Recopila registros de Palo Alto Prisma Cloud

Se admite en los siguientes países:

En este documento, se describe cómo puedes recopilar registros de Palo Alto Prisma Cloud configurando un feed de Google Security Operations.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia PAN_PRISMA_CLOUD.

Configura Palo Alto Prisma Cloud

  1. Accede a la consola de Palo Alto Prisma Cloud con una cuenta de administrador.
  2. En el menú Configuración, haz clic en Llaves de acceso.
  3. Haz clic en Agregar nuevo y, luego, ingresa un Nombre.

  4. Haz clic en Crear. Aparecerán los valores de ID de clave de acceso y Clave secreta.

  5. Guarda los valores de ID de clave de acceso y Clave secreta. Estos valores son obligatorios cuando configuras el feed de Google Security Operations.

Configura un feed de Google Security Operations para transferir registros de Palo Alto Prisma Cloud

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. Ingresa un nombre único para el Nombre del campo.
  4. Selecciona API de terceros como el Tipo de fuente.
  5. Selecciona Palo Alto Prisma Cloud como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Configura los siguientes parámetros de entrada obligatorios:
    • Nombre de usuario: Especifica el ID de clave de acceso que obtuviste anteriormente.
    • Contraseña: Especifica la clave secreta que obtuviste antes.
    • Nombre de host de la API: Especifica el nombre de host de la API.
  8. Haz clic en Siguiente y, luego, en Enviar.

Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo.

Si tienes problemas cuando creas feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este código del analizador extrae campos de los registros de PAN PRISMA CLOUD con formato JSON, realiza transformaciones y asignaciones de datos para estructurarlos en el esquema de la UDM de Chronicle. Controla varias estructuras de mensajes de registro, incluidos objetos y arrays anidados, para normalizar diversos eventos de seguridad y la información contextual para el análisis en Chronicle.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
accountName read_only_udm.target.resource.attribute.cloud.project.id Se asigna directamente desde el campo accountName.
accountId read_only_udm.target.hostname Se asigna directamente desde el campo accountId.
accountId read_only_udm.target.asset.hostname Se asigna directamente desde el campo accountId.
accountId read_only_udm.principal.cloud.project.id Se asigna directamente desde el campo accountId en el array aggregatedAlerts.
acción read_only_udm.security_result.description Se asigna directamente desde el campo action después de quitar la parte JSON.
alertId read_only_udm.metadata.product_log_id Se asigna directamente desde el campo alertId.
alertRules.0.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_0 Se asigna directamente desde el campo alertRules.0.allowAutoRemediate.
alertRules.0.enabled read_only_udm.security_result.detection_fields.enabled_0 Se asigna directamente desde el campo alertRules.0.enabled.
alertRules.0.name read_only_udm.security_result.detection_fields.name_0 Se asigna directamente desde el campo alertRules.0.name.
alertRules.0.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_0 Se asigna directamente desde el campo alertRules.0.notifyOnDismissed.
alertRules.0.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_0 Se asigna directamente desde el campo alertRules.0.notifyOnOpen.
alertRules.0.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_0 Se asigna directamente desde el campo alertRules.0.notifyOnResolved.
alertRules.0.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 Se asigna directamente desde el campo alertRules.0.notifyOnSnoozed.
alertRules.0.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_0 Se asigna directamente desde el campo alertRules.0.policyScanConfigId.
alertRules.0.scanAll read_only_udm.security_result.detection_fields.scanAll_0 Se asigna directamente desde el campo alertRules.0.scanAll.
alertRules.1.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_1 Se asigna directamente desde el campo alertRules.1.allowAutoRemediate.
alertRules.1.createdBy read_only_udm.principal.user.email_addresses Se asigna directamente desde el campo alertRules.1.createdBy.
alertRules.1.enabled read_only_udm.security_result.detection_fields.enabled_1 Se asigna directamente desde el campo alertRules.1.enabled.
alertRules.1.name read_only_udm.security_result.detection_fields.name_1 Se asigna directamente desde el campo alertRules.1.name.
alertRules.1.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_1 Se asigna directamente desde el campo alertRules.1.notifyOnDismissed.
alertRules.1.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_1 Se asigna directamente desde el campo alertRules.1.notifyOnOpen.
alertRules.1.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_1 Se asigna directamente desde el campo alertRules.1.notifyOnResolved.
alertRules.1.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 Se asigna directamente desde el campo alertRules.1.notifyOnSnoozed.
alertRules.1.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_1 Se asigna directamente desde el campo alertRules.1.policyScanConfigId.
alertRules.1.scanAll read_only_udm.security_result.detection_fields.scanAll_1 Se asigna directamente desde el campo alertRules.1.scanAll.
alertRules.2.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_2 Se asigna directamente desde el campo alertRules.2.allowAutoRemediate.
alertRules.2.createdBy read_only_udm.principal.user.email_addresses Se asigna directamente desde el campo alertRules.2.createdBy.
alertRules.2.enabled read_only_udm.security_result.detection_fields.enabled_2 Se asigna directamente desde el campo alertRules.2.enabled.
alertRules.2.name read_only_udm.security_result.detection_fields.name_2 Se asigna directamente desde el campo alertRules.2.name.
alertRules.2.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_2 Se asigna directamente desde el campo alertRules.2.notifyOnDismissed.
alertRules.2.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_2 Se asigna directamente desde el campo alertRules.2.notifyOnOpen.
alertRules.2.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_2 Se asigna directamente desde el campo alertRules.2.notifyOnResolved.
alertRules.2.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 Se asigna directamente desde el campo alertRules.2.notifyOnSnoozed.
alertRules.2.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_2 Se asigna directamente desde el campo alertRules.2.policyScanConfigId.
alertRules.2.scanAll read_only_udm.security_result.detection_fields.scanAll_2 Se asigna directamente desde el campo alertRules.2.scanAll.
alertRuleId read_only_udm.security_result.rule_id Se asigna directamente desde el campo alertRuleId.
alertRuleName read_only_udm.security_result.rule_name Se asigna directamente desde el campo alertRuleName.
alertStatus read_only_udm.security_result.detection_fields.event message alertStatus Se asigna directamente desde el campo alertStatus en el objeto event_data.msg_data.
alertTs read_only_udm.metadata.event_timestamp.seconds Se asigna directamente desde el campo alertTs después de convertirlo en una marca de tiempo UNIX.
alertTs read_only_udm.metadata.event_timestamp.nanos Se asigna directamente desde el campo alertTs después de convertirlo en una marca de tiempo UNIX.
callbackUrl read_only_udm.metadata.url_back_to_product Se asigna directamente desde el campo callbackUrl.
cloudServiceName read_only_udm.target.resource.attribute.labels.cloudServiceName Se asigna directamente desde el campo cloudServiceName.
cloudType read_only_udm.target.resource.attribute.cloud.environment Se asignó desde el campo cloudType. Si cloudType es "gcp", el valor se establece en "GOOGLE_CLOUD_PLATFORM". Si cloudType es "aws", el valor se establece en "AMAZON_WEB_SERVICES".
complianceMetadata.0.requirementId read_only_udm.security_result.rule_id Se asigna directamente desde el campo complianceMetadata.0.requirementId.
complianceMetadata.0.requirementName read_only_udm.security_result.summary Se asigna directamente desde el campo complianceMetadata.0.requirementName.
complianceMetadata.0.standardName read_only_udm.security_result.rule_name Se asigna directamente desde el campo complianceMetadata.0.standardName.
complianceMetadata.1.requirementId read_only_udm.security_result.rule_id Se asigna directamente desde el campo complianceMetadata.1.requirementId.
complianceMetadata.1.requirementName read_only_udm.security_result.summary Se asigna directamente desde el campo complianceMetadata.1.requirementName.
complianceMetadata.1.standardName read_only_udm.security_result.rule_name Se asigna directamente desde el campo complianceMetadata.1.standardName.
complianceMetadata.2.requirementId read_only_udm.security_result.rule_id Se asigna directamente desde el campo complianceMetadata.2.requirementId.
complianceMetadata.2.requirementName read_only_udm.security_result.summary Se asigna directamente desde el campo complianceMetadata.2.requirementName.
complianceMetadata.2.standardName read_only_udm.security_result.rule_name Se asigna directamente desde el campo complianceMetadata.2.standardName.
complianceMetadata.3.requirementId read_only_udm.security_result.rule_id Se asigna directamente desde el campo complianceMetadata.3.requirementId.
complianceMetadata.3.requirementName read_only_udm.security_result.summary Se asigna directamente desde el campo complianceMetadata.3.requirementName.
complianceMetadata.3.standardName read_only_udm.security_result.rule_name Se asigna directamente desde el campo complianceMetadata.3.standardName.
complianceMetadata.4.requirementId read_only_udm.security_result.rule_id Se asigna directamente desde el campo complianceMetadata.4.requirementId.
complianceMetadata.4.requirementName read_only_udm.security_result.summary Se asigna directamente desde el campo complianceMetadata.4.requirementName.
complianceMetadata.4.standardName read_only_udm.security_result.rule_name Se asigna directamente desde el campo complianceMetadata.4.standardName.
event_data.app read_only_udm.target.application Se asigna directamente desde el campo event_data.app.
event_data.msg_data.account.cloudType read_only_udm.target.resource.attribute.cloud.environment Se asignó desde el campo event_data.msg_data.account.cloudType. Si el valor es "aws", se establece en "AMAZON_WEB_SERVICES".
event_data.msg_data.account.id read_only_udm.target.cloud.project.id Se asigna directamente desde el campo event_data.msg_data.account.id.
event_data.msg_data.account.name read_only_udm.target.cloud.project.name Se asigna directamente desde el campo event_data.msg_data.account.name.
event_data.msg_data.accountIDs read_only_udm.principal.resource.attribute.labels.event message accountId {index} Se asigna directamente desde el array event_data.msg_data.accountIDs.
event_data.msg_data.aggregatedAlerts.0.category read_only_udm.security_result.category_details Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.category.
event_data.msg_data.aggregatedAlerts.0.command read_only_udm.principal.process.command_line Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.command.
event_data.msg_data.aggregatedAlerts.0.collections read_only_udm.target.resource.attribute.labels.Collection {index} Se asigna directamente desde el array event_data.msg_data.aggregatedAlerts.0.collections.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category read_only_udm.security_result.category_details Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description read_only_udm.security_result.description Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity read_only_udm.security_result.severity Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity después de convertirlo a mayúsculas.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title read_only_udm.security_result.action_details Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title.
event_data.msg_data.aggregatedAlerts.0.container read_only_udm.target.resource.name Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.container.
event_data.msg_data.aggregatedAlerts.0.containerID read_only_udm.target.resource.product_object_id Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.containerID.
event_data.msg_data.aggregatedAlerts.0.fqdn read_only_udm.principal.domain.name Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.fqdn.
event_data.msg_data.aggregatedAlerts.0.host read_only_udm.principal.hostname Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.host.
event_data.msg_data.aggregatedAlerts.0.host read_only_udm.principal.asset.hostname Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.host.
event_data.msg_data.aggregatedAlerts.0.image read_only_udm.target.resource.attribute.labels.image Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.image.
event_data.msg_data.aggregatedAlerts.0.imageID read_only_udm.target.resource.attribute.labels.imageID Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.imageID.
event_data.msg_data.aggregatedAlerts.0.labels.controller-uid read_only_udm.target.user.product_object_id Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.labels.controller-uid.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name read_only_udm.target.hostname Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid read_only_udm.target.resource.product_object_id Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid.
event_data.msg_data.aggregatedAlerts.0.msg_data read_only_udm.security_result.description Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.msg_data.
event_data.msg_data.aggregatedAlerts.0.rule read_only_udm.security_result.rule_name Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.rule.
event_data.msg_data.aggregatedAlerts.0.startupProcess read_only_udm.principal.application Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.startupProcess.
event_data.msg_data.aggregatedAlerts.0.time read_only_udm.metadata.event_timestamp.seconds Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.time después de convertirlo en una marca de tiempo UNIX.
event_data.msg_data.aggregatedAlerts.0.time read_only_udm.metadata.event_timestamp.nanos Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.time después de convertirlo en una marca de tiempo UNIX.
event_data.msg_data.aggregatedAlerts.0.type read_only_udm.security_result.category_details Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.type.
event_data.msg_data.aggregatedAlerts.0.user read_only_udm.principal.user.userid Se asigna directamente desde el campo event_data.msg_data.aggregatedAlerts.0.user.
event_data.msg_data.alertId read_only_udm.security_result.detection_fields.event message alertId Se asigna directamente desde el campo event_data.msg_data.alertId.
event_data.msg_data.alertRuleId read_only_udm.security_result.rule_id Se asigna directamente desde el campo event_data.msg_data.alertRuleId.
event_data.msg_data.alertRuleName read_only_udm.security_result.rule_name Se asigna directamente desde el campo event_data.msg_data.alertRuleName.
event_data.msg_data.alertStatus read_only_udm.security_result.detection_fields.event message alertStatus Se asigna directamente desde el campo event_data.msg_data.alertStatus.
event_data.msg_data.alertTs read_only_udm.metadata.event_timestamp.seconds Se asigna directamente desde el campo event_data.msg_data.alertTs después de convertirlo en una marca de tiempo UNIX.
event_data.msg_data.alertTs read_only_udm.metadata.event_timestamp.nanos Se asigna directamente desde el campo event_data.msg_data.alertTs después de convertirlo en una marca de tiempo UNIX.
event_data.msg_data.category read_only_udm.security_result.category_details Se asigna directamente desde el campo event_data.msg_data.category.
event_data.msg_data.collections read_only_udm.target.resource.attribute.labels.Collection {index} Se asigna directamente desde el array event_data.msg_data.collections.
event_data.msg_data.command read_only_udm.principal.process.command_line Se asigna directamente desde el campo event_data.msg_data.command.
event_data.msg_data.complianceIssues.0.category read_only_udm.security_result.category_details Se asigna directamente desde el campo event_data.msg_data.complianceIssues.0.category.
event_data.msg_data.complianceIssues.0.description read_only_udm.security_result.description Se asigna directamente desde el campo event_data.msg_data.complianceIssues.0.description.
event_data.msg_data.complianceIssues.0.severity read_only_udm.security_result.severity Se asigna directamente desde el campo event_data.msg_data.complianceIssues.0.severity después de convertirlo a mayúsculas.
event_data.msg_data.complianceIssues.0.title read_only_udm.security_result.action_details Se asigna directamente desde el campo event_data.msg_data.complianceIssues.0.title.
event_data.msg_data.container read_only_udm.target.resource.name Se asigna directamente desde el campo event_data.msg_data.container.
event_data.msg_data.containerID read_only_udm.target.resource.product_object_id Se asigna directamente desde el campo event_data.msg_data.containerID.
event_data.msg_data.dropped read_only_udm.security_result.detection_fields.dropped Se asigna directamente desde el campo event_data.msg_data.dropped después de convertirlo en una cadena.
event_data.msg_data.fqdn read_only_udm.principal.domain.name Se asigna directamente desde el campo event_data.msg_data.fqdn.
event_data.msg_data.firstSeen read_only_udm.security_result.first_discovered_time.seconds Se asigna directamente desde el campo event_data.msg_data.firstSeen después de convertirlo en una marca de tiempo UNIX.
event_data.msg_data.firstSeen read_only_udm.security_result.first_discovered_time.nanos Se asigna directamente desde el campo event_data.msg_data.firstSeen después de convertirlo en una marca de tiempo UNIX.
event_data.msg_data.host read_only_udm.principal.hostname Se asigna directamente desde el campo event_data.msg_data.host.
event_data.msg_data.host read_only_udm.principal.asset.hostname Se asigna directamente desde el campo event_data.msg_data.host.
event_data.msg_data.image read_only_udm.target.resource.attribute.labels.image Se asigna directamente desde el campo event_data.msg_data.image.
event_data.msg_data.imageID read_only_udm.target.resource.attribute.labels.imageID Se asigna directamente desde el campo event_data.msg_data.imageID.
event_data.msg_data.labels.controller-uid read_only_udm.target.user.product_object_id Se asigna directamente desde el campo event_data.msg_data.labels.controller-uid.
event_data.msg_data.labels.io.kubernetes.pod.name read_only_udm.target.hostname Se asigna directamente desde el campo event_data.msg_data.labels.io.kubernetes.pod.name.
event_data.msg_data.labels.io.kubernetes.pod.uid read_only_udm.target.resource.product_object_id Se asigna directamente desde el campo event_data.msg_data.labels.io.kubernetes.pod.uid.
event_data.msg_data.lastSeen read_only_udm.security_result.last_discovered_time.seconds Se asigna directamente desde el campo event_data.msg_data.lastSeen después de convertirlo en una marca de tiempo UNIX.
event_data.msg_data.lastSeen read_only_udm.security_result.last_discovered_time.nanos Se asigna directamente desde el campo event_data.msg_data.lastSeen después de convertirlo en una marca de tiempo UNIX.
event_data.msg_data.metadata.cveCritical read_only_udm.security_result.detection_fields.event_data metadata cveCritical Se asigna directamente desde el campo event_data.msg_data.metadata.cveCritical.
event_data.msg_data.metadata.cveHigh read_only_udm.security_result.detection_fields.event_data metadata cveHigh Se asigna directamente desde el campo event_data.msg_data.metadata.cveHigh.
event_data.msg_data.metadata.cveLow read_only_udm.security_result.detection_fields.event_data metadata cveLow Se asigna directamente desde el campo event_data.msg_data.metadata.cveLow.
event_data.msg_data.metadata.cveMedium read_only_udm.security_result.detection_fields.event_data metadata cveMedium Se asigna directamente desde el campo event_data.msg_data.metadata.cveMedium.
event_data.msg_data.metadata.source read_only_udm.principal.hostname Se asigna directamente desde el campo event_data.msg_data.metadata.source.
event_data.msg_data.metadata.source read_only_udm.principal.asset.hostname Se asigna directamente desde el campo event_data.msg_data.metadata.source.
event_data.msg_data.msg_data read_only_udm.security_result.description Se asigna directamente desde el campo event_data.msg_data.msg_data.
event_data.msg_data.policy.description read_only_udm.security_result.description Se asigna directamente desde el campo event_data.msg_data.policy.description.
event_data.msg_data.policy.id read_only_udm.security_result.detection_fields.policy_id Se asigna directamente desde el campo event_data.msg_data.policy.id.
event_data.msg_data.policy.name read_only_udm.security_result.summary Se asigna directamente desde el campo event_data.msg_data.policy.name.
event_data.msg_data.policy.policyTs read_only_udm.additional.fields.policy_ts Se asigna directamente desde el campo event_data.msg_data.policy.policyTs.
event_data.msg_data.policy.policyType read_only_udm.security_result.threat_name Se asigna directamente desde el campo event_data.msg_data.policy.policyType.
event_data.msg_data.policy.recommendation read_only_udm.security_result.action_details Se asigna directamente desde el campo event_data.msg_data.policy.recommendation.
event_data.msg_data.policy.severity read_only_udm.security_result.severity Se asigna directamente desde el campo event_data.msg_data.policy.severity después de convertirlo a mayúsculas.
event_data.msg_data.reason read_only_udm.security_result.detection_fields.event message reason Se asigna directamente desde el campo event_data.msg_data.reason.
event_data.msg_data.region read_only_udm.target.cloud.availability_zone Se asigna directamente desde el campo event_data.msg_data.region.
event_data.msg_data.resource.resourceId read_only_udm.target.resource.product_object_id Se asigna directamente desde el campo event_data.msg_data.resource.resourceId.
event_data.msg_data.resource.resourceName read_only_udm.target.resource.name Se asigna directamente desde el campo event_data.msg_data.resource.resourceName.
event_data.msg_data.resource.resourceTs read_only_udm.target.resource.attribute.creation_time.seconds Se asigna directamente desde el campo event_data.msg_data.resource.resourceTs después de convertirlo en una marca de tiempo UNIX.
event_data.msg_data.resource.resourceTs read_only_udm.target.resource.attribute.creation_time.nanos Se asigna directamente desde el campo event_data.msg_data.resource.resourceTs después de convertirlo en una marca de tiempo UNIX.
event_data.msg_data.rule read_only_udm.security_result.rule_name Se asigna directamente desde el campo event_data.msg_data.rule.
event_data.msg_data.service Servicio de mensajes read_only_udm.security_result.detection_fields.event Se asigna directamente desde el campo event_data.msg_data.service.
event_data.msg_data.startupProcess read_only_udm.principal.application Se asigna directamente desde el campo event_data.msg_data.startupProcess.
event_data.msg_data.time read_only_udm.metadata.event_timestamp.seconds Se asigna directamente desde el campo event_data.msg_data.time después de convertirlo en una marca de tiempo UNIX.
event_data.msg_data.time read_only_udm.metadata.event_timestamp.nanos Se asigna directamente desde el campo event_data.msg_data.time después de convertirlo en una marca de tiempo UNIX.
event_data.msg_data.type read_only_udm.security_result.category_details Se asigna directamente desde el campo event_data.msg_data.type.
event_data.sentTs read_only_udm.metadata.event_timestamp.seconds Se asigna directamente desde el campo event_data.sentTs después de convertirlo en una marca de tiempo UNIX.
event_data.sentTs read_only_udm.metadata.event_timestamp.nanos Se asigna directamente desde el campo event_data.sentTs después de convertirlo en una marca de tiempo UNIX.
event_data.type read_only_udm.security_result.category_details Se asigna directamente desde el campo event_data.type.
ipAddress read_only_udm.principal.ip Se asigna directamente desde el campo ipAddress después de extraer la dirección IP con grok.
ipAddress read_only_udm.principal.asset.ip Se asigna directamente desde el campo ipAddress después de extraer la dirección IP con grok.
ipAddress read_only_udm.additional.fields.ipAddress Se asigna directamente desde el campo ipAddress si no es una dirección IP válida.
json_action.0.policy_id read_only_udm.target.resource.attribute.labels.Policy Id 0 Se asigna directamente desde el campo json_action.0.policy_id.
json_action.0.resource_name read_only_udm.target.resource.attribute.labels.Resource Name 0 Se asigna directamente desde el campo json_action.0.resource_name.
json_action.1.policy_id read_only_udm.target.resource.attribute.labels.Policy Id 1 Se asigna directamente desde el campo json_action.1.policy_id.
json_action.1.resource_name read_only_udm.target.resource.attribute.labels.Resource Name 1 Se asigna directamente desde el campo json_action.1.resource_name.
policy.policyId read_only_udm.security_result.rule_id Se asigna directamente desde el campo policy.policyId.
policy.policyType read_only_udm.security_result.rule_type Se asigna directamente desde el campo policy.policyType.
policy.recommendation read_only_udm.metadata.description Se asigna directamente desde el campo policy.recommendation.
policy.severity read_only_udm.security_result.severity Se asignó desde el campo policy.severity. Si el valor es "info", se establece en "INFORMATIONAL".
policyName read_only_udm.metadata.description Se asigna directamente desde el campo policyName.
Reason read_only_udm.metadata.product_event_type Se asigna directamente desde el campo reason.
resource.accountId read_only_udm.target.resource.product_object_id Se asigna directamente desde el campo resource.accountId.
resource.cloudServiceName read_only_udm.target.resource.attribute.labels.cloudServiceName Se asigna directamente desde el campo resource.cloudServiceName.
resource.data.architecture read_only_udm.principal.asset.hardware.cpu_platform Se asigna directamente desde el campo resource.data.architecture.
resource.data.cpuPlatform read_only_udm.additional.fields.CPU Platform Se asigna directamente desde el campo resource.data.cpuPlatform.
resource.data.labelFingerprint read_only_udm.security_result.detection_fields.labelFingerprint Se asigna directamente desde el campo resource.data.labelFingerprint.
resource.data.metadata.items.key read_only_udm.additional.fields.key Se asigna directamente desde el campo resource.data.metadata.items.key.
resource.data.metadata.items.value read_only_udm.additional.fields.value.string_value Se asigna directamente desde el campo resource.data.metadata.items.value.
resource.data.networkInterfaces.0.accessConfigs.0.natIP read_only_udm.target.nat_ip Se asigna directamente desde el campo resource.data.networkInterfaces.0.accessConfigs.0.natIP.
resource.data.networkInterfaces.0.networkIP read_only_udm.target.ip Se asigna directamente desde el campo resource.data.networkInterfaces.0.networkIP.
resource.data.networkInterfaces.0.networkIP read_only_udm.target.asset.ip Se asigna directamente desde el campo resource.data.networkInterfaces.0.networkIP.
resource.data.physicalBlockSizeBytes read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes Se asigna directamente desde el campo resource.data.physicalBlockSizeBytes después de convertirlo en una cadena.
resource.data.selfLink read_only_udm.about.url Se asigna directamente desde el campo resource.data.selfLink.
resource.data.serviceAccounts.0.email read_only_udm.principal.user.email_addresses Se asigna directamente desde el campo resource.data.serviceAccounts.0.email.
resource.data.serviceAccounts.0.email read_only_udm.principal.user.attribute.roles.type Si resource.data.serviceAccounts.0.email contiene "serviceaccount", el valor se establece en "SERVICE_ACCOUNT".
resource.data.sizeGb read_only_udm.principal.resource.attribute.labels.sizeGb Se asigna directamente desde el campo resource.data.sizeGb.
resource.data.sourceImage read_only_udm.principal.resource.attribute.labels.sourceImage Se asigna directamente desde el campo resource.data.sourceImage.
resource.name read_only_udm.target.resource.name Se asigna directamente desde el campo resource.name.
resource.regionId read_only_udm.target.location.country_or_region Se asigna directamente desde "resource

Cambios

2024-03-28

  • Cuando "ipAddress" no es una dirección IP válida, se asigna "ipAddress" a "additional.fields".
  • Cuando "user" es una dirección de correo electrónico válida, se asigna "user" a "target.user.email_addresses".
  • Cuando "user" no es una dirección de correo electrónico válida, se asigna "user" a "target.user.userid".
  • Se asignaron los campos "policy_id" y "resource_name" en el campo "action" a "target.resource.attribute.labels".

2024-02-21

  • Se agregó la verificación "on_error" para el bloque "date".
  • Se asignó "alertRules" a "sec_result.detection_fields".
  • Se asignó "policy.policyId" a "sec_result.rule_id".
  • Se asignó "policy.policyType" a "sec_result.rule_type".
  • Se asignó "policy.severity" a "sec_result.severity".
  • Se asignó "policy.recommendation" a "metadata.description".
  • Se asignó "resource.data.architecture" a "principal.asset.hardware.cpu_platform".
  • Se asignó "resource.name" a "target.resource.name".
  • Se asignó "resource.accountId" a "target.resource.product_object_id".
  • Se asignó "resource.regionId" a "target.location.country_or_region".
  • Se asignó "resource.cloudServiceName" a "target.resource.attribute.labels".
  • Se asignó "resource.resourceApiName" a "target.resource.attribute.labels".
  • Se asignó "alertrule.createdBy" a "principal.user.email_addresses".
  • Se asignó "resource.unifiedAssetId" a "principal.asset.asset_id".
  • Se asignó "resource.data.selfLink" a "about.url".
  • Se asignó "resource.data.sourceImage" a "principal.resource.attribute.labels".
  • Se asignó "resource.data.sizeGb" a "principal.resource.attribute.labels".
  • Se asignó "resource.data.physicalBlockSizeBytes" a "principal.resource.attribute.labels".
  • Se asignó "resource.data.labelFingerprint" a "sec_result.detection_fields".
  • Cuando "reason" sea "NEW_ALERT", establece "metadata.event_type" en "USER_RESOURCE_CREATION".

2024-02-13

  • Se agregó compatibilidad con nuevos registros de clientes.

2022-08-09

  • Se agregó la verificación de conversión condicional para el campo "timestamp".
  • Se agregó la siguiente asignación cuando el valor del campo "resourceType" es "Login":
  • El campo "ipAddress" se asigna a "principal.ip".
  • El campo "user" se asigna a "target.user.email_addresses".
  • El campo "result" se asigna a "security_result.action_details".