id | Se asigna directamente desde el campo event_data.msg_data.policy.id. |
| event_data.msg_data.policy.name | read_only_udm.security_result.summary | Se asigna directamente desde el campo event_data.msg_data.policy.name. |
| event_data.msg_data.policy.policyTs | read_only_udm.additional.fields.policy_ts | Se asigna directamente desde el campo event_data.msg_data.policy.policyTs. |
| event_data.msg_data.policy.policyType | read_only_udm.security_result.threat_name | Se asigna directamente desde el campo event_data.msg_data.policy.policyType. |
| event_data.msg_data.policy.recommendation | read_only_udm.security_result.action_details | Se asigna directamente desde el campo event_data.msg_data.policy.recommendation. |
| event_data.msg_data.policy.severity | read_only_udm.security_result.severity | Se asigna directamente desde el campo event_data.msg_data.policy.severity después de convertirlo a mayúsculas. |
| event_data.msg_data.reason | read_only_udm.security_result.detection_fields.event message reason | Se asigna directamente desde el campo event_data.msg_data.reason. |
| event_data.msg_data.region | read_only_udm.target.cloud.availability_zone | Se asigna directamente desde el campo event_data.msg_data.region. |
| event_data.msg_data.resource.resourceId | read_only_udm.target.resource.product_object_id | Se asigna directamente desde el campo event_data.msg_data.resource.resourceId. |
| event_data.msg_data.resource.resourceName | read_only_udm.target.resource.name | Se asigna directamente desde el campo event_data.msg_data.resource.resourceName. |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.seconds | Se asigna directamente desde el campo event_data.msg_data.resource.resourceTs después de convertirlo en una marca de tiempo UNIX. |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.nanos | Se asigna directamente desde el campo event_data.msg_data.resource.resourceTs después de convertirlo en una marca de tiempo UNIX. |
| event_data.msg_data.rule | read_only_udm.security_result.rule_name | Se asigna directamente desde el campo event_data.msg_data.rule. |
| event_data.msg_data.service | read_only_udm.security_result.detection_fields.event message service | Se asigna directamente desde el campo event_data.msg_data.service. |
| event_data.msg_data.startupProcess | read_only_udm.principal.application | Se asigna directamente desde el campo event_data.msg_data.startupProcess. |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.seconds | Se asigna directamente desde el campo event_data.msg_data.time después de convertirlo en una marca de tiempo UNIX. |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.nanos | Se asigna directamente desde el campo event_data.msg_data.time después de convertirlo en una marca de tiempo UNIX. |
| event_data.msg_data.type | read_only_udm.security_result.category_details | Se asigna directamente desde el campo event_data.msg_data.type. |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.seconds | Se asigna directamente desde el campo event_data.sentTs después de convertirlo en una marca de tiempo UNIX. |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.nanos | Se asigna directamente desde el campo event_data.sentTs después de convertirlo en una marca de tiempo UNIX. |
| event_data.type | read_only_udm.security_result.category_details | Se asigna directamente desde el campo event_data.type. |
| ipAddress | read_only_udm.principal.ip | Se asigna directamente desde el campo ipAddress después de extraer la dirección IP con grok. |
| ipAddress | read_only_udm.principal.asset.ip | Se asigna directamente desde el campo ipAddress después de extraer la dirección IP con grok. |
| ipAddress | read_only_udm.additional.fields.ipAddress | Se asigna directamente desde el campo ipAddress si no es una dirección IP válida. |
| json_action.0.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 0 | Se asigna directamente desde el campo json_action.0.policy_id. |
| json_action.0.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 0 | Se asigna directamente desde el campo json_action.0.resource_name. |
| json_action.1.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 1 | Se asigna directamente desde el campo json_action.1.policy_id. |
| json_action.1.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 1 | Se asigna directamente desde el campo json_action.1.resource_name. |
| policy.policyId | read_only_udm.security_result.rule_id | Se asigna directamente desde el campo policy.policyId. |
| policy.policyType | read_only_udm.security_result.rule_type | Se asigna directamente desde el campo policy.policyType. |
| policy.recommendation | read_only_udm.metadata.description | Se asigna directamente desde el campo policy.recommendation. |
| policy.severity | read_only_udm.security_result.severity | Asignado desde el campo policy.severity. Si el valor es "info", se define como "INFORMATIONAL". |
| policyName | read_only_udm.metadata.description | Se asigna directamente desde el campo policyName. |
| reason | read_only_udm.metadata.product_event_type | Se asigna directamente desde el campo reason. |
| resource.accountId | read_only_udm.target.resource.product_object_id | Se asigna directamente desde el campo resource.accountId. |
| resource.cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | Se asigna directamente desde el campo resource.cloudServiceName. |
| resource.data.architecture | read_only_udm.principal.asset.hardware.cpu_platform | Se asigna directamente desde el campo resource.data.architecture. |
| resource.data.cpuPlatform | read_only_udm.additional.fields.CPU Platform | Se asigna directamente desde el campo resource.data.cpuPlatform. |
| resource.data.labelFingerprint | read_only_udm.security_result.detection_fields.labelFingerprint | Se asigna directamente desde el campo resource.data.labelFingerprint. |
| resource.data.metadata.items.key | read_only_udm.additional.fields.key | Se asigna directamente desde el campo resource.data.metadata.items.key. |
| resource.data.metadata.items.value | read_only_udm.additional.fields.value.string_value | Se asigna directamente desde el campo resource.data.metadata.items.value. |
| resource.data.networkInterfaces.0.accessConfigs.0.natIP | read_only_udm.target.nat_ip | Se asigna directamente desde el campo resource.data.networkInterfaces.0.accessConfigs.0.natIP. |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.ip | Se asigna directamente desde el campo resource.data.networkInterfaces.0.networkIP. |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.asset.ip | Se asigna directamente desde el campo resource.data.networkInterfaces.0.networkIP. |
| resource.data.physicalBlockSizeBytes | read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes | Se asigna directamente desde el campo resource.data.physicalBlockSizeBytes después de convertirlo en una cadena. |
| resource.data.selfLink | read_only_udm.about.url | Se asigna directamente desde el campo resource.data.selfLink. |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.email_addresses | Se asigna directamente desde el campo resource.data.serviceAccounts.0.email. |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.attribute.roles.type | Si resource.data.serviceAccounts.0.email contiene "serviceaccount", el valor se asigna a "SERVICE_ACCOUNT". |
| resource.data.sizeGb | read_only_udm.principal.resource.attribute.labels.sizeGb | Se asigna directamente desde el campo resource.data.sizeGb. |
| resource.data.sourceImage | read_only_udm.principal.resource.attribute.labels.sourceImage | Se asigna directamente desde el campo resource.data.sourceImage. |
| resource.name | read_only_udm.target.resource.name | Se asigna directamente desde el campo resource.name. |
| resource.regionId | read_only_udm.target.location.country_or_region | Se asigna directamente desde `resource |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.