Palo Alto Prisma Cloud のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Security Operations フィードを設定して Palo Alto Prisma Cloud のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル PAN_PRISMA_CLOUD が付加されたパーサーに適用されます。
Palo Alto Prisma Cloud を構成する
- 管理者アカウントで Palo Alto Prisma Cloud コンソールにログインします。
- [設定] メニューで [アクセスキー] をクリックします。
- [Add New] をクリックして名前を入力します。
[作成] をクリックします。[アクセスキー ID] と [秘密鍵] の値が表示されます。
[アクセスキー ID] と [秘密鍵] の値を保存します。これらの値は、Google Security Operations フィードを構成するときに必要です。
フィードを設定する
フィードを構成する手順は次のとおりです。
- [SIEM Settings] > [Feeds] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一のフィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Palo Alto Prisma Cloud Logs)。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [Palo Alto Prisma Cloud] を選択します。
- [次へ] をクリックします。
- 次の必須入力パラメータを構成します。
- ユーザー名: 前の手順で取得したアクセスキー ID を指定します。
- パスワード: 前の手順で取得した秘密鍵を指定します。
- API ホスト名: API ホスト名を指定します。
- [次へ] をクリックしてから、[送信] をクリックします。
フィールド マッピング リファレンス
このパーサーコードは、JSON 形式の PAN PRISMA CLOUD ログからフィールドを抽出し、データ変換とマッピングを実行して、データを Chronicle UDM スキーマに構造化します。ネストされたオブジェクトや配列など、さまざまなログ メッセージ構造を処理し、Chronicle 内での分析用に多様なセキュリティ イベントとコンテキスト情報を正規化します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| accountName | read_only_udm.target.resource.attribute.cloud.project.id | accountName フィールドから直接マッピングされます。 |
| accountId | read_only_udm.target.hostname | accountId フィールドから直接マッピングされます。 |
| accountId | read_only_udm.target.asset.hostname | accountId フィールドから直接マッピングされます。 |
| accountId | read_only_udm.principal.cloud.project.id | aggregatedAlerts 配列の accountId フィールドから直接マッピングされます。 |
| アクション | read_only_udm.security_result.description | JSON 部分を削除した後、action フィールドから直接マッピングされます。 |
| alertId | read_only_udm.metadata.product_log_id | alertId フィールドから直接マッピングされます。 |
| alertRules.0.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_0 | alertRules.0.allowAutoRemediate フィールドから直接マッピングされます。 |
| alertRules.0.enabled | read_only_udm.security_result.detection_fields.enabled_0 | alertRules.0.enabled フィールドから直接マッピングされます。 |
| alertRules.0.name | read_only_udm.security_result.detection_fields.name_0 | alertRules.0.name フィールドから直接マッピングされます。 |
| alertRules.0.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_0 | alertRules.0.notifyOnDismissed フィールドから直接マッピングされます。 |
| alertRules.0.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_0 | alertRules.0.notifyOnOpen フィールドから直接マッピングされます。 |
| alertRules.0.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_0 | alertRules.0.notifyOnResolved フィールドから直接マッピングされます。 |
| alertRules.0.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 | alertRules.0.notifyOnSnoozed フィールドから直接マッピングされます。 |
| alertRules.0.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_0 | alertRules.0.policyScanConfigId フィールドから直接マッピングされます。 |
| alertRules.0.scanAll | read_only_udm.security_result.detection_fields.scanAll_0 | alertRules.0.scanAll フィールドから直接マッピングされます。 |
| alertRules.1.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_1 | alertRules.1.allowAutoRemediate フィールドから直接マッピングされます。 |
| alertRules.1.createdBy | read_only_udm.principal.user.email_addresses | alertRules.1.createdBy フィールドから直接マッピングされます。 |
| alertRules.1.enabled | read_only_udm.security_result.detection_fields.enabled_1 | alertRules.1.enabled フィールドから直接マッピングされます。 |
| alertRules.1.name | read_only_udm.security_result.detection_fields.name_1 | alertRules.1.name フィールドから直接マッピングされます。 |
| alertRules.1.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_1 | alertRules.1.notifyOnDismissed フィールドから直接マッピングされます。 |
| alertRules.1.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_1 | alertRules.1.notifyOnOpen フィールドから直接マッピングされます。 |
| alertRules.1.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_1 | alertRules.1.notifyOnResolved フィールドから直接マッピングされます。 |
| alertRules.1.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 | alertRules.1.notifyOnSnoozed フィールドから直接マッピングされます。 |
| alertRules.1.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_1 | alertRules.1.policyScanConfigId フィールドから直接マッピングされます。 |
| alertRules.1.scanAll | read_only_udm.security_result.detection_fields.scanAll_1 | alertRules.1.scanAll フィールドから直接マッピングされます。 |
| alertRules.2.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_2 | alertRules.2.allowAutoRemediate フィールドから直接マッピングされます。 |
| alertRules.2.createdBy | read_only_udm.principal.user.email_addresses | alertRules.2.createdBy フィールドから直接マッピングされます。 |
| alertRules.2.enabled | read_only_udm.security_result.detection_fields.enabled_2 | alertRules.2.enabled フィールドから直接マッピングされます。 |
| alertRules.2.name | read_only_udm.security_result.detection_fields.name_2 | alertRules.2.name フィールドから直接マッピングされます。 |
| alertRules.2.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_2 | alertRules.2.notifyOnDismissed フィールドから直接マッピングされます。 |
| alertRules.2.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_2 | alertRules.2.notifyOnOpen フィールドから直接マッピングされます。 |
| alertRules.2.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_2 | alertRules.2.notifyOnResolved フィールドから直接マッピングされます。 |
| alertRules.2.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 | alertRules.2.notifyOnSnoozed フィールドから直接マッピングされます。 |
| alertRules.2.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_2 | alertRules.2.policyScanConfigId フィールドから直接マッピングされます。 |
| alertRules.2.scanAll | read_only_udm.security_result.detection_fields.scanAll_2 | alertRules.2.scanAll フィールドから直接マッピングされます。 |
| alertRuleId | read_only_udm.security_result.rule_id | alertRuleId フィールドから直接マッピングされます。 |
| alertRuleName | read_only_udm.security_result.rule_name | alertRuleName フィールドから直接マッピングされます。 |
| alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | event_data.msg_data オブジェクトの alertStatus フィールドから直接マッピングされます。 |
| alertTs | read_only_udm.metadata.event_timestamp.seconds | UNIX タイムスタンプに変換した後、alertTs フィールドから直接マッピングされます。 |
| alertTs | read_only_udm.metadata.event_timestamp.nanos | UNIX タイムスタンプに変換した後、alertTs フィールドから直接マッピングされます。 |
| callbackUrl | read_only_udm.metadata.url_back_to_product | callbackUrl フィールドから直接マッピングされます。 |
| cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | cloudServiceName フィールドから直接マッピングされます。 |
| cloudType | read_only_udm.target.resource.attribute.cloud.environment | cloudType フィールドからマッピングされます。cloudType が「gcp」の場合、値は「GOOGLE_CLOUD_PLATFORM」に設定されます。cloudType が「aws」の場合、値は「AMAZON_WEB_SERVICES」に設定されます。 |
| complianceMetadata.0.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.0.requirementId フィールドから直接マッピングされます。 |
| complianceMetadata.0.requirementName | read_only_udm.security_result.summary | complianceMetadata.0.requirementName フィールドから直接マッピングされます。 |
| complianceMetadata.0.standardName | read_only_udm.security_result.rule_name | complianceMetadata.0.standardName フィールドから直接マッピングされます。 |
| complianceMetadata.1.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.1.requirementId フィールドから直接マッピングされます。 |
| complianceMetadata.1.requirementName | read_only_udm.security_result.summary | complianceMetadata.1.requirementName フィールドから直接マッピングされます。 |
| complianceMetadata.1.standardName | read_only_udm.security_result.rule_name | complianceMetadata.1.standardName フィールドから直接マッピングされます。 |
| complianceMetadata.2.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.2.requirementId フィールドから直接マッピングされます。 |
| complianceMetadata.2.requirementName | read_only_udm.security_result.summary | complianceMetadata.2.requirementName フィールドから直接マッピングされます。 |
| complianceMetadata.2.standardName | read_only_udm.security_result.rule_name | complianceMetadata.2.standardName フィールドから直接マッピングされます。 |
| complianceMetadata.3.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.3.requirementId フィールドから直接マッピングされます。 |
| complianceMetadata.3.requirementName | read_only_udm.security_result.summary | complianceMetadata.3.requirementName フィールドから直接マッピングされます。 |
| complianceMetadata.3.standardName | read_only_udm.security_result.rule_name | complianceMetadata.3.standardName フィールドから直接マッピングされます。 |
| complianceMetadata.4.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.4.requirementId フィールドから直接マッピングされます。 |
| complianceMetadata.4.requirementName | read_only_udm.security_result.summary | complianceMetadata.4.requirementName フィールドから直接マッピングされます。 |
| complianceMetadata.4.standardName | read_only_udm.security_result.rule_name | complianceMetadata.4.standardName フィールドから直接マッピングされます。 |
| event_data.app | read_only_udm.target.application | event_data.app フィールドから直接マッピングされます。 |
| event_data.msg_data.account.cloudType | read_only_udm.target.resource.attribute.cloud.environment | event_data.msg_data.account.cloudType フィールドからマッピングされます。値が「aws」の場合、「AMAZON_WEB_SERVICES」に設定されます。 |
| event_data.msg_data.account.id | read_only_udm.target.cloud.project.id | event_data.msg_data.account.id フィールドから直接マッピングされます。 |
| event_data.msg_data.account.name | read_only_udm.target.cloud.project.name | event_data.msg_data.account.name フィールドから直接マッピングされます。 |
| event_data.msg_data.accountIDs | read_only_udm.principal.resource.attribute.labels.event message accountId {index} | event_data.msg_data.accountIDs 配列から直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.category | read_only_udm.security_result.category_details | event_data.msg_data.aggregatedAlerts.0.category フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.command | read_only_udm.principal.process.command_line | event_data.msg_data.aggregatedAlerts.0.command フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | event_data.msg_data.aggregatedAlerts.0.collections 配列から直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category | read_only_udm.security_result.category_details | event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description | read_only_udm.security_result.description | event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity | read_only_udm.security_result.severity | 大文字に変換した後、event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title | read_only_udm.security_result.action_details | event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.container | read_only_udm.target.resource.name | event_data.msg_data.aggregatedAlerts.0.container フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.containerID | read_only_udm.target.resource.product_object_id | event_data.msg_data.aggregatedAlerts.0.containerID フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.fqdn | read_only_udm.principal.domain.name | event_data.msg_data.aggregatedAlerts.0.fqdn フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.hostname | event_data.msg_data.aggregatedAlerts.0.host フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.asset.hostname | event_data.msg_data.aggregatedAlerts.0.host フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.image | read_only_udm.target.resource.attribute.labels.image | event_data.msg_data.aggregatedAlerts.0.image フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.imageID | read_only_udm.target.resource.attribute.labels.imageID | event_data.msg_data.aggregatedAlerts.0.imageID フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.labels.controller-uid | read_only_udm.target.user.product_object_id | event_data.msg_data.aggregatedAlerts.0.labels.controller-uid フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.msg_data | read_only_udm.security_result.description | event_data.msg_data.aggregatedAlerts.0.msg_data フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.rule | read_only_udm.security_result.rule_name | event_data.msg_data.aggregatedAlerts.0.rule フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.startupProcess | read_only_udm.principal.application | event_data.msg_data.aggregatedAlerts.0.startupProcess フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.seconds | UNIX タイムスタンプに変換した後、event_data.msg_data.aggregatedAlerts.0.time フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.nanos | UNIX タイムスタンプに変換した後、event_data.msg_data.aggregatedAlerts.0.time フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.type | read_only_udm.security_result.category_details | event_data.msg_data.aggregatedAlerts.0.type フィールドから直接マッピングされます。 |
| event_data.msg_data.aggregatedAlerts.0.user | read_only_udm.principal.user.userid | event_data.msg_data.aggregatedAlerts.0.user フィールドから直接マッピングされます。 |
| event_data.msg_data.alertId | read_only_udm.security_result.detection_fields.event message alertId | event_data.msg_data.alertId フィールドから直接マッピングされます。 |
| event_data.msg_data.alertRuleId | read_only_udm.security_result.rule_id | event_data.msg_data.alertRuleId フィールドから直接マッピングされます。 |
| event_data.msg_data.alertRuleName | read_only_udm.security_result.rule_name | event_data.msg_data.alertRuleName フィールドから直接マッピングされます。 |
| event_data.msg_data.alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | event_data.msg_data.alertStatus フィールドから直接マッピングされます。 |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.seconds | UNIX タイムスタンプに変換した後、event_data.msg_data.alertTs フィールドから直接マッピングされます。 |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.nanos | UNIX タイムスタンプに変換した後、event_data.msg_data.alertTs フィールドから直接マッピングされます。 |
| event_data.msg_data.category | read_only_udm.security_result.category_details | event_data.msg_data.category フィールドから直接マッピングされます。 |
| event_data.msg_data.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | event_data.msg_data.collections 配列から直接マッピングされます。 |
| event_data.msg_data.command | read_only_udm.principal.process.command_line | event_data.msg_data.command フィールドから直接マッピングされます。 |
| event_data.msg_data.complianceIssues.0.category | read_only_udm.security_result.category_details | event_data.msg_data.complianceIssues.0.category フィールドから直接マッピングされます。 |
| event_data.msg_data.complianceIssues.0.description | read_only_udm.security_result.description | event_data.msg_data.complianceIssues.0.description フィールドから直接マッピングされます。 |
| event_data.msg_data.complianceIssues.0.severity | read_only_udm.security_result.severity | 大文字に変換した後、event_data.msg_data.complianceIssues.0.severity フィールドから直接マッピングされます。 |
| event_data.msg_data.complianceIssues.0.title | read_only_udm.security_result.action_details | event_data.msg_data.complianceIssues.0.title フィールドから直接マッピングされます。 |
| event_data.msg_data.container | read_only_udm.target.resource.name | event_data.msg_data.container フィールドから直接マッピングされます。 |
| event_data.msg_data.containerID | read_only_udm.target.resource.product_object_id | event_data.msg_data.containerID フィールドから直接マッピングされます。 |
| event_data.msg_data.dropped | read_only_udm.security_result.detection_fields.dropped | 文字列に変換した後、event_data.msg_data.dropped フィールドから直接マッピングされます。 |
| event_data.msg_data.fqdn | read_only_udm.principal.domain.name | event_data.msg_data.fqdn フィールドから直接マッピングされます。 |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.seconds | UNIX タイムスタンプに変換した後、event_data.msg_data.firstSeen フィールドから直接マッピングされます。 |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.nanos | UNIX タイムスタンプに変換した後、event_data.msg_data.firstSeen フィールドから直接マッピングされます。 |
| event_data.msg_data.host | read_only_udm.principal.hostname | event_data.msg_data.host フィールドから直接マッピングされます。 |
| event_data.msg_data.host | read_only_udm.principal.asset.hostname | event_data.msg_data.host フィールドから直接マッピングされます。 |
| event_data.msg_data.image | read_only_udm.target.resource.attribute.labels.image | event_data.msg_data.image フィールドから直接マッピングされます。 |
| event_data.msg_data.imageID | read_only_udm.target.resource.attribute.labels.imageID | event_data.msg_data.imageID フィールドから直接マッピングされます。 |
| event_data.msg_data.labels.controller-uid | read_only_udm.target.user.product_object_id | event_data.msg_data.labels.controller-uid フィールドから直接マッピングされます。 |
| event_data.msg_data.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | event_data.msg_data.labels.io.kubernetes.pod.name フィールドから直接マッピングされます。 |
| event_data.msg_data.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | event_data.msg_data.labels.io.kubernetes.pod.uid フィールドから直接マッピングされます。 |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.seconds | UNIX タイムスタンプに変換した後、event_data.msg_data.lastSeen フィールドから直接マッピングされます。 |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.nanos | UNIX タイムスタンプに変換した後、event_data.msg_data.lastSeen フィールドから直接マッピングされます。 |
| event_data.msg_data.metadata.cveCritical | read_only_udm.security_result.detection_fields.event_data metadata cveCritical | event_data.msg_data.metadata.cveCritical フィールドから直接マッピングされます。 |
| event_data.msg_data.metadata.cveHigh | read_only_udm.security_result.detection_fields.event_data metadata cveHigh | event_data.msg_data.metadata.cveHigh フィールドから直接マッピングされます。 |
| event_data.msg_data.metadata.cveLow | read_only_udm.security_result.detection_fields.event_data metadata cveLow | event_data.msg_data.metadata.cveLow フィールドから直接マッピングされます。 |
| event_data.msg_data.metadata.cveMedium | read_only_udm.security_result.detection_fields.event_data metadata cveMedium | event_data.msg_data.metadata.cveMedium フィールドから直接マッピングされます。 |
| event_data.msg_data.metadata.source | read_only_udm.principal.hostname | event_data.msg_data.metadata.source フィールドから直接マッピングされます。 |
| event_data.msg_data.metadata.source | read_only_udm.principal.asset.hostname | event_data.msg_data.metadata.source フィールドから直接マッピングされます。 |
| event_data.msg_data.msg_data | read_only_udm.security_result.description | event_data.msg_data.msg_data フィールドから直接マッピングされます。 |
| event_data.msg_data.policy.description | read_only_udm.security_result.description | event_data.msg_data.policy.description フィールドから直接マッピングされます。 |
| event_data.msg_data.policy.id | read_only_udm.security_result.detection_fields.policy_id | event_data.msg_data.policy.id フィールドから直接マッピングされます。 |
| event_data.msg_data.policy.name | read_only_udm.security_result.summary | event_data.msg_data.policy.name フィールドから直接マッピングされます。 |
| event_data.msg_data.policy.policyTs | read_only_udm.additional.fields.policy_ts | event_data.msg_data.policy.policyTs フィールドから直接マッピングされます。 |
| event_data.msg_data.policy.policyType | read_only_udm.security_result.threat_name | event_data.msg_data.policy.policyType フィールドから直接マッピングされます。 |
| event_data.msg_data.policy.recommendation | read_only_udm.security_result.action_details | event_data.msg_data.policy.recommendation フィールドから直接マッピングされます。 |
| event_data.msg_data.policy.severity | read_only_udm.security_result.severity | 大文字に変換した後、event_data.msg_data.policy.severity フィールドから直接マッピングされます。 |
| event_data.msg_data.reason | read_only_udm.security_result.detection_fields.event message reason | event_data.msg_data.reason フィールドから直接マッピングされます。 |
| event_data.msg_data.region | read_only_udm.target.cloud.availability_zone | event_data.msg_data.region フィールドから直接マッピングされます。 |
| event_data.msg_data.resource.resourceId | read_only_udm.target.resource.product_object_id | event_data.msg_data.resource.resourceId フィールドから直接マッピングされます。 |
| event_data.msg_data.resource.resourceName | read_only_udm.target.resource.name | event_data.msg_data.resource.resourceName フィールドから直接マッピングされます。 |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.seconds | UNIX タイムスタンプに変換した後、event_data.msg_data.resource.resourceTs フィールドから直接マッピングされます。 |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.nanos | UNIX タイムスタンプに変換した後、event_data.msg_data.resource.resourceTs フィールドから直接マッピングされます。 |
| event_data.msg_data.rule | read_only_udm.security_result.rule_name | event_data.msg_data.rule フィールドから直接マッピングされます。 |
| event_data.msg_data.service | read_only_udm.security_result.detection_fields.event message service | event_data.msg_data.service フィールドから直接マッピングされます。 |
| event_data.msg_data.startupProcess | read_only_udm.principal.application | event_data.msg_data.startupProcess フィールドから直接マッピングされます。 |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.seconds | UNIX タイムスタンプに変換した後、event_data.msg_data.time フィールドから直接マッピングされます。 |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.nanos | UNIX タイムスタンプに変換した後、event_data.msg_data.time フィールドから直接マッピングされます。 |
| event_data.msg_data.type | read_only_udm.security_result.category_details | event_data.msg_data.type フィールドから直接マッピングされます。 |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.seconds | UNIX タイムスタンプに変換した後、event_data.sentTs フィールドから直接マッピングされます。 |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.nanos | UNIX タイムスタンプに変換した後、event_data.sentTs フィールドから直接マッピングされます。 |
| event_data.type | read_only_udm.security_result.category_details | event_data.type フィールドから直接マッピングされます。 |
| ipAddress | read_only_udm.principal.ip | Grok を使用して IP アドレスを抽出した後、ipAddress フィールドから直接マッピングされます。 |
| ipAddress | read_only_udm.principal.asset.ip | Grok を使用して IP アドレスを抽出した後、ipAddress フィールドから直接マッピングされます。 |
| ipAddress | read_only_udm.additional.fields.ipAddress | 有効な IP アドレスでない場合、ipAddress フィールドから直接マッピングされます。 |
| json_action.0.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 0 | json_action.0.policy_id フィールドから直接マッピングされます。 |
| json_action.0.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 0 | json_action.0.resource_name フィールドから直接マッピングされます。 |
| json_action.1.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 1 | json_action.1.policy_id フィールドから直接マッピングされます。 |
| json_action.1.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 1 | json_action.1.resource_name フィールドから直接マッピングされます。 |
| policy.policyId | read_only_udm.security_result.rule_id | policy.policyId フィールドから直接マッピングされます。 |
| policy.policyType | read_only_udm.security_result.rule_type | policy.policyType フィールドから直接マッピングされます。 |
| policy.recommendation | read_only_udm.metadata.description | policy.recommendation フィールドから直接マッピングされます。 |
| policy.severity | read_only_udm.security_result.severity | policy.severity フィールドからマッピングされます。値が「info」の場合、「INFORMATIONAL」に設定されます。 |
| policyName | read_only_udm.metadata.description | policyName フィールドから直接マッピングされます。 |
| reason | read_only_udm.metadata.product_event_type | reason フィールドから直接マッピングされます。 |
| resource.accountId | read_only_udm.target.resource.product_object_id | resource.accountId フィールドから直接マッピングされます。 |
| resource.cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | resource.cloudServiceName フィールドから直接マッピングされます。 |
| resource.data.architecture | read_only_udm.principal.asset.hardware.cpu_platform | resource.data.architecture フィールドから直接マッピングされます。 |
| resource.data.cpuPlatform | read_only_udm.additional.fields.CPU Platform | resource.data.cpuPlatform フィールドから直接マッピングされます。 |
| resource.data.labelFingerprint | read_only_udm.security_result.detection_fields.labelFingerprint | resource.data.labelFingerprint フィールドから直接マッピングされます。 |
| resource.data.metadata.items.key | read_only_udm.additional.fields.key | resource.data.metadata.items.key フィールドから直接マッピングされます。 |
| resource.data.metadata.items.value | read_only_udm.additional.fields.value.string_value | resource.data.metadata.items.value フィールドから直接マッピングされます。 |
| resource.data.networkInterfaces.0.accessConfigs.0.natIP | read_only_udm.target.nat_ip | resource.data.networkInterfaces.0.accessConfigs.0.natIP フィールドから直接マッピングされます。 |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.ip | resource.data.networkInterfaces.0.networkIP フィールドから直接マッピングされます。 |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.asset.ip | resource.data.networkInterfaces.0.networkIP フィールドから直接マッピングされます。 |
| resource.data.physicalBlockSizeBytes | read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes | 文字列に変換した後、resource.data.physicalBlockSizeBytes フィールドから直接マッピングされます。 |
| resource.data.selfLink | read_only_udm.about.url | resource.data.selfLink フィールドから直接マッピングされます。 |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.email_addresses | resource.data.serviceAccounts.0.email フィールドから直接マッピングされます。 |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.attribute.roles.type | resource.data.serviceAccounts.0.email に「serviceaccount」が含まれている場合、値は「SERVICE_ACCOUNT」に設定されます。 |
| resource.data.sizeGb | read_only_udm.principal.resource.attribute.labels.sizeGb | resource.data.sizeGb フィールドから直接マッピングされます。 |
| resource.data.sourceImage | read_only_udm.principal.resource.attribute.labels.sourceImage | resource.data.sourceImage フィールドから直接マッピングされます。 |
| resource.name | read_only_udm.target.resource.name | resource.name フィールドから直接マッピングされます。 |
| resource.regionId | read_only_udm.target.location.country_or_region | `resource から直接マッピングされます |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。