Mengumpulkan log Palo Alto Prisma Cloud

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Palo Alto Prisma Cloud dengan menyiapkan feed Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan PAN_PRISMA_CLOUD.

Mengonfigurasi Palo Alto Prisma Cloud

  1. Login ke Konsol Prisma Cloud Palo Alto dengan akun administrator.
  2. Di menu Setelan, klik Tombol Akses.
  3. Klik Tambahkan Baru, lalu masukkan Nama.

  4. Klik Buat. Nilai Access Key ID dan Secret Key akan muncul.

  5. Simpan nilai Access Key ID dan Secret Key. Nilai ini diperlukan saat Anda mengonfigurasi feed Google Security Operations.

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed; misalnya, Log Palo Alto Prisma Cloud.
  5. Pilih Third party API sebagai Source Type.
  6. Pilih Palo Alto Prisma Cloud sebagai Jenis Log.
  7. Klik Berikutnya.
  8. Konfigurasikan parameter input wajib berikut:
    • Username: tentukan ID kunci akses yang Anda peroleh sebelumnya.
    • Password: tentukan kunci rahasia yang Anda dapatkan sebelumnya.
    • Nama host API: tentukan nama host API.
  9. Klik Berikutnya, lalu klik Kirim.

Referensi pemetaan kolom

Kode parser ini mengekstrak kolom dari log PAN PRISMA CLOUD berformat JSON, melakukan transformasi dan pemetaan data untuk menyusun data ke dalam skema UDM Chronicle. Fitur ini menangani berbagai struktur pesan log, termasuk objek dan array bertingkat, untuk menormalisasi berbagai peristiwa keamanan dan informasi kontekstual untuk dianalisis dalam Chronicle.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
accountName read_only_udm.target.resource.attribute.cloud.project.id Dipetakan langsung dari kolom accountName.
accountId read_only_udm.target.hostname Dipetakan langsung dari kolom accountId.
accountId read_only_udm.target.asset.hostname Dipetakan langsung dari kolom accountId.
accountId read_only_udm.principal.cloud.project.id Dipetakan langsung dari kolom accountId dalam array aggregatedAlerts.
tindakan read_only_udm.security_result.description Dipetakan langsung dari kolom action setelah menghapus bagian JSON.
alertId read_only_udm.metadata.product_log_id Dipetakan langsung dari kolom alertId.
alertRules.0.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_0 Dipetakan langsung dari kolom alertRules.0.allowAutoRemediate.
alertRules.0.enabled read_only_udm.security_result.detection_fields.enabled_0 Dipetakan langsung dari kolom alertRules.0.enabled.
alertRules.0.name read_only_udm.security_result.detection_fields.name_0 Dipetakan langsung dari kolom alertRules.0.name.
alertRules.0.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_0 Dipetakan langsung dari kolom alertRules.0.notifyOnDismissed.
alertRules.0.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_0 Dipetakan langsung dari kolom alertRules.0.notifyOnOpen.
alertRules.0.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_0 Dipetakan langsung dari kolom alertRules.0.notifyOnResolved.
alertRules.0.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 Dipetakan langsung dari kolom alertRules.0.notifyOnSnoozed.
alertRules.0.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_0 Dipetakan langsung dari kolom alertRules.0.policyScanConfigId.
alertRules.0.scanAll read_only_udm.security_result.detection_fields.scanAll_0 Dipetakan langsung dari kolom alertRules.0.scanAll.
alertRules.1.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_1 Dipetakan langsung dari kolom alertRules.1.allowAutoRemediate.
alertRules.1.createdBy read_only_udm.principal.user.email_addresses Dipetakan langsung dari kolom alertRules.1.createdBy.
alertRules.1.enabled read_only_udm.security_result.detection_fields.enabled_1 Dipetakan langsung dari kolom alertRules.1.enabled.
alertRules.1.name read_only_udm.security_result.detection_fields.name_1 Dipetakan langsung dari kolom alertRules.1.name.
alertRules.1.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_1 Dipetakan langsung dari kolom alertRules.1.notifyOnDismissed.
alertRules.1.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_1 Dipetakan langsung dari kolom alertRules.1.notifyOnOpen.
alertRules.1.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_1 Dipetakan langsung dari kolom alertRules.1.notifyOnResolved.
alertRules.1.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 Dipetakan langsung dari kolom alertRules.1.notifyOnSnoozed.
alertRules.1.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_1 Dipetakan langsung dari kolom alertRules.1.policyScanConfigId.
alertRules.1.scanAll read_only_udm.security_result.detection_fields.scanAll_1 Dipetakan langsung dari kolom alertRules.1.scanAll.
alertRules.2.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_2 Dipetakan langsung dari kolom alertRules.2.allowAutoRemediate.
alertRules.2.createdBy read_only_udm.principal.user.email_addresses Dipetakan langsung dari kolom alertRules.2.createdBy.
alertRules.2.enabled read_only_udm.security_result.detection_fields.enabled_2 Dipetakan langsung dari kolom alertRules.2.enabled.
alertRules.2.name read_only_udm.security_result.detection_fields.name_2 Dipetakan langsung dari kolom alertRules.2.name.
alertRules.2.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_2 Dipetakan langsung dari kolom alertRules.2.notifyOnDismissed.
alertRules.2.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_2 Dipetakan langsung dari kolom alertRules.2.notifyOnOpen.
alertRules.2.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_2 Dipetakan langsung dari kolom alertRules.2.notifyOnResolved.
alertRules.2.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 Dipetakan langsung dari kolom alertRules.2.notifyOnSnoozed.
alertRules.2.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_2 Dipetakan langsung dari kolom alertRules.2.policyScanConfigId.
alertRules.2.scanAll read_only_udm.security_result.detection_fields.scanAll_2 Dipetakan langsung dari kolom alertRules.2.scanAll.
alertRuleId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom alertRuleId.
alertRuleName read_only_udm.security_result.rule_name Dipetakan langsung dari kolom alertRuleName.
alertStatus read_only_udm.security_result.detection_fields.event message alertStatus Dipetakan langsung dari kolom alertStatus di objek event_data.msg_data.
alertTs read_only_udm.metadata.event_timestamp.seconds Dipetakan langsung dari kolom alertTs setelah dikonversi menjadi stempel waktu UNIX.
alertTs read_only_udm.metadata.event_timestamp.nanos Dipetakan langsung dari kolom alertTs setelah dikonversi menjadi stempel waktu UNIX.
callbackUrl read_only_udm.metadata.url_back_to_product Dipetakan langsung dari kolom callbackUrl.
cloudServiceName read_only_udm.target.resource.attribute.labels.cloudServiceName Dipetakan langsung dari kolom cloudServiceName.
cloudType read_only_udm.target.resource.attribute.cloud.environment Dipetakan dari kolom cloudType. Jika cloudType adalah "gcp", nilai ditetapkan ke "GOOGLE_CLOUD_PLATFORM". Jika cloudType adalah "aws", nilai akan ditetapkan ke "AMAZON_WEB_SERVICES".
complianceMetadata.0.requirementId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom complianceMetadata.0.requirementId.
complianceMetadata.0.requirementName read_only_udm.security_result.summary Dipetakan langsung dari kolom complianceMetadata.0.requirementName.
complianceMetadata.0.standardName read_only_udm.security_result.rule_name Dipetakan langsung dari kolom complianceMetadata.0.standardName.
complianceMetadata.1.requirementId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom complianceMetadata.1.requirementId.
complianceMetadata.1.requirementName read_only_udm.security_result.summary Dipetakan langsung dari kolom complianceMetadata.1.requirementName.
complianceMetadata.1.standardName read_only_udm.security_result.rule_name Dipetakan langsung dari kolom complianceMetadata.1.standardName.
complianceMetadata.2.requirementId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom complianceMetadata.2.requirementId.
complianceMetadata.2.requirementName read_only_udm.security_result.summary Dipetakan langsung dari kolom complianceMetadata.2.requirementName.
complianceMetadata.2.standardName read_only_udm.security_result.rule_name Dipetakan langsung dari kolom complianceMetadata.2.standardName.
complianceMetadata.3.requirementId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom complianceMetadata.3.requirementId.
complianceMetadata.3.requirementName read_only_udm.security_result.summary Dipetakan langsung dari kolom complianceMetadata.3.requirementName.
complianceMetadata.3.standardName read_only_udm.security_result.rule_name Dipetakan langsung dari kolom complianceMetadata.3.standardName.
complianceMetadata.4.requirementId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom complianceMetadata.4.requirementId.
complianceMetadata.4.requirementName read_only_udm.security_result.summary Dipetakan langsung dari kolom complianceMetadata.4.requirementName.
complianceMetadata.4.standardName read_only_udm.security_result.rule_name Dipetakan langsung dari kolom complianceMetadata.4.standardName.
event_data.app read_only_udm.target.application Dipetakan langsung dari kolom event_data.app.
event_data.msg_data.account.cloudType read_only_udm.target.resource.attribute.cloud.environment Dipetakan dari kolom event_data.msg_data.account.cloudType. Jika nilainya adalah "aws", nilai tersebut akan ditetapkan ke "AMAZON_WEB_SERVICES".
event_data.msg_data.account.id read_only_udm.target.cloud.project.id Dipetakan langsung dari kolom event_data.msg_data.account.id.
event_data.msg_data.account.name read_only_udm.target.cloud.project.name Dipetakan langsung dari kolom event_data.msg_data.account.name.
event_data.msg_data.accountIDs read_only_udm.principal.resource.attribute.labels.event message accountId {index} Dipetakan langsung dari array event_data.msg_data.accountIDs.
event_data.msg_data.aggregatedAlerts.0.category read_only_udm.security_result.category_details Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.category.
event_data.msg_data.aggregatedAlerts.0.command read_only_udm.principal.process.command_line Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.command.
event_data.msg_data.aggregatedAlerts.0.collections read_only_udm.target.resource.attribute.labels.Collection {index} Dipetakan langsung dari array event_data.msg_data.aggregatedAlerts.0.collections.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category read_only_udm.security_result.category_details Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description read_only_udm.security_result.description Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity read_only_udm.security_result.severity Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity setelah dikonversi menjadi huruf besar.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title read_only_udm.security_result.action_details Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title.
event_data.msg_data.aggregatedAlerts.0.container read_only_udm.target.resource.name Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.container.
event_data.msg_data.aggregatedAlerts.0.containerID read_only_udm.target.resource.product_object_id Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.containerID.
event_data.msg_data.aggregatedAlerts.0.fqdn read_only_udm.principal.domain.name Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.fqdn.
event_data.msg_data.aggregatedAlerts.0.host read_only_udm.principal.hostname Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.host.
event_data.msg_data.aggregatedAlerts.0.host read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.host.
event_data.msg_data.aggregatedAlerts.0.image read_only_udm.target.resource.attribute.labels.image Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.image.
event_data.msg_data.aggregatedAlerts.0.imageID read_only_udm.target.resource.attribute.labels.imageID Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.imageID.
event_data.msg_data.aggregatedAlerts.0.labels.controller-uid read_only_udm.target.user.product_object_id Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.labels.controller-uid.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name read_only_udm.target.hostname Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid read_only_udm.target.resource.product_object_id Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid.
event_data.msg_data.aggregatedAlerts.0.msg_data read_only_udm.security_result.description Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.msg_data.
event_data.msg_data.aggregatedAlerts.0.rule read_only_udm.security_result.rule_name Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.rule.
event_data.msg_data.aggregatedAlerts.0.startupProcess read_only_udm.principal.application Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.startupProcess.
event_data.msg_data.aggregatedAlerts.0.time read_only_udm.metadata.event_timestamp.seconds Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.time setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.aggregatedAlerts.0.time read_only_udm.metadata.event_timestamp.nanos Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.time setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.aggregatedAlerts.0.type read_only_udm.security_result.category_details Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.type.
event_data.msg_data.aggregatedAlerts.0.user read_only_udm.principal.user.userid Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.user.
event_data.msg_data.alertId read_only_udm.security_result.detection_fields.event message alertId Dipetakan langsung dari kolom event_data.msg_data.alertId.
event_data.msg_data.alertRuleId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom event_data.msg_data.alertRuleId.
event_data.msg_data.alertRuleName read_only_udm.security_result.rule_name Dipetakan langsung dari kolom event_data.msg_data.alertRuleName.
event_data.msg_data.alertStatus read_only_udm.security_result.detection_fields.event message alertStatus Dipetakan langsung dari kolom event_data.msg_data.alertStatus.
event_data.msg_data.alertTs read_only_udm.metadata.event_timestamp.seconds Dipetakan langsung dari kolom event_data.msg_data.alertTs setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.alertTs read_only_udm.metadata.event_timestamp.nanos Dipetakan langsung dari kolom event_data.msg_data.alertTs setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.category read_only_udm.security_result.category_details Dipetakan langsung dari kolom event_data.msg_data.category.
event_data.msg_data.collections read_only_udm.target.resource.attribute.labels.Collection {index} Dipetakan langsung dari array event_data.msg_data.collections.
event_data.msg_data.command read_only_udm.principal.process.command_line Dipetakan langsung dari kolom event_data.msg_data.command.
event_data.msg_data.complianceIssues.0.category read_only_udm.security_result.category_details Dipetakan langsung dari kolom event_data.msg_data.complianceIssues.0.category.
event_data.msg_data.complianceIssues.0.description read_only_udm.security_result.description Dipetakan langsung dari kolom event_data.msg_data.complianceIssues.0.description.
event_data.msg_data.complianceIssues.0.severity read_only_udm.security_result.severity Dipetakan langsung dari kolom event_data.msg_data.complianceIssues.0.severity setelah dikonversi menjadi huruf besar.
event_data.msg_data.complianceIssues.0.title read_only_udm.security_result.action_details Dipetakan langsung dari kolom event_data.msg_data.complianceIssues.0.title.
event_data.msg_data.container read_only_udm.target.resource.name Dipetakan langsung dari kolom event_data.msg_data.container.
event_data.msg_data.containerID read_only_udm.target.resource.product_object_id Dipetakan langsung dari kolom event_data.msg_data.containerID.
event_data.msg_data.dropped read_only_udm.security_result.detection_fields.dropped Dipetakan langsung dari kolom event_data.msg_data.dropped setelah dikonversi menjadi string.
event_data.msg_data.fqdn read_only_udm.principal.domain.name Dipetakan langsung dari kolom event_data.msg_data.fqdn.
event_data.msg_data.firstSeen read_only_udm.security_result.first_discovered_time.seconds Dipetakan langsung dari kolom event_data.msg_data.firstSeen setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.firstSeen read_only_udm.security_result.first_discovered_time.nanos Dipetakan langsung dari kolom event_data.msg_data.firstSeen setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.host read_only_udm.principal.hostname Dipetakan langsung dari kolom event_data.msg_data.host.
event_data.msg_data.host read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom event_data.msg_data.host.
event_data.msg_data.image read_only_udm.target.resource.attribute.labels.image Dipetakan langsung dari kolom event_data.msg_data.image.
event_data.msg_data.imageID read_only_udm.target.resource.attribute.labels.imageID Dipetakan langsung dari kolom event_data.msg_data.imageID.
event_data.msg_data.labels.controller-uid read_only_udm.target.user.product_object_id Dipetakan langsung dari kolom event_data.msg_data.labels.controller-uid.
event_data.msg_data.labels.io.kubernetes.pod.name read_only_udm.target.hostname Dipetakan langsung dari kolom event_data.msg_data.labels.io.kubernetes.pod.name.
event_data.msg_data.labels.io.kubernetes.pod.uid read_only_udm.target.resource.product_object_id Dipetakan langsung dari kolom event_data.msg_data.labels.io.kubernetes.pod.uid.
event_data.msg_data.lastSeen read_only_udm.security_result.last_discovered_time.seconds Dipetakan langsung dari kolom event_data.msg_data.lastSeen setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.lastSeen read_only_udm.security_result.last_discovered_time.nanos Dipetakan langsung dari kolom event_data.msg_data.lastSeen setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.metadata.cveCritical read_only_udm.security_result.detection_fields.event_data metadata cveCritical Dipetakan langsung dari kolom event_data.msg_data.metadata.cveCritical.
event_data.msg_data.metadata.cveHigh read_only_udm.security_result.detection_fields.event_data metadata cveHigh Dipetakan langsung dari kolom event_data.msg_data.metadata.cveHigh.
event_data.msg_data.metadata.cveLow read_only_udm.security_result.detection_fields.event_data metadata cveLow Dipetakan langsung dari kolom event_data.msg_data.metadata.cveLow.
event_data.msg_data.metadata.cveMedium read_only_udm.security_result.detection_fields.event_data metadata cveMedium Dipetakan langsung dari kolom event_data.msg_data.metadata.cveMedium.
event_data.msg_data.metadata.source read_only_udm.principal.hostname Dipetakan langsung dari kolom event_data.msg_data.metadata.source.
event_data.msg_data.metadata.source read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom event_data.msg_data.metadata.source.
event_data.msg_data.msg_data read_only_udm.security_result.description Dipetakan langsung dari kolom event_data.msg_data.msg_data.
event_data.msg_data.policy.description read_only_udm.security_result.description Dipetakan langsung dari kolom event_data.msg_data.policy.description.
event_data.msg_data.policy.id read_only_udm.security_result.detection_fields.policy_id Dipetakan langsung dari kolom event_data.msg_data.policy.id.
event_data.msg_data.policy.name read_only_udm.security_result.summary Dipetakan langsung dari kolom event_data.msg_data.policy.name.
event_data.msg_data.policy.policyTs read_only_udm.additional.fields.policy_ts Dipetakan langsung dari kolom event_data.msg_data.policy.policyTs.
event_data.msg_data.policy.policyType read_only_udm.security_result.threat_name Dipetakan langsung dari kolom event_data.msg_data.policy.policyType.
event_data.msg_data.policy.recommendation read_only_udm.security_result.action_details Dipetakan langsung dari kolom event_data.msg_data.policy.recommendation.
event_data.msg_data.policy.severity read_only_udm.security_result.severity Dipetakan langsung dari kolom event_data.msg_data.policy.severity setelah dikonversi menjadi huruf besar.
event_data.msg_data.reason read_only_udm.security_result.detection_fields.event message reason Dipetakan langsung dari kolom event_data.msg_data.reason.
event_data.msg_data.region read_only_udm.target.cloud.availability_zone Dipetakan langsung dari kolom event_data.msg_data.region.
event_data.msg_data.resource.resourceId read_only_udm.target.resource.product_object_id Dipetakan langsung dari kolom event_data.msg_data.resource.resourceId.
event_data.msg_data.resource.resourceName read_only_udm.target.resource.name Dipetakan langsung dari kolom event_data.msg_data.resource.resourceName.
event_data.msg_data.resource.resourceTs read_only_udm.target.resource.attribute.creation_time.seconds Dipetakan langsung dari kolom event_data.msg_data.resource.resourceTs setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.resource.resourceTs read_only_udm.target.resource.attribute.creation_time.nanos Dipetakan langsung dari kolom event_data.msg_data.resource.resourceTs setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.rule read_only_udm.security_result.rule_name Dipetakan langsung dari kolom event_data.msg_data.rule.
event_data.msg_data.service read_only_udm.security_result.detection_fields.event message service Dipetakan langsung dari kolom event_data.msg_data.service.
event_data.msg_data.startupProcess read_only_udm.principal.application Dipetakan langsung dari kolom event_data.msg_data.startupProcess.
event_data.msg_data.time read_only_udm.metadata.event_timestamp.seconds Dipetakan langsung dari kolom event_data.msg_data.time setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.time read_only_udm.metadata.event_timestamp.nanos Dipetakan langsung dari kolom event_data.msg_data.time setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.type read_only_udm.security_result.category_details Dipetakan langsung dari kolom event_data.msg_data.type.
event_data.sentTs read_only_udm.metadata.event_timestamp.seconds Dipetakan langsung dari kolom event_data.sentTs setelah dikonversi menjadi stempel waktu UNIX.
event_data.sentTs read_only_udm.metadata.event_timestamp.nanos Dipetakan langsung dari kolom event_data.sentTs setelah dikonversi menjadi stempel waktu UNIX.
event_data.type read_only_udm.security_result.category_details Dipetakan langsung dari kolom event_data.type.
ipAddress read_only_udm.principal.ip Dipetakan langsung dari kolom ipAddress setelah mengekstrak alamat IP menggunakan grok.
ipAddress read_only_udm.principal.asset.ip Dipetakan langsung dari kolom ipAddress setelah mengekstrak alamat IP menggunakan grok.
ipAddress read_only_udm.additional.fields.ipAddress Dipetakan langsung dari kolom ipAddress jika bukan alamat IP yang valid.
json_action.0.policy_id read_only_udm.target.resource.attribute.labels.Policy Id 0 Dipetakan langsung dari kolom json_action.0.policy_id.
json_action.0.resource_name read_only_udm.target.resource.attribute.labels.Resource Name 0 Dipetakan langsung dari kolom json_action.0.resource_name.
json_action.1.policy_id read_only_udm.target.resource.attribute.labels.Policy Id 1 Dipetakan langsung dari kolom json_action.1.policy_id.
json_action.1.resource_name read_only_udm.target.resource.attribute.labels.Resource Name 1 Dipetakan langsung dari kolom json_action.1.resource_name.
policy.policyId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom policy.policyId.
policy.policyType read_only_udm.security_result.rule_type Dipetakan langsung dari kolom policy.policyType.
policy.recommendation read_only_udm.metadata.description Dipetakan langsung dari kolom policy.recommendation.
policy.severity read_only_udm.security_result.severity Dipetakan dari kolom policy.severity. Jika nilainya "info", maka akan ditetapkan ke "INFORMATIONAL".
policyName read_only_udm.metadata.description Dipetakan langsung dari kolom policyName.
alasan read_only_udm.metadata.product_event_type Dipetakan langsung dari kolom reason.
resource.accountId read_only_udm.target.resource.product_object_id Dipetakan langsung dari kolom resource.accountId.
resource.cloudServiceName read_only_udm.target.resource.attribute.labels.cloudServiceName Dipetakan langsung dari kolom resource.cloudServiceName.
resource.data.architecture read_only_udm.principal.asset.hardware.cpu_platform Dipetakan langsung dari kolom resource.data.architecture.
resource.data.cpuPlatform read_only_udm.additional.fields.CPU Platform Dipetakan langsung dari kolom resource.data.cpuPlatform.
resource.data.labelFingerprint read_only_udm.security_result.detection_fields.labelFingerprint Dipetakan langsung dari kolom resource.data.labelFingerprint.
resource.data.metadata.items.key read_only_udm.additional.fields.key Dipetakan langsung dari kolom resource.data.metadata.items.key.
resource.data.metadata.items.value read_only_udm.additional.fields.value.string_value Dipetakan langsung dari kolom resource.data.metadata.items.value.
resource.data.networkInterfaces.0.accessConfigs.0.natIP read_only_udm.target.nat_ip Dipetakan langsung dari kolom resource.data.networkInterfaces.0.accessConfigs.0.natIP.
resource.data.networkInterfaces.0.networkIP read_only_udm.target.ip Dipetakan langsung dari kolom resource.data.networkInterfaces.0.networkIP.
resource.data.networkInterfaces.0.networkIP read_only_udm.target.asset.ip Dipetakan langsung dari kolom resource.data.networkInterfaces.0.networkIP.
resource.data.physicalBlockSizeBytes read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes Dipetakan langsung dari kolom resource.data.physicalBlockSizeBytes setelah dikonversi menjadi string.
resource.data.selfLink read_only_udm.about.url Dipetakan langsung dari kolom resource.data.selfLink.
resource.data.serviceAccounts.0.email read_only_udm.principal.user.email_addresses Dipetakan langsung dari kolom resource.data.serviceAccounts.0.email.
resource.data.serviceAccounts.0.email read_only_udm.principal.user.attribute.roles.type Jika resource.data.serviceAccounts.0.email berisi "serviceaccount", nilai akan ditetapkan ke "SERVICE_ACCOUNT".
resource.data.sizeGb read_only_udm.principal.resource.attribute.labels.sizeGb Dipetakan langsung dari kolom resource.data.sizeGb.
resource.data.sourceImage read_only_udm.principal.resource.attribute.labels.sourceImage Dipetakan langsung dari kolom resource.data.sourceImage.
resource.name read_only_udm.target.resource.name Dipetakan langsung dari kolom resource.name.
resource.regionId read_only_udm.target.location.country_or_region Dipetakan langsung dari `resource

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.