Raccogliere i log di Palo Alto Prisma Cloud
Supportato in:
Google secops
SIEM
Questo documento descrive come raccogliere i log di Palo Alto Prisma Cloud configurando un feed Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser
con l'etichetta di importazione PAN_PRISMA_CLOUD.
Configura Palo Alto Prisma Cloud
- Accedi alla console Palo Alto Prisma Cloud con un account amministratore.
- Nel menu Impostazioni, fai clic su Tasti di accesso.
- Fai clic su Aggiungi nuovo e inserisci un Nome.
Fai clic su Crea. Vengono visualizzati i valori ID chiave di accesso e Chiave segreta.
Salva i valori di ID chiave di accesso e Chiave segreta. Questi valori sono obbligatori quando configuri il feed Google Security Operations.
Configurare i feed
Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed
- Hub dei contenuti > Pacchetti di contenuti
Configura i feed da Impostazioni SIEM > Feed
Per configurare un feed:
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed, ad esempio Palo Alto Prisma Cloud Logs.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Palo Alto Prisma Cloud come Tipo di log.
- Fai clic su Avanti.
- Configura i seguenti parametri di input obbligatori:
- Nome utente: specifica l'ID chiave di accesso che hai ottenuto in precedenza.
- Password:specifica la chiave segreta che hai ottenuto in precedenza.
- Nome host API: specifica il nome host API.
- Fai clic su Avanti e poi su Invia.
Configurare i feed dall'hub dei contenuti
Specifica i valori per i seguenti campi:
- Nome utente: specifica l'ID chiave di accesso che hai ottenuto in precedenza.
- Password:specifica la chiave segreta che hai ottenuto in precedenza.
- Nome host API: specifica il nome host API.
Opzioni avanzate
- Nome feed:un valore precompilato che identifica il feed.
- Tipo di origine:metodo utilizzato per raccogliere i log in Google SecOps.
- Spazio dei nomi dell'asset:lo spazio dei nomi associato al feed.
- Etichette di importazione:etichette applicate a tutti gli eventi di questo feed.
Per saperne di più sui feed di Google Security Operations, consulta la documentazione sui feed di Google Security Operations. Per informazioni sui requisiti per ogni tipo di feed, vedi Configurazione dei feed per tipo.
Se riscontri problemi durante la creazione dei feed, contatta l'assistenza Google Security Operations.
Riferimento alla mappatura dei campi
Questo codice del parser estrae i campi dai log PAN PRISMA CLOUD formattati in JSON, esegue trasformazioni e mappature dei dati per strutturarli nello schema UDM di Chronicle. Gestisce varie strutture di messaggi di log, inclusi oggetti e array nidificati, per normalizzare diversi eventi di sicurezza e informazioni contestuali per l'analisi in Chronicle.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| accountName | read_only_udm.target.resource.attribute.cloud.project.id | Mappato direttamente dal campo accountName. |
| accountId | read_only_udm.target.hostname | Mappato direttamente dal campo accountId. |
| accountId | read_only_udm.target.asset.hostname | Mappato direttamente dal campo accountId. |
| accountId | read_only_udm.principal.cloud.project.id | Mappato direttamente dal campo accountId nell'array aggregatedAlerts. |
| azione | read_only_udm.security_result.description | Mappato direttamente dal campo action dopo la rimozione della parte JSON. |
| alertId | read_only_udm.metadata.product_log_id | Mappato direttamente dal campo alertId. |
| alertRules.0.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_0 | Mappato direttamente dal campo alertRules.0.allowAutoRemediate. |
| alertRules.0.enabled | read_only_udm.security_result.detection_fields.enabled_0 | Mappato direttamente dal campo alertRules.0.enabled. |
| alertRules.0.name | read_only_udm.security_result.detection_fields.name_0 | Mappato direttamente dal campo alertRules.0.name. |
| alertRules.0.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_0 | Mappato direttamente dal campo alertRules.0.notifyOnDismissed. |
| alertRules.0.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_0 | Mappato direttamente dal campo alertRules.0.notifyOnOpen. |
| alertRules.0.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_0 | Mappato direttamente dal campo alertRules.0.notifyOnResolved. |
| alertRules.0.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 | Mappato direttamente dal campo alertRules.0.notifyOnSnoozed. |
| alertRules.0.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_0 | Mappato direttamente dal campo alertRules.0.policyScanConfigId. |
| alertRules.0.scanAll | read_only_udm.security_result.detection_fields.scanAll_0 | Mappato direttamente dal campo alertRules.0.scanAll. |
| alertRules.1.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_1 | Mappato direttamente dal campo alertRules.1.allowAutoRemediate. |
| alertRules.1.createdBy | read_only_udm.principal.user.email_addresses | Mappato direttamente dal campo alertRules.1.createdBy. |
| alertRules.1.enabled | read_only_udm.security_result.detection_fields.enabled_1 | Mappato direttamente dal campo alertRules.1.enabled. |
| alertRules.1.name | read_only_udm.security_result.detection_fields.name_1 | Mappato direttamente dal campo alertRules.1.name. |
| alertRules.1.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_1 | Mappato direttamente dal campo alertRules.1.notifyOnDismissed. |
| alertRules.1.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_1 | Mappato direttamente dal campo alertRules.1.notifyOnOpen. |
| alertRules.1.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_1 | Mappato direttamente dal campo alertRules.1.notifyOnResolved. |
| alertRules.1.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 | Mappato direttamente dal campo alertRules.1.notifyOnSnoozed. |
| alertRules.1.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_1 | Mappato direttamente dal campo alertRules.1.policyScanConfigId. |
| alertRules.1.scanAll | read_only_udm.security_result.detection_fields.scanAll_1 | Mappato direttamente dal campo alertRules.1.scanAll. |
| alertRules.2.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_2 | Mappato direttamente dal campo alertRules.2.allowAutoRemediate. |
| alertRules.2.createdBy | read_only_udm.principal.user.email_addresses | Mappato direttamente dal campo alertRules.2.createdBy. |
| alertRules.2.enabled | read_only_udm.security_result.detection_fields.enabled_2 | Mappato direttamente dal campo alertRules.2.enabled. |
| alertRules.2.name | read_only_udm.security_result.detection_fields.name_2 | Mappato direttamente dal campo alertRules.2.name. |
| alertRules.2.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_2 | Mappato direttamente dal campo alertRules.2.notifyOnDismissed. |
| alertRules.2.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_2 | Mappato direttamente dal campo alertRules.2.notifyOnOpen. |
| alertRules.2.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_2 | Mappato direttamente dal campo alertRules.2.notifyOnResolved. |
| alertRules.2.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 | Mappato direttamente dal campo alertRules.2.notifyOnSnoozed. |
| alertRules.2.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_2 | Mappato direttamente dal campo alertRules.2.policyScanConfigId. |
| alertRules.2.scanAll | read_only_udm.security_result.detection_fields.scanAll_2 | Mappato direttamente dal campo alertRules.2.scanAll. |
| alertRuleId | read_only_udm.security_result.rule_id | Mappato direttamente dal campo alertRuleId. |
| alertRuleName | read_only_udm.security_result.rule_name | Mappato direttamente dal campo alertRuleName. |
| alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | Mappato direttamente dal campo alertStatus nell'oggetto event_data.msg_data. |
| alertTs | read_only_udm.metadata.event_timestamp.seconds | Mappato direttamente dal campo alertTs dopo la conversione in timestamp UNIX. |
| alertTs | read_only_udm.metadata.event_timestamp.nanos | Mappato direttamente dal campo alertTs dopo la conversione in timestamp UNIX. |
| callbackUrl | read_only_udm.metadata.url_back_to_product | Mappato direttamente dal campo callbackUrl. |
| cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | Mappato direttamente dal campo cloudServiceName. |
| cloudType | read_only_udm.target.resource.attribute.cloud.environment | Mappato dal campo cloudType. Se cloudType è "gcp", il valore è impostato su "GOOGLE_CLOUD_PLATFORM". Se cloudType è "aws", il valore è impostato su "AMAZON_WEB_SERVICES". |
| complianceMetadata.0.requirementId | read_only_udm.security_result.rule_id | Mappato direttamente dal campo complianceMetadata.0.requirementId. |
| complianceMetadata.0.requirementName | read_only_udm.security_result.summary | Mappato direttamente dal campo complianceMetadata.0.requirementName. |
| complianceMetadata.0.standardName | read_only_udm.security_result.rule_name | Mappato direttamente dal campo complianceMetadata.0.standardName. |
| complianceMetadata.1.requirementId | read_only_udm.security_result.rule_id | Mappato direttamente dal campo complianceMetadata.1.requirementId. |
| complianceMetadata.1.requirementName | read_only_udm.security_result.summary | Mappato direttamente dal campo complianceMetadata.1.requirementName. |
| complianceMetadata.1.standardName | read_only_udm.security_result.rule_name | Mappato direttamente dal campo complianceMetadata.1.standardName. |
| complianceMetadata.2.requirementId | read_only_udm.security_result.rule_id | Mappato direttamente dal campo complianceMetadata.2.requirementId. |
| complianceMetadata.2.requirementName | read_only_udm.security_result.summary | Mappato direttamente dal campo complianceMetadata.2.requirementName. |
| complianceMetadata.2.standardName | read_only_udm.security_result.rule_name | Mappato direttamente dal campo complianceMetadata.2.standardName. |
| complianceMetadata.3.requirementId | read_only_udm.security_result.rule_id | Mappato direttamente dal campo complianceMetadata.3.requirementId. |
| complianceMetadata.3.requirementName | read_only_udm.security_result.summary | Mappato direttamente dal campo complianceMetadata.3.requirementName. |
| complianceMetadata.3.standardName | read_only_udm.security_result.rule_name | Mappato direttamente dal campo complianceMetadata.3.standardName. |
| complianceMetadata.4.requirementId | read_only_udm.security_result.rule_id | Mappato direttamente dal campo complianceMetadata.4.requirementId. |
| complianceMetadata.4.requirementName | read_only_udm.security_result.summary | Mappato direttamente dal campo complianceMetadata.4.requirementName. |
| complianceMetadata.4.standardName | read_only_udm.security_result.rule_name | Mappato direttamente dal campo complianceMetadata.4.standardName. |
| event_data.app | read_only_udm.target.application | Mappato direttamente dal campo event_data.app. |
| event_data.msg_data.account.cloudType | read_only_udm.target.resource.attribute.cloud.environment | Mappato dal campo event_data.msg_data.account.cloudType. Se il valore è "aws", viene impostato su "AMAZON_WEB_SERVICES". |
| event_data.msg_data.account.id | read_only_udm.target.cloud.project.id | Mappato direttamente dal campo event_data.msg_data.account.id. |
| event_data.msg_data.account.name | read_only_udm.target.cloud.project.name | Mappato direttamente dal campo event_data.msg_data.account.name. |
| event_data.msg_data.accountIDs | read_only_udm.principal.resource.attribute.labels.event message accountId {index} | Mappato direttamente dall'array event_data.msg_data.accountIDs. |
| event_data.msg_data.aggregatedAlerts.0.category | read_only_udm.security_result.category_details | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.category. |
| event_data.msg_data.aggregatedAlerts.0.command | read_only_udm.principal.process.command_line | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.command. |
| event_data.msg_data.aggregatedAlerts.0.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | Mappato direttamente dall'array event_data.msg_data.aggregatedAlerts.0.collections. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category | read_only_udm.security_result.category_details | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description | read_only_udm.security_result.description | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity | read_only_udm.security_result.severity | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity dopo la conversione in maiuscolo. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title | read_only_udm.security_result.action_details | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title. |
| event_data.msg_data.aggregatedAlerts.0.container | read_only_udm.target.resource.name | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.container. |
| event_data.msg_data.aggregatedAlerts.0.containerID | read_only_udm.target.resource.product_object_id | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.containerID. |
| event_data.msg_data.aggregatedAlerts.0.fqdn | read_only_udm.principal.domain.name | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.fqdn. |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.hostname | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.host. |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.asset.hostname | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.host. |
| event_data.msg_data.aggregatedAlerts.0.image | read_only_udm.target.resource.attribute.labels.image | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.image. |
| event_data.msg_data.aggregatedAlerts.0.imageID | read_only_udm.target.resource.attribute.labels.imageID | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.imageID. |
| event_data.msg_data.aggregatedAlerts.0.labels.controller-uid | read_only_udm.target.user.product_object_id | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.labels.controller-uid. |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name. |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid. |
| event_data.msg_data.aggregatedAlerts.0.msg_data | read_only_udm.security_result.description | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.msg_data. |
| event_data.msg_data.aggregatedAlerts.0.rule | read_only_udm.security_result.rule_name | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.rule. |
| event_data.msg_data.aggregatedAlerts.0.startupProcess | read_only_udm.principal.application | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.startupProcess. |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.seconds | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.time dopo la conversione in timestamp UNIX. |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.nanos | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.time dopo la conversione in timestamp UNIX. |
| event_data.msg_data.aggregatedAlerts.0.type | read_only_udm.security_result.category_details | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.type. |
| event_data.msg_data.aggregatedAlerts.0.user | read_only_udm.principal.user.userid | Mappato direttamente dal campo event_data.msg_data.aggregatedAlerts.0.user. |
| event_data.msg_data.alertId | read_only_udm.security_result.detection_fields.event message alertId | Mappato direttamente dal campo event_data.msg_data.alertId. |
| event_data.msg_data.alertRuleId | read_only_udm.security_result.rule_id | Mappato direttamente dal campo event_data.msg_data.alertRuleId. |
| event_data.msg_data.alertRuleName | read_only_udm.security_result.rule_name | Mappato direttamente dal campo event_data.msg_data.alertRuleName. |
| event_data.msg_data.alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | Mappato direttamente dal campo event_data.msg_data.alertStatus. |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.seconds | Mappato direttamente dal campo event_data.msg_data.alertTs dopo la conversione in timestamp UNIX. |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.nanos | Mappato direttamente dal campo event_data.msg_data.alertTs dopo la conversione in timestamp UNIX. |
| event_data.msg_data.category | read_only_udm.security_result.category_details | Mappato direttamente dal campo event_data.msg_data.category. |
| event_data.msg_data.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | Mappato direttamente dall'array event_data.msg_data.collections. |
| event_data.msg_data.command | read_only_udm.principal.process.command_line | Mappato direttamente dal campo event_data.msg_data.command. |
| event_data.msg_data.complianceIssues.0.category | read_only_udm.security_result.category_details | Mappato direttamente dal campo event_data.msg_data.complianceIssues.0.category. |
| event_data.msg_data.complianceIssues.0.description | read_only_udm.security_result.description | Mappato direttamente dal campo event_data.msg_data.complianceIssues.0.description. |
| event_data.msg_data.complianceIssues.0.severity | read_only_udm.security_result.severity | Mappato direttamente dal campo event_data.msg_data.complianceIssues.0.severity dopo la conversione in maiuscolo. |
| event_data.msg_data.complianceIssues.0.title | read_only_udm.security_result.action_details | Mappato direttamente dal campo event_data.msg_data.complianceIssues.0.title. |
| event_data.msg_data.container | read_only_udm.target.resource.name | Mappato direttamente dal campo event_data.msg_data.container. |
| event_data.msg_data.containerID | read_only_udm.target.resource.product_object_id | Mappato direttamente dal campo event_data.msg_data.containerID. |
| event_data.msg_data.dropped | read_only_udm.security_result.detection_fields.dropped | Mappato direttamente dal campo event_data.msg_data.dropped dopo la conversione in stringa. |
| event_data.msg_data.fqdn | read_only_udm.principal.domain.name | Mappato direttamente dal campo event_data.msg_data.fqdn. |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.seconds | Mappato direttamente dal campo event_data.msg_data.firstSeen dopo la conversione in timestamp UNIX. |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.nanos | Mappato direttamente dal campo event_data.msg_data.firstSeen dopo la conversione in timestamp UNIX. |
| event_data.msg_data.host | read_only_udm.principal.hostname | Mappato direttamente dal campo event_data.msg_data.host. |
| event_data.msg_data.host | read_only_udm.principal.asset.hostname | Mappato direttamente dal campo event_data.msg_data.host. |
| event_data.msg_data.image | read_only_udm.target.resource.attribute.labels.image | Mappato direttamente dal campo event_data.msg_data.image. |
| event_data.msg_data.imageID | read_only_udm.target.resource.attribute.labels.imageID | Mappato direttamente dal campo event_data.msg_data.imageID. |
| event_data.msg_data.labels.controller-uid | read_only_udm.target.user.product_object_id | Mappato direttamente dal campo event_data.msg_data.labels.controller-uid. |
| event_data.msg_data.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | Mappato direttamente dal campo event_data.msg_data.labels.io.kubernetes.pod.name. |
| event_data.msg_data.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | Mappato direttamente dal campo event_data.msg_data.labels.io.kubernetes.pod.uid. |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.seconds | Mappato direttamente dal campo event_data.msg_data.lastSeen dopo la conversione in timestamp UNIX. |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.nanos | Mappato direttamente dal campo event_data.msg_data.lastSeen dopo la conversione in timestamp UNIX. |
| event_data.msg_data.metadata.cveCritical | read_only_udm.security_result.detection_fields.event_data metadata cveCritical | Mappato direttamente dal campo event_data.msg_data.metadata.cveCritical. |
| event_data.msg_data.metadata.cveHigh | read_only_udm.security_result.detection_fields.event_data metadata cveHigh | Mappato direttamente dal campo event_data.msg_data.metadata.cveHigh. |
| event_data.msg_data.metadata.cveLow | read_only_udm.security_result.detection_fields.event_data metadata cveLow | Mappato direttamente dal campo event_data.msg_data.metadata.cveLow. |
| event_data.msg_data.metadata.cveMedium | read_only_udm.security_result.detection_fields.event_data metadata cveMedium | Mappato direttamente dal campo event_data.msg_data.metadata.cveMedium. |
| event_data.msg_data.metadata.source | read_only_udm.principal.hostname | Mappato direttamente dal campo event_data.msg_data.metadata.source. |
| event_data.msg_data.metadata.source | read_only_udm.principal.asset.hostname | Mappato direttamente dal campo event_data.msg_data.metadata.source. |
| event_data.msg_data.msg_data | read_only_udm.security_result.description | Mappato direttamente dal campo event_data.msg_data.msg_data. |
| event_data.msg_data.policy.description | read_only_udm.security_result.description | Mappato direttamente dal campo event_data.msg_data.policy.description. |
| event_data.msg_data.policy.id | read_only_udm.security_result.detection_fields.policy_id | Mappato direttamente dal campo event_data.msg_data.policy.id. |
| event_data.msg_data.policy.name | read_only_udm.security_result.summary | Mappato direttamente dal campo event_data.msg_data.policy.name. |
| event_data.msg_data.policy.policyTs | read_only_udm.additional.fields.policy_ts | Mappato direttamente dal campo event_data.msg_data.policy.policyTs. |
| event_data.msg_data.policy.policyType | read_only_udm.security_result.threat_name | Mappato direttamente dal campo event_data.msg_data.policy.policyType. |
| event_data.msg_data.policy.recommendation | read_only_udm.security_result.action_details | Mappato direttamente dal campo event_data.msg_data.policy.recommendation. |
| event_data.msg_data.policy.severity | read_only_udm.security_result.severity | Mappato direttamente dal campo event_data.msg_data.policy.severity dopo la conversione in maiuscolo. |
| event_data.msg_data.reason | read_only_udm.security_result.detection_fields.event message reason | Mappato direttamente dal campo event_data.msg_data.reason. |
| event_data.msg_data.region | read_only_udm.target.cloud.availability_zone | Mappato direttamente dal campo event_data.msg_data.region. |
| event_data.msg_data.resource.resourceId | read_only_udm.target.resource.product_object_id | Mappato direttamente dal campo event_data.msg_data.resource.resourceId. |
| event_data.msg_data.resource.resourceName | read_only_udm.target.resource.name | Mappato direttamente dal campo event_data.msg_data.resource.resourceName. |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.seconds | Mappato direttamente dal campo event_data.msg_data.resource.resourceTs dopo la conversione in timestamp UNIX. |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.nanos | Mappato direttamente dal campo event_data.msg_data.resource.resourceTs dopo la conversione in timestamp UNIX. |
| event_data.msg_data.rule | read_only_udm.security_result.rule_name | Mappato direttamente dal campo event_data.msg_data.rule. |
| event_data.msg_data.service | read_only_udm.security_result.detection_fields.event message service | Mappato direttamente dal campo event_data.msg_data.service. |
| event_data.msg_data.startupProcess | read_only_udm.principal.application | Mappato direttamente dal campo event_data.msg_data.startupProcess. |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.seconds | Mappato direttamente dal campo event_data.msg_data.time dopo la conversione in timestamp UNIX. |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.nanos | Mappato direttamente dal campo event_data.msg_data.time dopo la conversione in timestamp UNIX. |
| event_data.msg_data.type | read_only_udm.security_result.category_details | Mappato direttamente dal campo event_data.msg_data.type. |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.seconds | Mappato direttamente dal campo event_data.sentTs dopo la conversione in timestamp UNIX. |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.nanos | Mappato direttamente dal campo event_data.sentTs dopo la conversione in timestamp UNIX. |
| event_data.type | read_only_udm.security_result.category_details | Mappato direttamente dal campo event_data.type. |
| ipAddress | read_only_udm.principal.ip | Mappato direttamente dal campo ipAddress dopo l'estrazione dell'indirizzo IP utilizzando grok. |
| ipAddress | read_only_udm.principal.asset.ip | Mappato direttamente dal campo ipAddress dopo l'estrazione dell'indirizzo IP utilizzando grok. |
| ipAddress | read_only_udm.additional.fields.ipAddress | Mappato direttamente dal campo ipAddress se non è un indirizzo IP valido. |
| json_action.0.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 0 | Mappato direttamente dal campo json_action.0.policy_id. |
| json_action.0.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 0 | Mappato direttamente dal campo json_action.0.resource_name. |
| json_action.1.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 1 | Mappato direttamente dal campo json_action.1.policy_id. |
| json_action.1.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 1 | Mappato direttamente dal campo json_action.1.resource_name. |
| policy.policyId | read_only_udm.security_result.rule_id | Mappato direttamente dal campo policy.policyId. |
| policy.policyType | read_only_udm.security_result.rule_type | Mappato direttamente dal campo policy.policyType. |
| policy.recommendation | read_only_udm.metadata.description | Mappato direttamente dal campo policy.recommendation. |
| policy.severity | read_only_udm.security_result.severity | Mappato dal campo policy.severity. Se il valore è "info", viene impostato su "INFORMATIONAL". |
| policyName | read_only_udm.metadata.description | Mappato direttamente dal campo policyName. |
| motivo | read_only_udm.metadata.product_event_type | Mappato direttamente dal campo reason. |
| resource.accountId | read_only_udm.target.resource.product_object_id | Mappato direttamente dal campo resource.accountId. |
| resource.cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | Mappato direttamente dal campo resource.cloudServiceName. |
| resource.data.architecture | read_only_udm.principal.asset.hardware.cpu_platform | Mappato direttamente dal campo resource.data.architecture. |
| resource.data.cpuPlatform | read_only_udm.additional.fields.CPU Platform | Mappato direttamente dal campo resource.data.cpuPlatform. |
| resource.data.labelFingerprint | read_only_udm.security_result.detection_fields.labelFingerprint | Mappato direttamente dal campo resource.data.labelFingerprint. |
| resource.data.metadata.items.key | read_only_udm.additional.fields.key | Mappato direttamente dal campo resource.data.metadata.items.key. |
| resource.data.metadata.items.value | read_only_udm.additional.fields.value.string_value | Mappato direttamente dal campo resource.data.metadata.items.value. |
| resource.data.networkInterfaces.0.accessConfigs.0.natIP | read_only_udm.target.nat_ip | Mappato direttamente dal campo resource.data.networkInterfaces.0.accessConfigs.0.natIP. |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.ip | Mappato direttamente dal campo resource.data.networkInterfaces.0.networkIP. |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.asset.ip | Mappato direttamente dal campo resource.data.networkInterfaces.0.networkIP. |
| resource.data.physicalBlockSizeBytes | read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes | Mappato direttamente dal campo resource.data.physicalBlockSizeBytes dopo la conversione in stringa. |
| resource.data.selfLink | read_only_udm.about.url | Mappato direttamente dal campo resource.data.selfLink. |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.email_addresses | Mappato direttamente dal campo resource.data.serviceAccounts.0.email. |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.attribute.roles.type | Se resource.data.serviceAccounts.0.email contiene "serviceaccount", il valore è impostato su "SERVICE_ACCOUNT". |
| resource.data.sizeGb | read_only_udm.principal.resource.attribute.labels.sizeGb | Mappato direttamente dal campo resource.data.sizeGb. |
| resource.data.sourceImage | read_only_udm.principal.resource.attribute.labels.sourceImage | Mappato direttamente dal campo resource.data.sourceImage. |
| resource.name | read_only_udm.target.resource.name | Mappato direttamente dal campo resource.name. |
| resource.regionId | read_only_udm.target.location.country_or_region | Mappato direttamente da `resource |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.