Mengumpulkan log Palo Alto Prisma Cloud

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Palo Alto Prisma Cloud dengan menyiapkan feed Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer PAN_PRISMA_CLOUD.

Mengonfigurasi Palo Alto Prisma Cloud

  1. Login ke Konsol Palo Alto Prisma Cloud dengan akun administrator.
  2. Di menu Setelan, klik Kunci Akses.
  3. Klik Add New, lalu masukkan Name.

  4. Klik Create. Nilai Access Key ID dan Secret Key akan muncul.

  5. Simpan nilai Access Key ID dan Secret Key. Nilai ini diperlukan saat Anda mengonfigurasi feed Google Security Operations.

Mengonfigurasi feed Google Security Operations untuk menyerap log Palo Alto Prisma Cloud

  1. Buka Setelan SIEM > Feed.
  2. Klik Add New.
  3. Masukkan nama unik untuk Nama Kolom.
  4. Pilih API pihak ketiga sebagai Jenis Sumber.
  5. Pilih Palo Alto Prisma Cloud sebagai Jenis Log.
  6. Klik Berikutnya.
  7. Konfigurasikan parameter input wajib berikut:
    • Username: tentukan ID kunci akses yang Anda peroleh sebelumnya.
    • Sandi: tentukan kunci rahasia yang Anda peroleh sebelumnya.
    • Nama host API: tentukan nama host API.
  8. Klik Berikutnya, lalu klik Kirim.

Untuk informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis.

Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Kode parser ini mengekstrak kolom dari log PAN PRISMA CLOUD berformat JSON, melakukan transformasi dan pemetaan data untuk menyusun data ke dalam skema UDM Chronicle. Fungsi ini menangani berbagai struktur pesan log, termasuk objek dan array bertingkat, untuk menormalisasi berbagai peristiwa keamanan dan informasi kontekstual untuk analisis dalam Chronicle.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
accountName read_only_udm.target.resource.attribute.cloud.project.id Dipetakan langsung dari kolom accountName.
accountId read_only_udm.target.hostname Dipetakan langsung dari kolom accountId.
accountId read_only_udm.target.asset.hostname Dipetakan langsung dari kolom accountId.
accountId read_only_udm.principal.cloud.project.id Dipetakan langsung dari kolom accountId dalam array aggregatedAlerts.
action read_only_udm.security_result.description Dipetakan langsung dari kolom action setelah menghapus bagian JSON.
alertId read_only_udm.metadata.product_log_id Dipetakan langsung dari kolom alertId.
alertRules.0.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_0 Dipetakan langsung dari kolom alertRules.0.allowAutoRemediate.
alertRules.0.enabled read_only_udm.security_result.detection_fields.enabled_0 Dipetakan langsung dari kolom alertRules.0.enabled.
alertRules.0.name read_only_udm.security_result.detection_fields.name_0 Dipetakan langsung dari kolom alertRules.0.name.
alertRules.0.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_0 Dipetakan langsung dari kolom alertRules.0.notifyOnDismissed.
alertRules.0.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_0 Dipetakan langsung dari kolom alertRules.0.notifyOnOpen.
alertRules.0.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_0 Dipetakan langsung dari kolom alertRules.0.notifyOnResolved.
alertRules.0.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 Dipetakan langsung dari kolom alertRules.0.notifyOnSnoozed.
alertRules.0.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_0 Dipetakan langsung dari kolom alertRules.0.policyScanConfigId.
alertRules.0.scanAll read_only_udm.security_result.detection_fields.scanAll_0 Dipetakan langsung dari kolom alertRules.0.scanAll.
alertRules.1.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_1 Dipetakan langsung dari kolom alertRules.1.allowAutoRemediate.
alertRules.1.createdBy read_only_udm.principal.user.email_addresses Dipetakan langsung dari kolom alertRules.1.createdBy.
alertRules.1.enabled read_only_udm.security_result.detection_fields.enabled_1 Dipetakan langsung dari kolom alertRules.1.enabled.
alertRules.1.name read_only_udm.security_result.detection_fields.name_1 Dipetakan langsung dari kolom alertRules.1.name.
alertRules.1.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_1 Dipetakan langsung dari kolom alertRules.1.notifyOnDismissed.
alertRules.1.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_1 Dipetakan langsung dari kolom alertRules.1.notifyOnOpen.
alertRules.1.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_1 Dipetakan langsung dari kolom alertRules.1.notifyOnResolved.
alertRules.1.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 Dipetakan langsung dari kolom alertRules.1.notifyOnSnoozed.
alertRules.1.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_1 Dipetakan langsung dari kolom alertRules.1.policyScanConfigId.
alertRules.1.scanAll read_only_udm.security_result.detection_fields.scanAll_1 Dipetakan langsung dari kolom alertRules.1.scanAll.
alertRules.2.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_2 Dipetakan langsung dari kolom alertRules.2.allowAutoRemediate.
alertRules.2.createdBy read_only_udm.principal.user.email_addresses Dipetakan langsung dari kolom alertRules.2.createdBy.
alertRules.2.enabled read_only_udm.security_result.detection_fields.enabled_2 Dipetakan langsung dari kolom alertRules.2.enabled.
alertRules.2.name read_only_udm.security_result.detection_fields.name_2 Dipetakan langsung dari kolom alertRules.2.name.
alertRules.2.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_2 Dipetakan langsung dari kolom alertRules.2.notifyOnDismissed.
alertRules.2.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_2 Dipetakan langsung dari kolom alertRules.2.notifyOnOpen.
alertRules.2.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_2 Dipetakan langsung dari kolom alertRules.2.notifyOnResolved.
alertRules.2.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 Dipetakan langsung dari kolom alertRules.2.notifyOnSnoozed.
alertRules.2.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_2 Dipetakan langsung dari kolom alertRules.2.policyScanConfigId.
alertRules.2.scanAll read_only_udm.security_result.detection_fields.scanAll_2 Dipetakan langsung dari kolom alertRules.2.scanAll.
alertRuleId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom alertRuleId.
alertRuleName read_only_udm.security_result.rule_name Dipetakan langsung dari kolom alertRuleName.
alertStatus read_only_udm.security_result.detection_fields.event message alertStatus Dipetakan langsung dari kolom alertStatus di objek event_data.msg_data.
alertTs read_only_udm.metadata.event_timestamp.seconds Dipetakan langsung dari kolom alertTs setelah dikonversi menjadi stempel waktu UNIX.
alertTs read_only_udm.metadata.event_timestamp.nanos Dipetakan langsung dari kolom alertTs setelah dikonversi menjadi stempel waktu UNIX.
callbackUrl read_only_udm.metadata.url_back_to_product Dipetakan langsung dari kolom callbackUrl.
cloudServiceName read_only_udm.target.resource.attribute.labels.cloudServiceName Dipetakan langsung dari kolom cloudServiceName.
cloudType read_only_udm.target.resource.attribute.cloud.environment Dipetakan dari kolom cloudType. Jika cloudType adalah "gcp", nilainya ditetapkan ke "GOOGLE_CLOUD_PLATFORM". Jika cloudType adalah "aws", nilainya ditetapkan ke "AMAZON_WEB_SERVICES".
complianceMetadata.0.requirementId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom complianceMetadata.0.requirementId.
complianceMetadata.0.requirementName read_only_udm.security_result.summary Dipetakan langsung dari kolom complianceMetadata.0.requirementName.
complianceMetadata.0.standardName read_only_udm.security_result.rule_name Dipetakan langsung dari kolom complianceMetadata.0.standardName.
complianceMetadata.1.requirementId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom complianceMetadata.1.requirementId.
complianceMetadata.1.requirementName read_only_udm.security_result.summary Dipetakan langsung dari kolom complianceMetadata.1.requirementName.
complianceMetadata.1.standardName read_only_udm.security_result.rule_name Dipetakan langsung dari kolom complianceMetadata.1.standardName.
complianceMetadata.2.requirementId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom complianceMetadata.2.requirementId.
complianceMetadata.2.requirementName read_only_udm.security_result.summary Dipetakan langsung dari kolom complianceMetadata.2.requirementName.
complianceMetadata.2.standardName read_only_udm.security_result.rule_name Dipetakan langsung dari kolom complianceMetadata.2.standardName.
complianceMetadata.3.requirementId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom complianceMetadata.3.requirementId.
complianceMetadata.3.requirementName read_only_udm.security_result.summary Dipetakan langsung dari kolom complianceMetadata.3.requirementName.
complianceMetadata.3.standardName read_only_udm.security_result.rule_name Dipetakan langsung dari kolom complianceMetadata.3.standardName.
complianceMetadata.4.requirementId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom complianceMetadata.4.requirementId.
complianceMetadata.4.requirementName read_only_udm.security_result.summary Dipetakan langsung dari kolom complianceMetadata.4.requirementName.
complianceMetadata.4.standardName read_only_udm.security_result.rule_name Dipetakan langsung dari kolom complianceMetadata.4.standardName.
event_data.app read_only_udm.target.application Dipetakan langsung dari kolom event_data.app.
event_data.msg_data.account.cloudType read_only_udm.target.resource.attribute.cloud.environment Dipetakan dari kolom event_data.msg_data.account.cloudType. Jika nilainya "aws", nilai tersebut ditetapkan ke "AMAZON_WEB_SERVICES".
event_data.msg_data.account.id read_only_udm.target.cloud.project.id Dipetakan langsung dari kolom event_data.msg_data.account.id.
event_data.msg_data.account.name read_only_udm.target.cloud.project.name Dipetakan langsung dari kolom event_data.msg_data.account.name.
event_data.msg_data.accountIDs read_only_udm.principal.resource.attribute.labels.event message accountId {index} Dipetakan langsung dari array event_data.msg_data.accountIDs.
event_data.msg_data.aggregatedAlerts.0.category read_only_udm.security_result.category_details Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.category.
event_data.msg_data.aggregatedAlerts.0.command read_only_udm.principal.process.command_line Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.command.
event_data.msg_data.aggregatedAlerts.0.collections read_only_udm.target.resource.attribute.labels.Collection {index} Dipetakan langsung dari array event_data.msg_data.aggregatedAlerts.0.collections.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category read_only_udm.security_result.category_details Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description read_only_udm.security_result.description Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity read_only_udm.security_result.severity Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity setelah dikonversi ke huruf besar.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title read_only_udm.security_result.action_details Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title.
event_data.msg_data.aggregatedAlerts.0.container read_only_udm.target.resource.name Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.container.
event_data.msg_data.aggregatedAlerts.0.containerID read_only_udm.target.resource.product_object_id Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.containerID.
event_data.msg_data.aggregatedAlerts.0.fqdn read_only_udm.principal.domain.name Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.fqdn.
event_data.msg_data.aggregatedAlerts.0.host read_only_udm.principal.hostname Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.host.
event_data.msg_data.aggregatedAlerts.0.host read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.host.
event_data.msg_data.aggregatedAlerts.0.image read_only_udm.target.resource.attribute.labels.image Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.image.
event_data.msg_data.aggregatedAlerts.0.imageID read_only_udm.target.resource.attribute.labels.imageID Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.imageID.
event_data.msg_data.aggregatedAlerts.0.labels.controller-uid read_only_udm.target.user.product_object_id Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.labels.controller-uid.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name read_only_udm.target.hostname Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid read_only_udm.target.resource.product_object_id Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid.
event_data.msg_data.aggregatedAlerts.0.msg_data read_only_udm.security_result.description Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.msg_data.
event_data.msg_data.aggregatedAlerts.0.rule read_only_udm.security_result.rule_name Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.rule.
event_data.msg_data.aggregatedAlerts.0.startupProcess read_only_udm.principal.application Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.startupProcess.
event_data.msg_data.aggregatedAlerts.0.time read_only_udm.metadata.event_timestamp.seconds Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.time setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.aggregatedAlerts.0.time read_only_udm.metadata.event_timestamp.nanos Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.time setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.aggregatedAlerts.0.type read_only_udm.security_result.category_details Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.type.
event_data.msg_data.aggregatedAlerts.0.user read_only_udm.principal.user.userid Dipetakan langsung dari kolom event_data.msg_data.aggregatedAlerts.0.user.
event_data.msg_data.alertId read_only_udm.security_result.detection_fields.event message alertId Dipetakan langsung dari kolom event_data.msg_data.alertId.
event_data.msg_data.alertRuleId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom event_data.msg_data.alertRuleId.
event_data.msg_data.alertRuleName read_only_udm.security_result.rule_name Dipetakan langsung dari kolom event_data.msg_data.alertRuleName.
event_data.msg_data.alertStatus read_only_udm.security_result.detection_fields.event message alertStatus Dipetakan langsung dari kolom event_data.msg_data.alertStatus.
event_data.msg_data.alertTs read_only_udm.metadata.event_timestamp.seconds Dipetakan langsung dari kolom event_data.msg_data.alertTs setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.alertTs read_only_udm.metadata.event_timestamp.nanos Dipetakan langsung dari kolom event_data.msg_data.alertTs setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.category read_only_udm.security_result.category_details Dipetakan langsung dari kolom event_data.msg_data.category.
event_data.msg_data.collections read_only_udm.target.resource.attribute.labels.Collection {index} Dipetakan langsung dari array event_data.msg_data.collections.
event_data.msg_data.command read_only_udm.principal.process.command_line Dipetakan langsung dari kolom event_data.msg_data.command.
event_data.msg_data.complianceIssues.0.category read_only_udm.security_result.category_details Dipetakan langsung dari kolom event_data.msg_data.complianceIssues.0.category.
event_data.msg_data.complianceIssues.0.description read_only_udm.security_result.description Dipetakan langsung dari kolom event_data.msg_data.complianceIssues.0.description.
event_data.msg_data.complianceIssues.0.severity read_only_udm.security_result.severity Dipetakan langsung dari kolom event_data.msg_data.complianceIssues.0.severity setelah dikonversi ke huruf besar.
event_data.msg_data.complianceIssues.0.title read_only_udm.security_result.action_details Dipetakan langsung dari kolom event_data.msg_data.complianceIssues.0.title.
event_data.msg_data.container read_only_udm.target.resource.name Dipetakan langsung dari kolom event_data.msg_data.container.
event_data.msg_data.containerID read_only_udm.target.resource.product_object_id Dipetakan langsung dari kolom event_data.msg_data.containerID.
event_data.msg_data.dropped read_only_udm.security_result.detection_fields.dropped Dipetakan langsung dari kolom event_data.msg_data.dropped setelah dikonversi menjadi string.
event_data.msg_data.fqdn read_only_udm.principal.domain.name Dipetakan langsung dari kolom event_data.msg_data.fqdn.
event_data.msg_data.firstSeen read_only_udm.security_result.first_discovered_time.seconds Dipetakan langsung dari kolom event_data.msg_data.firstSeen setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.firstSeen read_only_udm.security_result.first_discovered_time.nanos Dipetakan langsung dari kolom event_data.msg_data.firstSeen setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.host read_only_udm.principal.hostname Dipetakan langsung dari kolom event_data.msg_data.host.
event_data.msg_data.host read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom event_data.msg_data.host.
event_data.msg_data.image read_only_udm.target.resource.attribute.labels.image Dipetakan langsung dari kolom event_data.msg_data.image.
event_data.msg_data.imageID read_only_udm.target.resource.attribute.labels.imageID Dipetakan langsung dari kolom event_data.msg_data.imageID.
event_data.msg_data.labels.controller-uid read_only_udm.target.user.product_object_id Dipetakan langsung dari kolom event_data.msg_data.labels.controller-uid.
event_data.msg_data.labels.io.kubernetes.pod.name read_only_udm.target.hostname Dipetakan langsung dari kolom event_data.msg_data.labels.io.kubernetes.pod.name.
event_data.msg_data.labels.io.kubernetes.pod.uid read_only_udm.target.resource.product_object_id Dipetakan langsung dari kolom event_data.msg_data.labels.io.kubernetes.pod.uid.
event_data.msg_data.lastSeen read_only_udm.security_result.last_discovered_time.seconds Dipetakan langsung dari kolom event_data.msg_data.lastSeen setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.lastSeen read_only_udm.security_result.last_discovered_time.nanos Dipetakan langsung dari kolom event_data.msg_data.lastSeen setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.metadata.cveCritical read_only_udm.security_result.detection_fields.event_data metadata cveCritical Dipetakan langsung dari kolom event_data.msg_data.metadata.cveCritical.
event_data.msg_data.metadata.cveHigh read_only_udm.security_result.detection_fields.event_data metadata cveHigh Dipetakan langsung dari kolom event_data.msg_data.metadata.cveHigh.
event_data.msg_data.metadata.cveLow read_only_udm.security_result.detection_fields.event_data metadata cveLow Dipetakan langsung dari kolom event_data.msg_data.metadata.cveLow.
event_data.msg_data.metadata.cveMedium read_only_udm.security_result.detection_fields.event_data metadata cveMedium Dipetakan langsung dari kolom event_data.msg_data.metadata.cveMedium.
event_data.msg_data.metadata.source read_only_udm.principal.hostname Dipetakan langsung dari kolom event_data.msg_data.metadata.source.
event_data.msg_data.metadata.source read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom event_data.msg_data.metadata.source.
event_data.msg_data.msg_data read_only_udm.security_result.description Dipetakan langsung dari kolom event_data.msg_data.msg_data.
event_data.msg_data.policy.description read_only_udm.security_result.description Dipetakan langsung dari kolom event_data.msg_data.policy.description.
event_data.msg_data.policy.id read_only_udm.security_result.detection_fields.policy_id Dipetakan langsung dari kolom event_data.msg_data.policy.id.
event_data.msg_data.policy.name read_only_udm.security_result.summary Dipetakan langsung dari kolom event_data.msg_data.policy.name.
event_data.msg_data.policy.policyTs read_only_udm.additional.fields.policy_ts Dipetakan langsung dari kolom event_data.msg_data.policy.policyTs.
event_data.msg_data.policy.policyType read_only_udm.security_result.threat_name Dipetakan langsung dari kolom event_data.msg_data.policy.policyType.
event_data.msg_data.policy.recommendation read_only_udm.security_result.action_details Dipetakan langsung dari kolom event_data.msg_data.policy.recommendation.
event_data.msg_data.policy.severity read_only_udm.security_result.severity Dipetakan langsung dari kolom event_data.msg_data.policy.severity setelah dikonversi ke huruf besar.
event_data.msg_data.reason read_only_udm.security_result.detection_fields.event message reason Dipetakan langsung dari kolom event_data.msg_data.reason.
event_data.msg_data.region read_only_udm.target.cloud.availability_zone Dipetakan langsung dari kolom event_data.msg_data.region.
event_data.msg_data.resource.resourceId read_only_udm.target.resource.product_object_id Dipetakan langsung dari kolom event_data.msg_data.resource.resourceId.
event_data.msg_data.resource.resourceName read_only_udm.target.resource.name Dipetakan langsung dari kolom event_data.msg_data.resource.resourceName.
event_data.msg_data.resource.resourceTs read_only_udm.target.resource.attribute.creation_time.seconds Dipetakan langsung dari kolom event_data.msg_data.resource.resourceTs setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.resource.resourceTs read_only_udm.target.resource.attribute.creation_time.nanos Dipetakan langsung dari kolom event_data.msg_data.resource.resourceTs setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.rule read_only_udm.security_result.rule_name Dipetakan langsung dari kolom event_data.msg_data.rule.
event_data.msg_data.service layanan pesan read_only_udm.security_result.detection_fields.event Dipetakan langsung dari kolom event_data.msg_data.service.
event_data.msg_data.startupProcess read_only_udm.principal.application Dipetakan langsung dari kolom event_data.msg_data.startupProcess.
event_data.msg_data.time read_only_udm.metadata.event_timestamp.seconds Dipetakan langsung dari kolom event_data.msg_data.time setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.time read_only_udm.metadata.event_timestamp.nanos Dipetakan langsung dari kolom event_data.msg_data.time setelah dikonversi menjadi stempel waktu UNIX.
event_data.msg_data.type read_only_udm.security_result.category_details Dipetakan langsung dari kolom event_data.msg_data.type.
event_data.sentTs read_only_udm.metadata.event_timestamp.seconds Dipetakan langsung dari kolom event_data.sentTs setelah dikonversi menjadi stempel waktu UNIX.
event_data.sentTs read_only_udm.metadata.event_timestamp.nanos Dipetakan langsung dari kolom event_data.sentTs setelah dikonversi menjadi stempel waktu UNIX.
event_data.type read_only_udm.security_result.category_details Dipetakan langsung dari kolom event_data.type.
ipAddress read_only_udm.principal.ip Dipetakan langsung dari kolom ipAddress setelah mengekstrak alamat IP menggunakan grok.
ipAddress read_only_udm.principal.asset.ip Dipetakan langsung dari kolom ipAddress setelah mengekstrak alamat IP menggunakan grok.
ipAddress read_only_udm.additional.fields.ipAddress Dipetakan langsung dari kolom ipAddress jika bukan alamat IP yang valid.
json_action.0.policy_id read_only_udm.target.resource.attribute.labels.Policy Id 0 Dipetakan langsung dari kolom json_action.0.policy_id.
json_action.0.resource_name read_only_udm.target.resource.attribute.labels.Resource Name 0 Dipetakan langsung dari kolom json_action.0.resource_name.
json_action.1.policy_id read_only_udm.target.resource.attribute.labels.Policy Id 1 Dipetakan langsung dari kolom json_action.1.policy_id.
json_action.1.resource_name read_only_udm.target.resource.attribute.labels.Resource Name 1 Dipetakan langsung dari kolom json_action.1.resource_name.
policy.policyId read_only_udm.security_result.rule_id Dipetakan langsung dari kolom policy.policyId.
policy.policyType read_only_udm.security_result.rule_type Dipetakan langsung dari kolom policy.policyType.
policy.recommendation read_only_udm.metadata.description Dipetakan langsung dari kolom policy.recommendation.
policy.severity read_only_udm.security_result.severity Dipetakan dari kolom policy.severity. Jika nilainya "info", nilai tersebut ditetapkan ke "INFORMATIONAL".
policyName read_only_udm.metadata.description Dipetakan langsung dari kolom policyName.
alasan read_only_udm.metadata.product_event_type Dipetakan langsung dari kolom reason.
resource.accountId read_only_udm.target.resource.product_object_id Dipetakan langsung dari kolom resource.accountId.
resource.cloudServiceName read_only_udm.target.resource.attribute.labels.cloudServiceName Dipetakan langsung dari kolom resource.cloudServiceName.
resource.data.architecture read_only_udm.principal.asset.hardware.cpu_platform Dipetakan langsung dari kolom resource.data.architecture.
resource.data.cpuPlatform read_only_udm.additional.fields.CPU Platform Dipetakan langsung dari kolom resource.data.cpuPlatform.
resource.data.labelFingerprint read_only_udm.security_result.detection_fields.labelFingerprint Dipetakan langsung dari kolom resource.data.labelFingerprint.
resource.data.metadata.items.key read_only_udm.additional.fields.key Dipetakan langsung dari kolom resource.data.metadata.items.key.
resource.data.metadata.items.value read_only_udm.additional.fields.value.string_value Dipetakan langsung dari kolom resource.data.metadata.items.value.
resource.data.networkInterfaces.0.accessConfigs.0.natIP read_only_udm.target.nat_ip Dipetakan langsung dari kolom resource.data.networkInterfaces.0.accessConfigs.0.natIP.
resource.data.networkInterfaces.0.networkIP read_only_udm.target.ip Dipetakan langsung dari kolom resource.data.networkInterfaces.0.networkIP.
resource.data.networkInterfaces.0.networkIP read_only_udm.target.asset.ip Dipetakan langsung dari kolom resource.data.networkInterfaces.0.networkIP.
resource.data.physicalBlockSizeBytes read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes Dipetakan langsung dari kolom resource.data.physicalBlockSizeBytes setelah dikonversi menjadi string.
resource.data.selfLink read_only_udm.about.url Dipetakan langsung dari kolom resource.data.selfLink.
resource.data.serviceAccounts.0.email read_only_udm.principal.user.email_addresses Dipetakan langsung dari kolom resource.data.serviceAccounts.0.email.
resource.data.serviceAccounts.0.email read_only_udm.principal.user.attribute.roles.type Jika resource.data.serviceAccounts.0.email berisi "serviceaccount", nilainya ditetapkan ke "SERVICE_ACCOUNT".
resource.data.sizeGb read_only_udm.principal.resource.attribute.labels.sizeGb Dipetakan langsung dari kolom resource.data.sizeGb.
resource.data.sourceImage read_only_udm.principal.resource.attribute.labels.sourceImage Dipetakan langsung dari kolom resource.data.sourceImage.
resource.name read_only_udm.target.resource.name Dipetakan langsung dari kolom resource.name.
resource.regionId read_only_udm.target.location.country_or_region Dipetakan langsung dari `resource

Perubahan

2024-03-28

  • Jika "ipAddress" bukan alamat IP yang valid, maka petakan "ipAddress" ke "additional.fields".
  • Jika "user" adalah alamat email yang valid, petakan "user" ke "target.user.email_addresses".
  • Jika "user" bukan alamat email yang valid, petakan "user" ke "target.user.userid".
  • Memetakan kolom "policy_id" dan "resource_name" di kolom "action" ke "target.resource.attribute.labels".

2024-02-21

  • Menambahkan pemeriksaan "on_error" untuk blok "date".
  • Memetakan "alertRules" ke "sec_result.detection_fields".
  • Memetakan "policy.policyId" ke "sec_result.rule_id".
  • Memetakan "policy.policyType" ke "sec_result.rule_type".
  • Memetakan "policy.severity" ke "sec_result.severity".
  • Memetakan "policy.recommendation" ke "metadata.description".
  • Memetakan "resource.data.architecture" ke "principal.asset.hardware.cpu_platform".
  • Memetakan "resource.name" ke "target.resource.name".
  • Memetakan "resource.accountId" ke "target.resource.product_object_id".
  • Memetakan "resource.regionId" ke "target.location.country_or_region".
  • Memetakan "resource.cloudServiceName" ke "target.resource.attribute.labels".
  • Memetakan "resource.resourceApiName" ke "target.resource.attribute.labels".
  • Memetakan "alertrule.createdBy" ke "principal.user.email_addresses".
  • Memetakan "resource.unifiedAssetId" ke "principal.asset.asset_id".
  • Memetakan "resource.data.selfLink" ke "about.url".
  • Memetakan "resource.data.sourceImage" ke "principal.resource.attribute.labels".
  • Memetakan "resource.data.sizeGb" ke "principal.resource.attribute.labels".
  • Memetakan "resource.data.physicalBlockSizeBytes" ke "principal.resource.attribute.labels".
  • Memetakan "resource.data.labelFingerprint" ke "sec_result.detection_fields".
  • Jika "reason" adalah "NEW_ALERT", tetapkan "metadata.event_type" ke "USER_RESOURCE_CREATION".

2024-02-13

  • Menambahkan dukungan untuk log pelanggan baru.

2022-08-09

  • Menambahkan pemeriksaan konversi bersyarat untuk kolom "stempel waktu".
  • Menambahkan pemetaan berikut saat nilai kolom "resourceType" adalah "Login":
  • Kolom "ipAddress" dipetakan ke "principal.ip".
  • Kolom "user" dipetakan ke "target.user.email_addresses".
  • Kolom "result" dipetakan ke "security_result.action_details".