Collecter les journaux Palo Alto Prisma Cloud
Compatible avec :
Google SecOps
SIEM
Ce document explique comment collecter les journaux Palo Alto Prisma Cloud en configurant un flux Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion PAN_PRISMA_CLOUD.
Configurer Palo Alto Prisma Cloud
- Connectez-vous à la console Palo Alto Prisma Cloud avec un compte administrateur.
- Dans le menu Paramètres, cliquez sur Clés d'accès.
- Cliquez sur Add New (Ajouter) et saisissez un Name (Nom).
Cliquez sur Créer. Les valeurs ID de clé d'accès et Clé secrète s'affichent.
Enregistrez les valeurs ID de clé d'accès et Clé secrète. Ces valeurs sont requises lorsque vous configurez le flux Google Security Operations.
Configurer des flux
Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :
- Paramètres SIEM> Flux
- Plate-forme de contenu > Packs de contenu
Configurer des flux à partir de Paramètres SIEM > Flux
Pour configurer un flux, procédez comme suit :
- Accédez à Paramètres SIEM > Flux.
- Cliquez sur Add New Feed (Ajouter un flux).
- Sur la page suivante, cliquez sur Configurer un seul flux.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux Palo Alto Prisma Cloud).
- Sélectionnez API tierce comme Type de source.
- Sélectionnez Palo Alto Prisma Cloud comme Type de journal.
- Cliquez sur Suivant.
- Configurez les paramètres d'entrée obligatoires suivants :
- Nom d'utilisateur : spécifiez l'ID de clé d'accès que vous avez obtenu précédemment.
- Mot de passe : spécifiez la clé secrète que vous avez obtenue précédemment.
- Nom d'hôte de l'API : spécifiez le nom d'hôte de l'API.
- Cliquez sur Suivant, puis sur Envoyer.
Configurer des flux depuis le Hub de contenu
Indiquez les valeurs des champs suivants :
- Nom d'utilisateur : spécifiez l'ID de clé d'accès que vous avez obtenu précédemment.
- Mot de passe : spécifiez la clé secrète que vous avez obtenue précédemment.
- Nom d'hôte de l'API : spécifiez le nom d'hôte de l'API.
Options avancées
- Nom du flux : valeur préremplie qui identifie le flux.
- Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
- Espace de noms de l'élément : espace de noms associé au flux.
- Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.
Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences associées à chaque type de flux, consultez Configuration des flux par type.
Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google Security Operations.
Référence du mappage de champs
Ce code d'analyseur extrait les champs des journaux PAN PRISMA CLOUD au format JSON, effectue des transformations et des mappages de données pour structurer les données dans le schéma UDM Chronicle. Il gère différentes structures de messages de journaux, y compris les objets et les tableaux imbriqués, afin de normaliser divers événements de sécurité et informations contextuelles pour l'analyse dans Chronicle.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| accountName | read_only_udm.target.resource.attribute.cloud.project.id | Mappé directement à partir du champ accountName. |
| accountId | read_only_udm.target.hostname | Mappé directement à partir du champ accountId. |
| accountId | read_only_udm.target.asset.hostname | Mappé directement à partir du champ accountId. |
| accountId | read_only_udm.principal.cloud.project.id | Mappé directement à partir du champ accountId dans le tableau aggregatedAlerts. |
| action | read_only_udm.security_result.description | Mappé directement à partir du champ action après suppression de la partie JSON. |
| alertId | read_only_udm.metadata.product_log_id | Mappé directement à partir du champ alertId. |
| alertRules.0.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_0 | Mappé directement à partir du champ alertRules.0.allowAutoRemediate. |
| alertRules.0.enabled | read_only_udm.security_result.detection_fields.enabled_0 | Mappé directement à partir du champ alertRules.0.enabled. |
| alertRules.0.name | read_only_udm.security_result.detection_fields.name_0 | Mappé directement à partir du champ alertRules.0.name. |
| alertRules.0.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_0 | Mappé directement à partir du champ alertRules.0.notifyOnDismissed. |
| alertRules.0.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_0 | Mappé directement à partir du champ alertRules.0.notifyOnOpen. |
| alertRules.0.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_0 | Mappé directement à partir du champ alertRules.0.notifyOnResolved. |
| alertRules.0.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 | Mappé directement à partir du champ alertRules.0.notifyOnSnoozed. |
| alertRules.0.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_0 | Mappé directement à partir du champ alertRules.0.policyScanConfigId. |
| alertRules.0.scanAll | read_only_udm.security_result.detection_fields.scanAll_0 | Mappé directement à partir du champ alertRules.0.scanAll. |
| alertRules.1.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_1 | Mappé directement à partir du champ alertRules.1.allowAutoRemediate. |
| alertRules.1.createdBy | read_only_udm.principal.user.email_addresses | Mappé directement à partir du champ alertRules.1.createdBy. |
| alertRules.1.enabled | read_only_udm.security_result.detection_fields.enabled_1 | Mappé directement à partir du champ alertRules.1.enabled. |
| alertRules.1.name | read_only_udm.security_result.detection_fields.name_1 | Mappé directement à partir du champ alertRules.1.name. |
| alertRules.1.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_1 | Mappé directement à partir du champ alertRules.1.notifyOnDismissed. |
| alertRules.1.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_1 | Mappé directement à partir du champ alertRules.1.notifyOnOpen. |
| alertRules.1.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_1 | Mappé directement à partir du champ alertRules.1.notifyOnResolved. |
| alertRules.1.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 | Mappé directement à partir du champ alertRules.1.notifyOnSnoozed. |
| alertRules.1.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_1 | Mappé directement à partir du champ alertRules.1.policyScanConfigId. |
| alertRules.1.scanAll | read_only_udm.security_result.detection_fields.scanAll_1 | Mappé directement à partir du champ alertRules.1.scanAll. |
| alertRules.2.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_2 | Mappé directement à partir du champ alertRules.2.allowAutoRemediate. |
| alertRules.2.createdBy | read_only_udm.principal.user.email_addresses | Mappé directement à partir du champ alertRules.2.createdBy. |
| alertRules.2.enabled | read_only_udm.security_result.detection_fields.enabled_2 | Mappé directement à partir du champ alertRules.2.enabled. |
| alertRules.2.name | read_only_udm.security_result.detection_fields.name_2 | Mappé directement à partir du champ alertRules.2.name. |
| alertRules.2.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_2 | Mappé directement à partir du champ alertRules.2.notifyOnDismissed. |
| alertRules.2.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_2 | Mappé directement à partir du champ alertRules.2.notifyOnOpen. |
| alertRules.2.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_2 | Mappé directement à partir du champ alertRules.2.notifyOnResolved. |
| alertRules.2.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 | Mappé directement à partir du champ alertRules.2.notifyOnSnoozed. |
| alertRules.2.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_2 | Mappé directement à partir du champ alertRules.2.policyScanConfigId. |
| alertRules.2.scanAll | read_only_udm.security_result.detection_fields.scanAll_2 | Mappé directement à partir du champ alertRules.2.scanAll. |
| alertRuleId | read_only_udm.security_result.rule_id | Mappé directement à partir du champ alertRuleId. |
| alertRuleName | read_only_udm.security_result.rule_name | Mappé directement à partir du champ alertRuleName. |
| alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | Mappé directement à partir du champ alertStatus dans l'objet event_data.msg_data. |
| alertTs | read_only_udm.metadata.event_timestamp.seconds | Directement mappé à partir du champ alertTs après conversion en code temporel UNIX. |
| alertTs | read_only_udm.metadata.event_timestamp.nanos | Directement mappé à partir du champ alertTs après conversion en code temporel UNIX. |
| callbackUrl | read_only_udm.metadata.url_back_to_product | Mappé directement à partir du champ callbackUrl. |
| cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | Mappé directement à partir du champ cloudServiceName. |
| cloudType | read_only_udm.target.resource.attribute.cloud.environment | Mappé à partir du champ cloudType. Si cloudType est défini sur "gcp", la valeur est définie sur "GOOGLE_CLOUD_PLATFORM". Si cloudType est défini sur "aws", la valeur est définie sur "AMAZON_WEB_SERVICES". |
| complianceMetadata.0.requirementId | read_only_udm.security_result.rule_id | Mappé directement à partir du champ complianceMetadata.0.requirementId. |
| complianceMetadata.0.requirementName | read_only_udm.security_result.summary | Mappé directement à partir du champ complianceMetadata.0.requirementName. |
| complianceMetadata.0.standardName | read_only_udm.security_result.rule_name | Mappé directement à partir du champ complianceMetadata.0.standardName. |
| complianceMetadata.1.requirementId | read_only_udm.security_result.rule_id | Mappé directement à partir du champ complianceMetadata.1.requirementId. |
| complianceMetadata.1.requirementName | read_only_udm.security_result.summary | Mappé directement à partir du champ complianceMetadata.1.requirementName. |
| complianceMetadata.1.standardName | read_only_udm.security_result.rule_name | Mappé directement à partir du champ complianceMetadata.1.standardName. |
| complianceMetadata.2.requirementId | read_only_udm.security_result.rule_id | Mappé directement à partir du champ complianceMetadata.2.requirementId. |
| complianceMetadata.2.requirementName | read_only_udm.security_result.summary | Mappé directement à partir du champ complianceMetadata.2.requirementName. |
| complianceMetadata.2.standardName | read_only_udm.security_result.rule_name | Mappé directement à partir du champ complianceMetadata.2.standardName. |
| complianceMetadata.3.requirementId | read_only_udm.security_result.rule_id | Mappé directement à partir du champ complianceMetadata.3.requirementId. |
| complianceMetadata.3.requirementName | read_only_udm.security_result.summary | Mappé directement à partir du champ complianceMetadata.3.requirementName. |
| complianceMetadata.3.standardName | read_only_udm.security_result.rule_name | Mappé directement à partir du champ complianceMetadata.3.standardName. |
| complianceMetadata.4.requirementId | read_only_udm.security_result.rule_id | Mappé directement à partir du champ complianceMetadata.4.requirementId. |
| complianceMetadata.4.requirementName | read_only_udm.security_result.summary | Mappé directement à partir du champ complianceMetadata.4.requirementName. |
| complianceMetadata.4.standardName | read_only_udm.security_result.rule_name | Mappé directement à partir du champ complianceMetadata.4.standardName. |
| event_data.app | read_only_udm.target.application | Mappé directement à partir du champ event_data.app. |
| event_data.msg_data.account.cloudType | read_only_udm.target.resource.attribute.cloud.environment | Mappé à partir du champ event_data.msg_data.account.cloudType. Si la valeur est "aws", elle est définie sur "AMAZON_WEB_SERVICES". |
| event_data.msg_data.account.id | read_only_udm.target.cloud.project.id | Mappé directement à partir du champ event_data.msg_data.account.id. |
| event_data.msg_data.account.name | read_only_udm.target.cloud.project.name | Mappé directement à partir du champ event_data.msg_data.account.name. |
| event_data.msg_data.accountIDs | read_only_udm.principal.resource.attribute.labels.event message accountId {index} | Mappé directement à partir du tableau event_data.msg_data.accountIDs. |
| event_data.msg_data.aggregatedAlerts.0.category | read_only_udm.security_result.category_details | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.category. |
| event_data.msg_data.aggregatedAlerts.0.command | read_only_udm.principal.process.command_line | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.command. |
| event_data.msg_data.aggregatedAlerts.0.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | Mappé directement à partir du tableau event_data.msg_data.aggregatedAlerts.0.collections. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category | read_only_udm.security_result.category_details | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description | read_only_udm.security_result.description | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity | read_only_udm.security_result.severity | Directement mappé à partir du champ event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity après conversion en majuscules. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title | read_only_udm.security_result.action_details | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title. |
| event_data.msg_data.aggregatedAlerts.0.container | read_only_udm.target.resource.name | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.container. |
| event_data.msg_data.aggregatedAlerts.0.containerID | read_only_udm.target.resource.product_object_id | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.containerID. |
| event_data.msg_data.aggregatedAlerts.0.fqdn | read_only_udm.principal.domain.name | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.fqdn. |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.hostname | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.host. |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.asset.hostname | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.host. |
| event_data.msg_data.aggregatedAlerts.0.image | read_only_udm.target.resource.attribute.labels.image | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.image. |
| event_data.msg_data.aggregatedAlerts.0.imageID | read_only_udm.target.resource.attribute.labels.imageID | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.imageID. |
| event_data.msg_data.aggregatedAlerts.0.labels.controller-uid | read_only_udm.target.user.product_object_id | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.labels.controller-uid. |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name. |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid. |
| event_data.msg_data.aggregatedAlerts.0.msg_data | read_only_udm.security_result.description | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.msg_data. |
| event_data.msg_data.aggregatedAlerts.0.rule | read_only_udm.security_result.rule_name | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.rule. |
| event_data.msg_data.aggregatedAlerts.0.startupProcess | read_only_udm.principal.application | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.startupProcess. |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.seconds | Directement mappé à partir du champ event_data.msg_data.aggregatedAlerts.0.time après conversion en code temporel UNIX. |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.nanos | Directement mappé à partir du champ event_data.msg_data.aggregatedAlerts.0.time après conversion en code temporel UNIX. |
| event_data.msg_data.aggregatedAlerts.0.type | read_only_udm.security_result.category_details | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.type. |
| event_data.msg_data.aggregatedAlerts.0.user | read_only_udm.principal.user.userid | Mappé directement à partir du champ event_data.msg_data.aggregatedAlerts.0.user. |
| event_data.msg_data.alertId | read_only_udm.security_result.detection_fields.event message alertId | Mappé directement à partir du champ event_data.msg_data.alertId. |
| event_data.msg_data.alertRuleId | read_only_udm.security_result.rule_id | Mappé directement à partir du champ event_data.msg_data.alertRuleId. |
| event_data.msg_data.alertRuleName | read_only_udm.security_result.rule_name | Mappé directement à partir du champ event_data.msg_data.alertRuleName. |
| event_data.msg_data.alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | Mappé directement à partir du champ event_data.msg_data.alertStatus. |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.seconds | Directement mappé à partir du champ event_data.msg_data.alertTs après conversion en code temporel UNIX. |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.nanos | Directement mappé à partir du champ event_data.msg_data.alertTs après conversion en code temporel UNIX. |
| event_data.msg_data.category | read_only_udm.security_result.category_details | Mappé directement à partir du champ event_data.msg_data.category. |
| event_data.msg_data.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | Mappé directement à partir du tableau event_data.msg_data.collections. |
| event_data.msg_data.command | read_only_udm.principal.process.command_line | Mappé directement à partir du champ event_data.msg_data.command. |
| event_data.msg_data.complianceIssues.0.category | read_only_udm.security_result.category_details | Mappé directement à partir du champ event_data.msg_data.complianceIssues.0.category. |
| event_data.msg_data.complianceIssues.0.description | read_only_udm.security_result.description | Mappé directement à partir du champ event_data.msg_data.complianceIssues.0.description. |
| event_data.msg_data.complianceIssues.0.severity | read_only_udm.security_result.severity | Directement mappé à partir du champ event_data.msg_data.complianceIssues.0.severity après conversion en majuscules. |
| event_data.msg_data.complianceIssues.0.title | read_only_udm.security_result.action_details | Mappé directement à partir du champ event_data.msg_data.complianceIssues.0.title. |
| event_data.msg_data.container | read_only_udm.target.resource.name | Mappé directement à partir du champ event_data.msg_data.container. |
| event_data.msg_data.containerID | read_only_udm.target.resource.product_object_id | Mappé directement à partir du champ event_data.msg_data.containerID. |
| event_data.msg_data.dropped | read_only_udm.security_result.detection_fields.dropped | Mappé directement à partir du champ event_data.msg_data.dropped après conversion en chaîne. |
| event_data.msg_data.fqdn | read_only_udm.principal.domain.name | Mappé directement à partir du champ event_data.msg_data.fqdn. |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.seconds | Directement mappé à partir du champ event_data.msg_data.firstSeen après conversion en code temporel UNIX. |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.nanos | Directement mappé à partir du champ event_data.msg_data.firstSeen après conversion en code temporel UNIX. |
| event_data.msg_data.host | read_only_udm.principal.hostname | Mappé directement à partir du champ event_data.msg_data.host. |
| event_data.msg_data.host | read_only_udm.principal.asset.hostname | Mappé directement à partir du champ event_data.msg_data.host. |
| event_data.msg_data.image | read_only_udm.target.resource.attribute.labels.image | Mappé directement à partir du champ event_data.msg_data.image. |
| event_data.msg_data.imageID | read_only_udm.target.resource.attribute.labels.imageID | Mappé directement à partir du champ event_data.msg_data.imageID. |
| event_data.msg_data.labels.controller-uid | read_only_udm.target.user.product_object_id | Mappé directement à partir du champ event_data.msg_data.labels.controller-uid. |
| event_data.msg_data.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | Mappé directement à partir du champ event_data.msg_data.labels.io.kubernetes.pod.name. |
| event_data.msg_data.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | Mappé directement à partir du champ event_data.msg_data.labels.io.kubernetes.pod.uid. |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.seconds | Directement mappé à partir du champ event_data.msg_data.lastSeen après conversion en code temporel UNIX. |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.nanos | Directement mappé à partir du champ event_data.msg_data.lastSeen après conversion en code temporel UNIX. |
| event_data.msg_data.metadata.cveCritical | read_only_udm.security_result.detection_fields.event_data metadata cveCritical | Mappé directement à partir du champ event_data.msg_data.metadata.cveCritical. |
| event_data.msg_data.metadata.cveHigh | read_only_udm.security_result.detection_fields.event_data metadata cveHigh | Mappé directement à partir du champ event_data.msg_data.metadata.cveHigh. |
| event_data.msg_data.metadata.cveLow | read_only_udm.security_result.detection_fields.event_data metadata cveLow | Mappé directement à partir du champ event_data.msg_data.metadata.cveLow. |
| event_data.msg_data.metadata.cveMedium | read_only_udm.security_result.detection_fields.event_data metadata cveMedium | Mappé directement à partir du champ event_data.msg_data.metadata.cveMedium. |
| event_data.msg_data.metadata.source | read_only_udm.principal.hostname | Mappé directement à partir du champ event_data.msg_data.metadata.source. |
| event_data.msg_data.metadata.source | read_only_udm.principal.asset.hostname | Mappé directement à partir du champ event_data.msg_data.metadata.source. |
| event_data.msg_data.msg_data | read_only_udm.security_result.description | Mappé directement à partir du champ event_data.msg_data.msg_data. |
| event_data.msg_data.policy.description | read_only_udm.security_result.description | Mappé directement à partir du champ event_data.msg_data.policy.description. |
| event_data.msg_data.policy.id | read_only_udm.security_result.detection_fields.policy_id | Mappé directement à partir du champ event_data.msg_data.policy.id. |
| event_data.msg_data.policy.name | read_only_udm.security_result.summary | Mappé directement à partir du champ event_data.msg_data.policy.name. |
| event_data.msg_data.policy.policyTs | read_only_udm.additional.fields.policy_ts | Mappé directement à partir du champ event_data.msg_data.policy.policyTs. |
| event_data.msg_data.policy.policyType | read_only_udm.security_result.threat_name | Mappé directement à partir du champ event_data.msg_data.policy.policyType. |
| event_data.msg_data.policy.recommendation | read_only_udm.security_result.action_details | Mappé directement à partir du champ event_data.msg_data.policy.recommendation. |
| event_data.msg_data.policy.severity | read_only_udm.security_result.severity | Directement mappé à partir du champ event_data.msg_data.policy.severity après conversion en majuscules. |
| event_data.msg_data.reason | read_only_udm.security_result.detection_fields.event message reason | Mappé directement à partir du champ event_data.msg_data.reason. |
| event_data.msg_data.region | read_only_udm.target.cloud.availability_zone | Mappé directement à partir du champ event_data.msg_data.region. |
| event_data.msg_data.resource.resourceId | read_only_udm.target.resource.product_object_id | Mappé directement à partir du champ event_data.msg_data.resource.resourceId. |
| event_data.msg_data.resource.resourceName | read_only_udm.target.resource.name | Mappé directement à partir du champ event_data.msg_data.resource.resourceName. |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.seconds | Directement mappé à partir du champ event_data.msg_data.resource.resourceTs après conversion en code temporel UNIX. |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.nanos | Directement mappé à partir du champ event_data.msg_data.resource.resourceTs après conversion en code temporel UNIX. |
| event_data.msg_data.rule | read_only_udm.security_result.rule_name | Mappé directement à partir du champ event_data.msg_data.rule. |
| event_data.msg_data.service | read_only_udm.security_result.detection_fields.event message service | Mappé directement à partir du champ event_data.msg_data.service. |
| event_data.msg_data.startupProcess | read_only_udm.principal.application | Mappé directement à partir du champ event_data.msg_data.startupProcess. |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.seconds | Directement mappé à partir du champ event_data.msg_data.time après conversion en code temporel UNIX. |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.nanos | Directement mappé à partir du champ event_data.msg_data.time après conversion en code temporel UNIX. |
| event_data.msg_data.type | read_only_udm.security_result.category_details | Mappé directement à partir du champ event_data.msg_data.type. |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.seconds | Directement mappé à partir du champ event_data.sentTs après conversion en code temporel UNIX. |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.nanos | Directement mappé à partir du champ event_data.sentTs après conversion en code temporel UNIX. |
| event_data.type | read_only_udm.security_result.category_details | Mappé directement à partir du champ event_data.type. |
| ipAddress | read_only_udm.principal.ip | Directement mappé à partir du champ ipAddress après extraction de l'adresse IP à l'aide de grok. |
| ipAddress | read_only_udm.principal.asset.ip | Directement mappé à partir du champ ipAddress après extraction de l'adresse IP à l'aide de grok. |
| ipAddress | read_only_udm.additional.fields.ipAddress | Mappé directement à partir du champ ipAddress s'il ne s'agit pas d'une adresse IP valide. |
| json_action.0.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 0 | Mappé directement à partir du champ json_action.0.policy_id. |
| json_action.0.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 0 | Mappé directement à partir du champ json_action.0.resource_name. |
| json_action.1.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 1 | Mappé directement à partir du champ json_action.1.policy_id. |
| json_action.1.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 1 | Mappé directement à partir du champ json_action.1.resource_name. |
| policy.policyId | read_only_udm.security_result.rule_id | Mappé directement à partir du champ policy.policyId. |
| policy.policyType | read_only_udm.security_result.rule_type | Mappé directement à partir du champ policy.policyType. |
| policy.recommendation | read_only_udm.metadata.description | Mappé directement à partir du champ policy.recommendation. |
| policy.severity | read_only_udm.security_result.severity | Mappé à partir du champ policy.severity. Si la valeur est "info", elle est définie sur "INFORMATIONAL". |
| policyName | read_only_udm.metadata.description | Mappé directement à partir du champ policyName. |
| reason | read_only_udm.metadata.product_event_type | Mappé directement à partir du champ reason. |
| resource.accountId | read_only_udm.target.resource.product_object_id | Mappé directement à partir du champ resource.accountId. |
| resource.cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | Mappé directement à partir du champ resource.cloudServiceName. |
| resource.data.architecture | read_only_udm.principal.asset.hardware.cpu_platform | Mappé directement à partir du champ resource.data.architecture. |
| resource.data.cpuPlatform | read_only_udm.additional.fields.CPU Platform | Mappé directement à partir du champ resource.data.cpuPlatform. |
| resource.data.labelFingerprint | read_only_udm.security_result.detection_fields.labelFingerprint | Mappé directement à partir du champ resource.data.labelFingerprint. |
| resource.data.metadata.items.key | read_only_udm.additional.fields.key | Mappé directement à partir du champ resource.data.metadata.items.key. |
| resource.data.metadata.items.value | read_only_udm.additional.fields.value.string_value | Mappé directement à partir du champ resource.data.metadata.items.value. |
| resource.data.networkInterfaces.0.accessConfigs.0.natIP | read_only_udm.target.nat_ip | Mappé directement à partir du champ resource.data.networkInterfaces.0.accessConfigs.0.natIP. |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.ip | Mappé directement à partir du champ resource.data.networkInterfaces.0.networkIP. |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.asset.ip | Mappé directement à partir du champ resource.data.networkInterfaces.0.networkIP. |
| resource.data.physicalBlockSizeBytes | read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes | Mappé directement à partir du champ resource.data.physicalBlockSizeBytes après conversion en chaîne. |
| resource.data.selfLink | read_only_udm.about.url | Mappé directement à partir du champ resource.data.selfLink. |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.email_addresses | Mappé directement à partir du champ resource.data.serviceAccounts.0.email. |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.attribute.roles.type | Si resource.data.serviceAccounts.0.email contient "serviceaccount", la valeur est définie sur "SERVICE_ACCOUNT". |
| resource.data.sizeGb | read_only_udm.principal.resource.attribute.labels.sizeGb | Mappé directement à partir du champ resource.data.sizeGb. |
| resource.data.sourceImage | read_only_udm.principal.resource.attribute.labels.sourceImage | Mappé directement à partir du champ resource.data.sourceImage. |
| resource.name | read_only_udm.target.resource.name | Mappé directement à partir du champ resource.name. |
| resource.regionId | read_only_udm.target.location.country_or_region | Mappé directement à partir de "resource |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.