Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Palo Alto Prisma Cloud

Compatible avec:

Google SecOps SIEM

Ce document explique comment collecter les journaux Palo Alto Prisma Cloud en configurant un flux Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion PAN_PRISMA_CLOUD.

Configurer Palo Alto Prisma Cloud

Connectez-vous à la console Palo Alto Prisma Cloud avec un compte administrateur.
Dans le menu Settings (Paramètres), cliquez sur Access Keys (Clés d'accès).
Cliquez sur Ajouter, puis saisissez un nom.
Cliquez sur Créer. Les valeurs ID de clé d'accès et Clé secrète s'affichent.

Remarque :Expiration de la clé est facultatif. Si cette option est sélectionnée, partagez la nouvelle clé avec Google Security Operations. Sinon, la collecte des journaux est affectée.
Enregistrez les valeurs ID de clé d'accès et Clé secrète. Ces valeurs sont obligatoires lorsque vous configurez le flux Google Security Operations.

Configurer un flux Google Security Operations pour ingérer les journaux Palo Alto Prisma Cloud

Accédez à Paramètres du SIEM > Flux.
Cliquez sur Add New (Ajouter nouveau).
Saisissez un nom unique dans le champ Nom du champ.
Sélectionnez API tierce comme Type de source.
Sélectionnez Palo Alto Prisma Cloud comme Type de journal.
Cliquez sur Suivant.
Configurez les paramètres d'entrée obligatoires suivants :
- Nom d'utilisateur: spécifiez l'ID de clé d'accès que vous avez obtenu précédemment.
- Mot de passe:spécifiez la clé secrète que vous avez obtenue précédemment.
- Nom d'hôte de l'API: spécifiez le nom d'hôte de l'API.
Cliquez sur Suivant, puis sur Envoyer.

Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences associées à chaque type de flux, consultez la section Configuration des flux par type.

Si vous rencontrez des problèmes lorsque vous créez des flux, contactez l'assistance Google Security Operations.

Référence du mappage de champs

Ce code d'analyseur extrait des champs à partir des journaux PAN PRISMA CLOUD au format JSON, effectue des transformations et des mises en correspondance de données pour les structurer dans le schéma UDM de Chronicle. Il gère diverses structures de messages de journal, y compris des objets et des tableaux imbriqués, pour normaliser divers événements de sécurité et informations contextuelles à des fins d'analyse dans Chronicle.

Tableau de mappage UDM

Champ de journal	Mappage UDM	Logique
accountName	read_only_udm.target.resource.attribute.cloud.project.id	Mappé directement à partir du champ `accountName`.
accountId	read_only_udm.target.hostname	Mappé directement à partir du champ `accountId`.
accountId	read_only_udm.target.asset.hostname	Mappé directement à partir du champ `accountId`.
accountId	read_only_udm.principal.cloud.project.id	Mappé directement à partir du champ `accountId` dans le tableau `aggregatedAlerts`.
action	read_only_udm.security_result.description	Mappé directement à partir du champ `action` après suppression de la partie JSON.
alertId	read_only_udm.metadata.product_log_id	Mappé directement à partir du champ `alertId`.
alertRules.0.allowAutoRemediate	read_only_udm.security_result.detection_fields.allowAutoRemediate_0	Mappé directement à partir du champ `alertRules.0.allowAutoRemediate`.
alertRules.0.enabled	read_only_udm.security_result.detection_fields.enabled_0	Mappé directement à partir du champ `alertRules.0.enabled`.
alertRules.0.name	read_only_udm.security_result.detection_fields.name_0	Mappé directement à partir du champ `alertRules.0.name`.
alertRules.0.notifyOnDismissed	read_only_udm.security_result.detection_fields.notifyOnDismissed_0	Mappé directement à partir du champ `alertRules.0.notifyOnDismissed`.
alertRules.0.notifyOnOpen	read_only_udm.security_result.detection_fields.notifyOnOpen_0	Mappé directement à partir du champ `alertRules.0.notifyOnOpen`.
alertRules.0.notifyOnResolved	read_only_udm.security_result.detection_fields.notifyOnResolved_0	Mappé directement à partir du champ `alertRules.0.notifyOnResolved`.
alertRules.0.notifyOnSnoozed	read_only_udm.security_result.detection_fields.notifyOnSnoozed_0	Mappé directement à partir du champ `alertRules.0.notifyOnSnoozed`.
alertRules.0.policyScanConfigId	read_only_udm.security_result.detection_fields.policyScanConfigId_0	Mappé directement à partir du champ `alertRules.0.policyScanConfigId`.
alertRules.0.scanAll	read_only_udm.security_result.detection_fields.scanAll_0	Mappé directement à partir du champ `alertRules.0.scanAll`.
alertRules.1.allowAutoRemediate	read_only_udm.security_result.detection_fields.allowAutoRemediate_1	Mappé directement à partir du champ `alertRules.1.allowAutoRemediate`.
alertRules.1.createdBy	read_only_udm.principal.user.email_addresses	Mappé directement à partir du champ `alertRules.1.createdBy`.
alertRules.1.enabled	read_only_udm.security_result.detection_fields.enabled_1	Mappé directement à partir du champ `alertRules.1.enabled`.
alertRules.1.name	read_only_udm.security_result.detection_fields.name_1	Mappé directement à partir du champ `alertRules.1.name`.
alertRules.1.notifyOnDismissed	read_only_udm.security_result.detection_fields.notifyOnDismissed_1	Mappé directement à partir du champ `alertRules.1.notifyOnDismissed`.
alertRules.1.notifyOnOpen	read_only_udm.security_result.detection_fields.notifyOnOpen_1	Mappé directement à partir du champ `alertRules.1.notifyOnOpen`.
alertRules.1.notifyOnResolved	read_only_udm.security_result.detection_fields.notifyOnResolved_1	Mappé directement à partir du champ `alertRules.1.notifyOnResolved`.
alertRules.1.notifyOnSnoozed	read_only_udm.security_result.detection_fields.notifyOnSnoozed_1	Mappé directement à partir du champ `alertRules.1.notifyOnSnoozed`.
alertRules.1.policyScanConfigId	read_only_udm.security_result.detection_fields.policyScanConfigId_1	Mappé directement à partir du champ `alertRules.1.policyScanConfigId`.
alertRules.1.scanAll	read_only_udm.security_result.detection_fields.scanAll_1	Mappé directement à partir du champ `alertRules.1.scanAll`.
alertRules.2.allowAutoRemediate	read_only_udm.security_result.detection_fields.allowAutoRemediate_2	Mappé directement à partir du champ `alertRules.2.allowAutoRemediate`.
alertRules.2.createdBy	read_only_udm.principal.user.email_addresses	Mappé directement à partir du champ `alertRules.2.createdBy`.
alertRules.2.enabled	read_only_udm.security_result.detection_fields.enabled_2	Mappé directement à partir du champ `alertRules.2.enabled`.
alertRules.2.name	read_only_udm.security_result.detection_fields.name_2	Mappé directement à partir du champ `alertRules.2.name`.
alertRules.2.notifyOnDismissed	read_only_udm.security_result.detection_fields.notifyOnDismissed_2	Mappé directement à partir du champ `alertRules.2.notifyOnDismissed`.
alertRules.2.notifyOnOpen	read_only_udm.security_result.detection_fields.notifyOnOpen_2	Mappé directement à partir du champ `alertRules.2.notifyOnOpen`.
alertRules.2.notifyOnResolved	read_only_udm.security_result.detection_fields.notifyOnResolved_2	Mappé directement à partir du champ `alertRules.2.notifyOnResolved`.
alertRules.2.notifyOnSnoozed	read_only_udm.security_result.detection_fields.notifyOnSnoozed_2	Mappé directement à partir du champ `alertRules.2.notifyOnSnoozed`.
alertRules.2.policyScanConfigId	read_only_udm.security_result.detection_fields.policyScanConfigId_2	Mappé directement à partir du champ `alertRules.2.policyScanConfigId`.
alertRules.2.scanAll	read_only_udm.security_result.detection_fields.scanAll_2	Mappé directement à partir du champ `alertRules.2.scanAll`.
alertRuleId	read_only_udm.security_result.rule_id	Mappé directement à partir du champ `alertRuleId`.
alertRuleName	read_only_udm.security_result.rule_name	Mappé directement à partir du champ `alertRuleName`.
alertStatus	read_only_udm.security_result.detection_fields.event message alertStatus	Mappé directement à partir du champ `alertStatus` dans l'objet `event_data.msg_data`.
alertTs	read_only_udm.metadata.event_timestamp.seconds	Mappé directement à partir du champ `alertTs` après conversion en code temporel UNIX.
alertTs	read_only_udm.metadata.event_timestamp.nanos	Mappé directement à partir du champ `alertTs` après conversion en code temporel UNIX.
callbackUrl	read_only_udm.metadata.url_back_to_product	Mappé directement à partir du champ `callbackUrl`.
cloudServiceName	read_only_udm.target.resource.attribute.labels.cloudServiceName	Mappé directement à partir du champ `cloudServiceName`.
cloudType	read_only_udm.target.resource.attribute.cloud.environment	Mappé à partir du champ `cloudType`. Si `cloudType` est "gcp", la valeur est définie sur "GOOGLE_CLOUD_PLATFORM". Si `cloudType` est "aws", la valeur est définie sur "AMAZON_WEB_SERVICES".
complianceMetadata.0.requirementId	read_only_udm.security_result.rule_id	Mappé directement à partir du champ `complianceMetadata.0.requirementId`.
complianceMetadata.0.requirementName	read_only_udm.security_result.summary	Mappé directement à partir du champ `complianceMetadata.0.requirementName`.
complianceMetadata.0.standardName	read_only_udm.security_result.rule_name	Mappé directement à partir du champ `complianceMetadata.0.standardName`.
complianceMetadata.1.requirementId	read_only_udm.security_result.rule_id	Mappé directement à partir du champ `complianceMetadata.1.requirementId`.
complianceMetadata.1.requirementName	read_only_udm.security_result.summary	Mappé directement à partir du champ `complianceMetadata.1.requirementName`.
complianceMetadata.1.standardName	read_only_udm.security_result.rule_name	Mappé directement à partir du champ `complianceMetadata.1.standardName`.
complianceMetadata.2.requirementId	read_only_udm.security_result.rule_id	Mappé directement à partir du champ `complianceMetadata.2.requirementId`.
complianceMetadata.2.requirementName	read_only_udm.security_result.summary	Mappé directement à partir du champ `complianceMetadata.2.requirementName`.
complianceMetadata.2.standardName	read_only_udm.security_result.rule_name	Mappé directement à partir du champ `complianceMetadata.2.standardName`.
complianceMetadata.3.requirementId	read_only_udm.security_result.rule_id	Mappé directement à partir du champ `complianceMetadata.3.requirementId`.
complianceMetadata.3.requirementName	read_only_udm.security_result.summary	Mappé directement à partir du champ `complianceMetadata.3.requirementName`.
complianceMetadata.3.standardName	read_only_udm.security_result.rule_name	Mappé directement à partir du champ `complianceMetadata.3.standardName`.
complianceMetadata.4.requirementId	read_only_udm.security_result.rule_id	Mappé directement à partir du champ `complianceMetadata.4.requirementId`.
complianceMetadata.4.requirementName	read_only_udm.security_result.summary	Mappé directement à partir du champ `complianceMetadata.4.requirementName`.
complianceMetadata.4.standardName	read_only_udm.security_result.rule_name	Mappé directement à partir du champ `complianceMetadata.4.standardName`.
event_data.app	read_only_udm.target.application	Mappé directement à partir du champ `event_data.app`.
event_data.msg_data.account.cloudType	read_only_udm.target.resource.attribute.cloud.environment	Mappé à partir du champ `event_data.msg_data.account.cloudType`. Si la valeur est "aws", elle est définie sur "AMAZON_WEB_SERVICES".
event_data.msg_data.account.id	read_only_udm.target.cloud.project.id	Mappé directement à partir du champ `event_data.msg_data.account.id`.
event_data.msg_data.account.name	read_only_udm.target.cloud.project.name	Mappé directement à partir du champ `event_data.msg_data.account.name`.
event_data.msg_data.accountIDs	read_only_udm.principal.resource.attribute.labels.event message accountId {index}	Mappé directement à partir du tableau `event_data.msg_data.accountIDs`.
event_data.msg_data.aggregatedAlerts.0.category	read_only_udm.security_result.category_details	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.category`.
event_data.msg_data.aggregatedAlerts.0.command	read_only_udm.principal.process.command_line	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.command`.
event_data.msg_data.aggregatedAlerts.0.collections	read_only_udm.target.resource.attribute.labels.Collection {index}	Mappé directement à partir du tableau `event_data.msg_data.aggregatedAlerts.0.collections`.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category	read_only_udm.security_result.category_details	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category`.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description	read_only_udm.security_result.description	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description`.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity	read_only_udm.security_result.severity	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity` après conversion en majuscules.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title	read_only_udm.security_result.action_details	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title`.
event_data.msg_data.aggregatedAlerts.0.container	read_only_udm.target.resource.name	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.container`.
event_data.msg_data.aggregatedAlerts.0.containerID	read_only_udm.target.resource.product_object_id	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.containerID`.
event_data.msg_data.aggregatedAlerts.0.fqdn	read_only_udm.principal.domain.name	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.fqdn`.
event_data.msg_data.aggregatedAlerts.0.host	read_only_udm.principal.hostname	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.host`.
event_data.msg_data.aggregatedAlerts.0.host	read_only_udm.principal.asset.hostname	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.host`.
event_data.msg_data.aggregatedAlerts.0.image	read_only_udm.target.resource.attribute.labels.image	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.image`.
event_data.msg_data.aggregatedAlerts.0.imageID	read_only_udm.target.resource.attribute.labels.imageID	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.imageID`.
event_data.msg_data.aggregatedAlerts.0.labels.controller-uid	read_only_udm.target.user.product_object_id	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.labels.controller-uid`.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name	read_only_udm.target.hostname	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name`.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid	read_only_udm.target.resource.product_object_id	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid`.
event_data.msg_data.aggregatedAlerts.0.msg_data	read_only_udm.security_result.description	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.msg_data`.
event_data.msg_data.aggregatedAlerts.0.rule	read_only_udm.security_result.rule_name	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.rule`.
event_data.msg_data.aggregatedAlerts.0.startupProcess	read_only_udm.principal.application	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.startupProcess`.
event_data.msg_data.aggregatedAlerts.0.time	read_only_udm.metadata.event_timestamp.seconds	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.time` après conversion en code temporel UNIX.
event_data.msg_data.aggregatedAlerts.0.time	read_only_udm.metadata.event_timestamp.nanos	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.time` après conversion en code temporel UNIX.
event_data.msg_data.aggregatedAlerts.0.type	read_only_udm.security_result.category_details	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.type`.
event_data.msg_data.aggregatedAlerts.0.user	read_only_udm.principal.user.userid	Mappé directement à partir du champ `event_data.msg_data.aggregatedAlerts.0.user`.
event_data.msg_data.alertId	read_only_udm.security_result.detection_fields.event message alertId	Mappé directement à partir du champ `event_data.msg_data.alertId`.
event_data.msg_data.alertRuleId	read_only_udm.security_result.rule_id	Mappé directement à partir du champ `event_data.msg_data.alertRuleId`.
event_data.msg_data.alertRuleName	read_only_udm.security_result.rule_name	Mappé directement à partir du champ `event_data.msg_data.alertRuleName`.
event_data.msg_data.alertStatus	read_only_udm.security_result.detection_fields.event message alertStatus	Mappé directement à partir du champ `event_data.msg_data.alertStatus`.
event_data.msg_data.alertTs	read_only_udm.metadata.event_timestamp.seconds	Mappé directement à partir du champ `event_data.msg_data.alertTs` après conversion en code temporel UNIX.
event_data.msg_data.alertTs	read_only_udm.metadata.event_timestamp.nanos	Mappé directement à partir du champ `event_data.msg_data.alertTs` après conversion en code temporel UNIX.
event_data.msg_data.category	read_only_udm.security_result.category_details	Mappé directement à partir du champ `event_data.msg_data.category`.
event_data.msg_data.collections	read_only_udm.target.resource.attribute.labels.Collection {index}	Mappé directement à partir du tableau `event_data.msg_data.collections`.
event_data.msg_data.command	read_only_udm.principal.process.command_line	Mappé directement à partir du champ `event_data.msg_data.command`.
event_data.msg_data.complianceIssues.0.category	read_only_udm.security_result.category_details	Mappé directement à partir du champ `event_data.msg_data.complianceIssues.0.category`.
event_data.msg_data.complianceIssues.0.description	read_only_udm.security_result.description	Mappé directement à partir du champ `event_data.msg_data.complianceIssues.0.description`.
event_data.msg_data.complianceIssues.0.severity	read_only_udm.security_result.severity	Mappé directement à partir du champ `event_data.msg_data.complianceIssues.0.severity` après conversion en majuscules.
event_data.msg_data.complianceIssues.0.title	read_only_udm.security_result.action_details	Mappé directement à partir du champ `event_data.msg_data.complianceIssues.0.title`.
event_data.msg_data.container	read_only_udm.target.resource.name	Mappé directement à partir du champ `event_data.msg_data.container`.
event_data.msg_data.containerID	read_only_udm.target.resource.product_object_id	Mappé directement à partir du champ `event_data.msg_data.containerID`.
event_data.msg_data.dropped	read_only_udm.security_result.detection_fields.dropped	Mappé directement à partir du champ `event_data.msg_data.dropped` après conversion en chaîne.
event_data.msg_data.fqdn	read_only_udm.principal.domain.name	Mappé directement à partir du champ `event_data.msg_data.fqdn`.
event_data.msg_data.firstSeen	read_only_udm.security_result.first_discovered_time.seconds	Mappé directement à partir du champ `event_data.msg_data.firstSeen` après conversion en code temporel UNIX.
event_data.msg_data.firstSeen	read_only_udm.security_result.first_discovered_time.nanos	Mappé directement à partir du champ `event_data.msg_data.firstSeen` après conversion en code temporel UNIX.
event_data.msg_data.host	read_only_udm.principal.hostname	Mappé directement à partir du champ `event_data.msg_data.host`.
event_data.msg_data.host	read_only_udm.principal.asset.hostname	Mappé directement à partir du champ `event_data.msg_data.host`.
event_data.msg_data.image	read_only_udm.target.resource.attribute.labels.image	Mappé directement à partir du champ `event_data.msg_data.image`.
event_data.msg_data.imageID	read_only_udm.target.resource.attribute.labels.imageID	Mappé directement à partir du champ `event_data.msg_data.imageID`.
event_data.msg_data.labels.controller-uid	read_only_udm.target.user.product_object_id	Mappé directement à partir du champ `event_data.msg_data.labels.controller-uid`.
event_data.msg_data.labels.io.kubernetes.pod.name	read_only_udm.target.hostname	Mappé directement à partir du champ `event_data.msg_data.labels.io.kubernetes.pod.name`.
event_data.msg_data.labels.io.kubernetes.pod.uid	read_only_udm.target.resource.product_object_id	Mappé directement à partir du champ `event_data.msg_data.labels.io.kubernetes.pod.uid`.
event_data.msg_data.lastSeen	read_only_udm.security_result.last_discovered_time.seconds	Mappé directement à partir du champ `event_data.msg_data.lastSeen` après conversion en code temporel UNIX.
event_data.msg_data.lastSeen	read_only_udm.security_result.last_discovered_time.nanos	Mappé directement à partir du champ `event_data.msg_data.lastSeen` après conversion en code temporel UNIX.
event_data.msg_data.metadata.cveCritical	read_only_udm.security_result.detection_fields.event_data metadata cveCritical	Mappé directement à partir du champ `event_data.msg_data.metadata.cveCritical`.
event_data.msg_data.metadata.cveHigh	read_only_udm.security_result.detection_fields.event_data metadata cveHigh	Mappé directement à partir du champ `event_data.msg_data.metadata.cveHigh`.
event_data.msg_data.metadata.cveLow	read_only_udm.security_result.detection_fields.event_data metadata cveLow	Mappé directement à partir du champ `event_data.msg_data.metadata.cveLow`.
event_data.msg_data.metadata.cveMedium	read_only_udm.security_result.detection_fields.event_data metadata cveMedium	Mappé directement à partir du champ `event_data.msg_data.metadata.cveMedium`.
event_data.msg_data.metadata.source	read_only_udm.principal.hostname	Mappé directement à partir du champ `event_data.msg_data.metadata.source`.
event_data.msg_data.metadata.source	read_only_udm.principal.asset.hostname	Mappé directement à partir du champ `event_data.msg_data.metadata.source`.
event_data.msg_data.msg_data	read_only_udm.security_result.description	Mappé directement à partir du champ `event_data.msg_data.msg_data`.
event_data.msg_data.policy.description	read_only_udm.security_result.description	Mappé directement à partir du champ `event_data.msg_data.policy.description`.
event_data.msg_data.policy.id	read_only_udm.security_result.detection_fields.policy_id	Mappé directement à partir du champ `event_data.msg_data.policy.id`.
event_data.msg_data.policy.name	read_only_udm.security_result.summary	Mappé directement à partir du champ `event_data.msg_data.policy.name`.
event_data.msg_data.policy.policyTs	read_only_udm.additional.fields.policy_ts	Mappé directement à partir du champ `event_data.msg_data.policy.policyTs`.
event_data.msg_data.policy.policyType	read_only_udm.security_result.threat_name	Mappé directement à partir du champ `event_data.msg_data.policy.policyType`.
event_data.msg_data.policy.recommendation	read_only_udm.security_result.action_details	Mappé directement à partir du champ `event_data.msg_data.policy.recommendation`.
event_data.msg_data.policy.severity	read_only_udm.security_result.severity	Mappé directement à partir du champ `event_data.msg_data.policy.severity` après conversion en majuscules.
event_data.msg_data.reason	read_only_udm.security_result.detection_fields.event message reason	Mappé directement à partir du champ `event_data.msg_data.reason`.
event_data.msg_data.region	read_only_udm.target.cloud.availability_zone	Mappé directement à partir du champ `event_data.msg_data.region`.
event_data.msg_data.resource.resourceId	read_only_udm.target.resource.product_object_id	Mappé directement à partir du champ `event_data.msg_data.resource.resourceId`.
event_data.msg_data.resource.resourceName	read_only_udm.target.resource.name	Mappé directement à partir du champ `event_data.msg_data.resource.resourceName`.
event_data.msg_data.resource.resourceTs	read_only_udm.target.resource.attribute.creation_time.seconds	Mappé directement à partir du champ `event_data.msg_data.resource.resourceTs` après conversion en code temporel UNIX.
event_data.msg_data.resource.resourceTs	read_only_udm.target.resource.attribute.creation_time.nanos	Mappé directement à partir du champ `event_data.msg_data.resource.resourceTs` après conversion en code temporel UNIX.
event_data.msg_data.rule	read_only_udm.security_result.rule_name	Mappé directement à partir du champ `event_data.msg_data.rule`.
event_data.msg_data.service	read_only_udm.security_result.detection_fields.event message service	Mappé directement à partir du champ `event_data.msg_data.service`.
event_data.msg_data.startupProcess	read_only_udm.principal.application	Mappé directement à partir du champ `event_data.msg_data.startupProcess`.
event_data.msg_data.time	read_only_udm.metadata.event_timestamp.seconds	Mappé directement à partir du champ `event_data.msg_data.time` après conversion en code temporel UNIX.
event_data.msg_data.time	read_only_udm.metadata.event_timestamp.nanos	Mappé directement à partir du champ `event_data.msg_data.time` après conversion en code temporel UNIX.
event_data.msg_data.type	read_only_udm.security_result.category_details	Mappé directement à partir du champ `event_data.msg_data.type`.
event_data.sentTs	read_only_udm.metadata.event_timestamp.seconds	Mappé directement à partir du champ `event_data.sentTs` après conversion en code temporel UNIX.
event_data.sentTs	read_only_udm.metadata.event_timestamp.nanos	Mappé directement à partir du champ `event_data.sentTs` après conversion en code temporel UNIX.
event_data.type	read_only_udm.security_result.category_details	Mappé directement à partir du champ `event_data.type`.
ipAddress	read_only_udm.principal.ip	Mappé directement à partir du champ `ipAddress` après l'extraction de l'adresse IP à l'aide de grok.
ipAddress	read_only_udm.principal.asset.ip	Mappé directement à partir du champ `ipAddress` après l'extraction de l'adresse IP à l'aide de grok.
ipAddress	read_only_udm.additional.fields.ipAddress	Mappée directement à partir du champ `ipAddress` s'il ne s'agit pas d'une adresse IP valide.
json_action.0.policy_id	read_only_udm.target.resource.attribute.labels.Policy Id 0	Mappé directement à partir du champ `json_action.0.policy_id`.
json_action.0.resource_name	read_only_udm.target.resource.attribute.labels.Nom de la ressource 0	Mappé directement à partir du champ `json_action.0.resource_name`.
json_action.1.policy_id	read_only_udm.target.resource.attribute.labels.Policy Id 1	Mappé directement à partir du champ `json_action.1.policy_id`.
json_action.1.resource_name	read_only_udm.target.resource.attribute.labels.Nom de la ressource 1	Mappé directement à partir du champ `json_action.1.resource_name`.
policy.policyId	read_only_udm.security_result.rule_id	Mappé directement à partir du champ `policy.policyId`.
policy.policyType	read_only_udm.security_result.rule_type	Mappé directement à partir du champ `policy.policyType`.
policy.recommendation	read_only_udm.metadata.description	Mappé directement à partir du champ `policy.recommendation`.
policy.severity	read_only_udm.security_result.severity	Mappé à partir du champ `policy.severity`. Si la valeur est "info", elle est définie sur "INFORMATIONAL".
policyName	read_only_udm.metadata.description	Mappé directement à partir du champ `policyName`.
reason	read_only_udm.metadata.product_event_type	Mappé directement à partir du champ `reason`.
resource.accountId	read_only_udm.target.resource.product_object_id	Mappé directement à partir du champ `resource.accountId`.
resource.cloudServiceName	read_only_udm.target.resource.attribute.labels.cloudServiceName	Mappé directement à partir du champ `resource.cloudServiceName`.
resource.data.architecture	read_only_udm.principal.asset.hardware.cpu_platform	Mappé directement à partir du champ `resource.data.architecture`.
resource.data.cpuPlatform	read_only_udm.additional.fields.CPU Platform	Mappé directement à partir du champ `resource.data.cpuPlatform`.
resource.data.labelFingerprint	read_only_udm.security_result.detection_fields.labelFingerprint	Mappé directement à partir du champ `resource.data.labelFingerprint`.
resource.data.metadata.items.key	read_only_udm.additional.fields.key	Mappé directement à partir du champ `resource.data.metadata.items.key`.
resource.data.metadata.items.value	read_only_udm.additional.fields.value.string_value	Mappé directement à partir du champ `resource.data.metadata.items.value`.
resource.data.networkInterfaces.0.accessConfigs.0.natIP	read_only_udm.target.nat_ip	Mappé directement à partir du champ `resource.data.networkInterfaces.0.accessConfigs.0.natIP`.
resource.data.networkInterfaces.0.networkIP	read_only_udm.target.ip	Mappé directement à partir du champ `resource.data.networkInterfaces.0.networkIP`.
resource.data.networkInterfaces.0.networkIP	read_only_udm.target.asset.ip	Mappé directement à partir du champ `resource.data.networkInterfaces.0.networkIP`.
resource.data.physicalBlockSizeBytes	read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes	Mappé directement à partir du champ `resource.data.physicalBlockSizeBytes` après conversion en chaîne.
resource.data.selfLink	read_only_udm.about.url	Mappé directement à partir du champ `resource.data.selfLink`.
resource.data.serviceAccounts.0.email	read_only_udm.principal.user.email_addresses	Mappé directement à partir du champ `resource.data.serviceAccounts.0.email`.
resource.data.serviceAccounts.0.email	read_only_udm.principal.user.attribute.roles.type	Si `resource.data.serviceAccounts.0.email` contient "serviceaccount", la valeur est définie sur "SERVICE_ACCOUNT".
resource.data.sizeGb	read_only_udm.principal.resource.attribute.labels.sizeGb	Mappé directement à partir du champ `resource.data.sizeGb`.
resource.data.sourceImage	read_only_udm.principal.resource.attribute.labels.sourceImage	Mappé directement à partir du champ `resource.data.sourceImage`.
resource.name	read_only_udm.target.resource.name	Mappé directement à partir du champ `resource.name`.
resource.regionId	read_only_udm.target.location.country_or_region	Mappé directement à partir de "resource

Modifications

2024-03-28

Lorsque "ipAddress" n'est pas une adresse IP valide, "ipAddress" est mappé sur "additional.fields".
Lorsque "user" est une adresse e-mail valide, mappez "user" sur "target.user.email_addresses".
Lorsque "user" n'est pas une adresse e-mail valide, mappez "user" sur "target.user.userid".
Les champs "policy_id" et "resource_name" du champ "action" ont été mappés sur "target.resource.attribute.labels".

2024-02-21

Ajout d'une vérification "on_error" pour le bloc "date".
Mappage de "alertRules" sur "sec_result.detection_fields".
"policy.policyId" a été mappé sur "sec_result.rule_id".
Mappage de "policy.policyType" sur "sec_result.rule_type".
Mappage de "policy.severity" sur "sec_result.severity".
Mappage de "policy.recommendation" sur "metadata.description".
Mappage de "resource.data.architecture" sur "principal.asset.hardware.cpu_platform".
"resource.name" a été mappé sur "target.resource.name".
"resource.accountId" a été mappé sur "target.resource.product_object_id".
"resource.regionId" a été mappé sur "target.location.country_or_region".
"resource.cloudServiceName" a été mappé sur "target.resource.attribute.labels".
"resource.resourceApiName" a été mappé sur "target.resource.attribute.labels".
"alertrule.createdBy" a été mappé sur "principal.user.email_addresses".
Mappage de "resource.unifiedAssetId" sur "principal.asset.asset_id".
Mappage de "resource.data.selfLink" sur "about.url".
"resource.data.sourceImage" a été mappé sur "principal.resource.attribute.labels".
"resource.data.sizeGb" a été mappé sur "principal.resource.attribute.labels".
Mappage de "resource.data.physicalBlockSizeBytes" sur "principal.resource.attribute.labels".
"resource.data.labelFingerprint" a été mappé sur "sec_result.detection_fields".
Lorsque "reason" est "NEW_ALERT", définissez "metadata.event_type" sur "USER_RESOURCE_CREATION".

2024-02-13

Ajout de la compatibilité avec les nouveaux journaux client.

2022-08-09

Ajout d'une vérification de conversion conditionnelle pour le champ "code temporel".
Ajout du mappage suivant lorsque la valeur du champ "resourceType" est "Login":
Le champ "ipAddress" est mappé sur "principal.ip".
Le champ "user" est mappé sur "target.user.email_addresses".
Le champ "result" est mappé à "security_result.action_details".