Recolha registos do Palo Alto Prisma Cloud
Compatível com:
Google secops
SIEM
Este documento descreve como pode recolher registos do Palo Alto Prisma Cloud configurando um feed do Google Security Operations.
Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados
para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento PAN_PRISMA_CLOUD.
Configure o Palo Alto Prisma Cloud
- Inicie sessão na Palo Alto Prisma Cloud Console com uma conta de administrador.
- No menu Definições, clique em Teclas de acesso.
- Clique em Adicionar novo e introduza um nome.
Clique em Criar. São apresentados os valores do ID da chave de acesso e da chave secreta.
Guarde os valores do ID da chave de acesso e da chave secreta. Estes valores são necessários quando configura o feed do Google Security Operations.
Configure feeds
Para configurar um feed, siga estes passos:
- Aceda a Definições do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na página seguinte, clique em Configurar um único feed.
- No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do Palo Alto Prisma Cloud.
- Selecione API de terceiros como o Tipo de origem.
- Selecione Palo Alto Prisma Cloud como o tipo de registo.
- Clicar em Seguinte.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Nome de utilizador: especifique o ID da chave de acesso que obteve anteriormente.
- Palavra-passe: especifique a chave secreta que obteve anteriormente.
- Nome do anfitrião da API: especifique o nome do anfitrião da API.
- Clique em Seguinte e, de seguida, em Enviar.
Referência de mapeamento de campos
Este código de análise sintática extrai campos de registos PAN PRISMA CLOUD formatados em JSON, realiza transformações e mapeamentos de dados para estruturar os dados no esquema UDM do Chronicle. Processa várias estruturas de mensagens de registo, incluindo objetos e matrizes aninhados, para normalizar diversos eventos de segurança e informações contextuais para análise no Chronicle.
Tabela de mapeamento da UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
| accountName | read_only_udm.target.resource.attribute.cloud.project.id | Mapeado diretamente a partir do campo accountName. |
| accountId | read_only_udm.target.hostname | Mapeado diretamente a partir do campo accountId. |
| accountId | read_only_udm.target.asset.hostname | Mapeado diretamente a partir do campo accountId. |
| accountId | read_only_udm.principal.cloud.project.id | Mapeado diretamente a partir do campo accountId na matriz aggregatedAlerts. |
| ação | read_only_udm.security_result.description | Mapeado diretamente do campo action após a remoção da parte JSON. |
| alertId | read_only_udm.metadata.product_log_id | Mapeado diretamente a partir do campo alertId. |
| alertRules.0.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_0 | Mapeado diretamente a partir do campo alertRules.0.allowAutoRemediate. |
| alertRules.0.enabled | read_only_udm.security_result.detection_fields.enabled_0 | Mapeado diretamente a partir do campo alertRules.0.enabled. |
| alertRules.0.name | read_only_udm.security_result.detection_fields.name_0 | Mapeado diretamente a partir do campo alertRules.0.name. |
| alertRules.0.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_0 | Mapeado diretamente a partir do campo alertRules.0.notifyOnDismissed. |
| alertRules.0.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_0 | Mapeado diretamente a partir do campo alertRules.0.notifyOnOpen. |
| alertRules.0.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_0 | Mapeado diretamente a partir do campo alertRules.0.notifyOnResolved. |
| alertRules.0.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 | Mapeado diretamente a partir do campo alertRules.0.notifyOnSnoozed. |
| alertRules.0.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_0 | Mapeado diretamente a partir do campo alertRules.0.policyScanConfigId. |
| alertRules.0.scanAll | read_only_udm.security_result.detection_fields.scanAll_0 | Mapeado diretamente a partir do campo alertRules.0.scanAll. |
| alertRules.1.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_1 | Mapeado diretamente a partir do campo alertRules.1.allowAutoRemediate. |
| alertRules.1.createdBy | read_only_udm.principal.user.email_addresses | Mapeado diretamente a partir do campo alertRules.1.createdBy. |
| alertRules.1.enabled | read_only_udm.security_result.detection_fields.enabled_1 | Mapeado diretamente a partir do campo alertRules.1.enabled. |
| alertRules.1.name | read_only_udm.security_result.detection_fields.name_1 | Mapeado diretamente a partir do campo alertRules.1.name. |
| alertRules.1.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_1 | Mapeado diretamente a partir do campo alertRules.1.notifyOnDismissed. |
| alertRules.1.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_1 | Mapeado diretamente a partir do campo alertRules.1.notifyOnOpen. |
| alertRules.1.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_1 | Mapeado diretamente a partir do campo alertRules.1.notifyOnResolved. |
| alertRules.1.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 | Mapeado diretamente a partir do campo alertRules.1.notifyOnSnoozed. |
| alertRules.1.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_1 | Mapeado diretamente a partir do campo alertRules.1.policyScanConfigId. |
| alertRules.1.scanAll | read_only_udm.security_result.detection_fields.scanAll_1 | Mapeado diretamente a partir do campo alertRules.1.scanAll. |
| alertRules.2.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_2 | Mapeado diretamente a partir do campo alertRules.2.allowAutoRemediate. |
| alertRules.2.createdBy | read_only_udm.principal.user.email_addresses | Mapeado diretamente a partir do campo alertRules.2.createdBy. |
| alertRules.2.enabled | read_only_udm.security_result.detection_fields.enabled_2 | Mapeado diretamente a partir do campo alertRules.2.enabled. |
| alertRules.2.name | read_only_udm.security_result.detection_fields.name_2 | Mapeado diretamente a partir do campo alertRules.2.name. |
| alertRules.2.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_2 | Mapeado diretamente a partir do campo alertRules.2.notifyOnDismissed. |
| alertRules.2.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_2 | Mapeado diretamente a partir do campo alertRules.2.notifyOnOpen. |
| alertRules.2.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_2 | Mapeado diretamente a partir do campo alertRules.2.notifyOnResolved. |
| alertRules.2.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 | Mapeado diretamente a partir do campo alertRules.2.notifyOnSnoozed. |
| alertRules.2.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_2 | Mapeado diretamente a partir do campo alertRules.2.policyScanConfigId. |
| alertRules.2.scanAll | read_only_udm.security_result.detection_fields.scanAll_2 | Mapeado diretamente a partir do campo alertRules.2.scanAll. |
| alertRuleId | read_only_udm.security_result.rule_id | Mapeado diretamente a partir do campo alertRuleId. |
| alertRuleName | read_only_udm.security_result.rule_name | Mapeado diretamente a partir do campo alertRuleName. |
| alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | Mapeado diretamente a partir do campo alertStatus no objeto event_data.msg_data. |
| alertTs | read_only_udm.metadata.event_timestamp.seconds | Mapeado diretamente a partir do campo alertTs após a conversão para a data/hora Unix. |
| alertTs | read_only_udm.metadata.event_timestamp.nanos | Mapeado diretamente a partir do campo alertTs após a conversão para a data/hora Unix. |
| callbackUrl | read_only_udm.metadata.url_back_to_product | Mapeado diretamente a partir do campo callbackUrl. |
| cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | Mapeado diretamente a partir do campo cloudServiceName. |
| cloudType | read_only_udm.target.resource.attribute.cloud.environment | Mapeado a partir do campo cloudType. Se cloudType for "gcp", o valor é definido como "GOOGLE_CLOUD_PLATFORM". Se cloudType for "aws", o valor é definido como "AMAZON_WEB_SERVICES". |
| complianceMetadata.0.requirementId | read_only_udm.security_result.rule_id | Mapeado diretamente a partir do campo complianceMetadata.0.requirementId. |
| complianceMetadata.0.requirementName | read_only_udm.security_result.summary | Mapeado diretamente a partir do campo complianceMetadata.0.requirementName. |
| complianceMetadata.0.standardName | read_only_udm.security_result.rule_name | Mapeado diretamente a partir do campo complianceMetadata.0.standardName. |
| complianceMetadata.1.requirementId | read_only_udm.security_result.rule_id | Mapeado diretamente a partir do campo complianceMetadata.1.requirementId. |
| complianceMetadata.1.requirementName | read_only_udm.security_result.summary | Mapeado diretamente a partir do campo complianceMetadata.1.requirementName. |
| complianceMetadata.1.standardName | read_only_udm.security_result.rule_name | Mapeado diretamente a partir do campo complianceMetadata.1.standardName. |
| complianceMetadata.2.requirementId | read_only_udm.security_result.rule_id | Mapeado diretamente a partir do campo complianceMetadata.2.requirementId. |
| complianceMetadata.2.requirementName | read_only_udm.security_result.summary | Mapeado diretamente a partir do campo complianceMetadata.2.requirementName. |
| complianceMetadata.2.standardName | read_only_udm.security_result.rule_name | Mapeado diretamente a partir do campo complianceMetadata.2.standardName. |
| complianceMetadata.3.requirementId | read_only_udm.security_result.rule_id | Mapeado diretamente a partir do campo complianceMetadata.3.requirementId. |
| complianceMetadata.3.requirementName | read_only_udm.security_result.summary | Mapeado diretamente a partir do campo complianceMetadata.3.requirementName. |
| complianceMetadata.3.standardName | read_only_udm.security_result.rule_name | Mapeado diretamente a partir do campo complianceMetadata.3.standardName. |
| complianceMetadata.4.requirementId | read_only_udm.security_result.rule_id | Mapeado diretamente a partir do campo complianceMetadata.4.requirementId. |
| complianceMetadata.4.requirementName | read_only_udm.security_result.summary | Mapeado diretamente a partir do campo complianceMetadata.4.requirementName. |
| complianceMetadata.4.standardName | read_only_udm.security_result.rule_name | Mapeado diretamente a partir do campo complianceMetadata.4.standardName. |
| event_data.app | read_only_udm.target.application | Mapeado diretamente a partir do campo event_data.app. |
| event_data.msg_data.account.cloudType | read_only_udm.target.resource.attribute.cloud.environment | Mapeado a partir do campo event_data.msg_data.account.cloudType. Se o valor for "aws", é definido como "AMAZON_WEB_SERVICES". |
| event_data.msg_data.account.id | read_only_udm.target.cloud.project.id | Mapeado diretamente a partir do campo event_data.msg_data.account.id. |
| event_data.msg_data.account.name | read_only_udm.target.cloud.project.name | Mapeado diretamente a partir do campo event_data.msg_data.account.name. |
| event_data.msg_data.accountIDs | read_only_udm.principal.resource.attribute.labels.event message accountId {index} | Mapeado diretamente a partir da matriz event_data.msg_data.accountIDs. |
| event_data.msg_data.aggregatedAlerts.0.category | read_only_udm.security_result.category_details | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.category. |
| event_data.msg_data.aggregatedAlerts.0.command | read_only_udm.principal.process.command_line | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.command. |
| event_data.msg_data.aggregatedAlerts.0.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | Mapeado diretamente a partir da matriz event_data.msg_data.aggregatedAlerts.0.collections. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category | read_only_udm.security_result.category_details | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description | read_only_udm.security_result.description | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity | read_only_udm.security_result.severity | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity após a conversão para letras maiúsculas. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title | read_only_udm.security_result.action_details | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title. |
| event_data.msg_data.aggregatedAlerts.0.container | read_only_udm.target.resource.name | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.container. |
| event_data.msg_data.aggregatedAlerts.0.containerID | read_only_udm.target.resource.product_object_id | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.containerID. |
| event_data.msg_data.aggregatedAlerts.0.fqdn | read_only_udm.principal.domain.name | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.fqdn. |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.hostname | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.host. |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.asset.hostname | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.host. |
| event_data.msg_data.aggregatedAlerts.0.image | read_only_udm.target.resource.attribute.labels.image | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.image. |
| event_data.msg_data.aggregatedAlerts.0.imageID | read_only_udm.target.resource.attribute.labels.imageID | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.imageID. |
| event_data.msg_data.aggregatedAlerts.0.labels.controller-uid | read_only_udm.target.user.product_object_id | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.labels.controller-uid. |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name. |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid. |
| event_data.msg_data.aggregatedAlerts.0.msg_data | read_only_udm.security_result.description | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.msg_data. |
| event_data.msg_data.aggregatedAlerts.0.rule | read_only_udm.security_result.rule_name | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.rule. |
| event_data.msg_data.aggregatedAlerts.0.startupProcess | read_only_udm.principal.application | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.startupProcess. |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.seconds | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.time após a conversão para a data/hora Unix. |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.nanos | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.time após a conversão para a data/hora Unix. |
| event_data.msg_data.aggregatedAlerts.0.type | read_only_udm.security_result.category_details | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.type. |
| event_data.msg_data.aggregatedAlerts.0.user | read_only_udm.principal.user.userid | Mapeado diretamente a partir do campo event_data.msg_data.aggregatedAlerts.0.user. |
| event_data.msg_data.alertId | read_only_udm.security_result.detection_fields.event message alertId | Mapeado diretamente a partir do campo event_data.msg_data.alertId. |
| event_data.msg_data.alertRuleId | read_only_udm.security_result.rule_id | Mapeado diretamente a partir do campo event_data.msg_data.alertRuleId. |
| event_data.msg_data.alertRuleName | read_only_udm.security_result.rule_name | Mapeado diretamente a partir do campo event_data.msg_data.alertRuleName. |
| event_data.msg_data.alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | Mapeado diretamente a partir do campo event_data.msg_data.alertStatus. |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.seconds | Mapeado diretamente a partir do campo event_data.msg_data.alertTs após a conversão para a data/hora Unix. |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.nanos | Mapeado diretamente a partir do campo event_data.msg_data.alertTs após a conversão para a data/hora Unix. |
| event_data.msg_data.category | read_only_udm.security_result.category_details | Mapeado diretamente a partir do campo event_data.msg_data.category. |
| event_data.msg_data.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | Mapeado diretamente a partir da matriz event_data.msg_data.collections. |
| event_data.msg_data.command | read_only_udm.principal.process.command_line | Mapeado diretamente a partir do campo event_data.msg_data.command. |
| event_data.msg_data.complianceIssues.0.category | read_only_udm.security_result.category_details | Mapeado diretamente a partir do campo event_data.msg_data.complianceIssues.0.category. |
| event_data.msg_data.complianceIssues.0.description | read_only_udm.security_result.description | Mapeado diretamente a partir do campo event_data.msg_data.complianceIssues.0.description. |
| event_data.msg_data.complianceIssues.0.severity | read_only_udm.security_result.severity | Mapeado diretamente a partir do campo event_data.msg_data.complianceIssues.0.severity após a conversão para letras maiúsculas. |
| event_data.msg_data.complianceIssues.0.title | read_only_udm.security_result.action_details | Mapeado diretamente a partir do campo event_data.msg_data.complianceIssues.0.title. |
| event_data.msg_data.container | read_only_udm.target.resource.name | Mapeado diretamente a partir do campo event_data.msg_data.container. |
| event_data.msg_data.containerID | read_only_udm.target.resource.product_object_id | Mapeado diretamente a partir do campo event_data.msg_data.containerID. |
| event_data.msg_data.dropped | read_only_udm.security_result.detection_fields.dropped | Mapeado diretamente do campo event_data.msg_data.dropped após a conversão em string. |
| event_data.msg_data.fqdn | read_only_udm.principal.domain.name | Mapeado diretamente a partir do campo event_data.msg_data.fqdn. |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.seconds | Mapeado diretamente a partir do campo event_data.msg_data.firstSeen após a conversão para a data/hora Unix. |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.nanos | Mapeado diretamente a partir do campo event_data.msg_data.firstSeen após a conversão para a data/hora Unix. |
| event_data.msg_data.host | read_only_udm.principal.hostname | Mapeado diretamente a partir do campo event_data.msg_data.host. |
| event_data.msg_data.host | read_only_udm.principal.asset.hostname | Mapeado diretamente a partir do campo event_data.msg_data.host. |
| event_data.msg_data.image | read_only_udm.target.resource.attribute.labels.image | Mapeado diretamente a partir do campo event_data.msg_data.image. |
| event_data.msg_data.imageID | read_only_udm.target.resource.attribute.labels.imageID | Mapeado diretamente a partir do campo event_data.msg_data.imageID. |
| event_data.msg_data.labels.controller-uid | read_only_udm.target.user.product_object_id | Mapeado diretamente a partir do campo event_data.msg_data.labels.controller-uid. |
| event_data.msg_data.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | Mapeado diretamente a partir do campo event_data.msg_data.labels.io.kubernetes.pod.name. |
| event_data.msg_data.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | Mapeado diretamente a partir do campo event_data.msg_data.labels.io.kubernetes.pod.uid. |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.seconds | Mapeado diretamente a partir do campo event_data.msg_data.lastSeen após a conversão para a data/hora Unix. |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.nanos | Mapeado diretamente a partir do campo event_data.msg_data.lastSeen após a conversão para a data/hora Unix. |
| event_data.msg_data.metadata.cveCritical | read_only_udm.security_result.detection_fields.event_data metadata cveCritical | Mapeado diretamente a partir do campo event_data.msg_data.metadata.cveCritical. |
| event_data.msg_data.metadata.cveHigh | read_only_udm.security_result.detection_fields.event_data metadata cveHigh | Mapeado diretamente a partir do campo event_data.msg_data.metadata.cveHigh. |
| event_data.msg_data.metadata.cveLow | read_only_udm.security_result.detection_fields.event_data metadata cveLow | Mapeado diretamente a partir do campo event_data.msg_data.metadata.cveLow. |
| event_data.msg_data.metadata.cveMedium | read_only_udm.security_result.detection_fields.event_data metadata cveMedium | Mapeado diretamente a partir do campo event_data.msg_data.metadata.cveMedium. |
| event_data.msg_data.metadata.source | read_only_udm.principal.hostname | Mapeado diretamente a partir do campo event_data.msg_data.metadata.source. |
| event_data.msg_data.metadata.source | read_only_udm.principal.asset.hostname | Mapeado diretamente a partir do campo event_data.msg_data.metadata.source. |
| event_data.msg_data.msg_data | read_only_udm.security_result.description | Mapeado diretamente a partir do campo event_data.msg_data.msg_data. |
| event_data.msg_data.policy.description | read_only_udm.security_result.description | Mapeado diretamente a partir do campo event_data.msg_data.policy.description. |
| event_data.msg_data.policy.id | read_only_udm.security_result.detection_fields.policy_id | Mapeado diretamente a partir do campo event_data.msg_data.policy.id. |
| event_data.msg_data.policy.name | read_only_udm.security_result.summary | Mapeado diretamente a partir do campo event_data.msg_data.policy.name. |
| event_data.msg_data.policy.policyTs | read_only_udm.additional.fields.policy_ts | Mapeado diretamente a partir do campo event_data.msg_data.policy.policyTs. |
| event_data.msg_data.policy.policyType | read_only_udm.security_result.threat_name | Mapeado diretamente a partir do campo event_data.msg_data.policy.policyType. |
| event_data.msg_data.policy.recommendation | read_only_udm.security_result.action_details | Mapeado diretamente a partir do campo event_data.msg_data.policy.recommendation. |
| event_data.msg_data.policy.severity | read_only_udm.security_result.severity | Mapeado diretamente a partir do campo event_data.msg_data.policy.severity após a conversão para letras maiúsculas. |
| event_data.msg_data.reason | read_only_udm.security_result.detection_fields.event message reason | Mapeado diretamente a partir do campo event_data.msg_data.reason. |
| event_data.msg_data.region | read_only_udm.target.cloud.availability_zone | Mapeado diretamente a partir do campo event_data.msg_data.region. |
| event_data.msg_data.resource.resourceId | read_only_udm.target.resource.product_object_id | Mapeado diretamente a partir do campo event_data.msg_data.resource.resourceId. |
| event_data.msg_data.resource.resourceName | read_only_udm.target.resource.name | Mapeado diretamente a partir do campo event_data.msg_data.resource.resourceName. |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.seconds | Mapeado diretamente a partir do campo event_data.msg_data.resource.resourceTs após a conversão para a data/hora Unix. |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.nanos | Mapeado diretamente a partir do campo event_data.msg_data.resource.resourceTs após a conversão para a data/hora Unix. |
| event_data.msg_data.rule | read_only_udm.security_result.rule_name | Mapeado diretamente a partir do campo event_data.msg_data.rule. |
| event_data.msg_data.service | read_only_udm.security_result.detection_fields.event message service | Mapeado diretamente a partir do campo event_data.msg_data.service. |
| event_data.msg_data.startupProcess | read_only_udm.principal.application | Mapeado diretamente a partir do campo event_data.msg_data.startupProcess. |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.seconds | Mapeado diretamente a partir do campo event_data.msg_data.time após a conversão para a data/hora Unix. |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.nanos | Mapeado diretamente a partir do campo event_data.msg_data.time após a conversão para a data/hora Unix. |
| event_data.msg_data.type | read_only_udm.security_result.category_details | Mapeado diretamente a partir do campo event_data.msg_data.type. |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.seconds | Mapeado diretamente a partir do campo event_data.sentTs após a conversão para a data/hora Unix. |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.nanos | Mapeado diretamente a partir do campo event_data.sentTs após a conversão para a data/hora Unix. |
| event_data.type | read_only_udm.security_result.category_details | Mapeado diretamente a partir do campo event_data.type. |
| ipAddress | read_only_udm.principal.ip | Mapeado diretamente a partir do campo ipAddress após a extração do endereço IP através do grok. |
| ipAddress | read_only_udm.principal.asset.ip | Mapeado diretamente a partir do campo ipAddress após a extração do endereço IP através do grok. |
| ipAddress | read_only_udm.additional.fields.ipAddress | Mapeado diretamente a partir do campo ipAddress se não for um endereço IP válido. |
| json_action.0.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 0 | Mapeado diretamente a partir do campo json_action.0.policy_id. |
| json_action.0.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 0 | Mapeado diretamente a partir do campo json_action.0.resource_name. |
| json_action.1.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 1 | Mapeado diretamente a partir do campo json_action.1.policy_id. |
| json_action.1.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 1 | Mapeado diretamente a partir do campo json_action.1.resource_name. |
| policy.policyId | read_only_udm.security_result.rule_id | Mapeado diretamente a partir do campo policy.policyId. |
| policy.policyType | read_only_udm.security_result.rule_type | Mapeado diretamente a partir do campo policy.policyType. |
| policy.recommendation | read_only_udm.metadata.description | Mapeado diretamente a partir do campo policy.recommendation. |
| policy.severity | read_only_udm.security_result.severity | Mapeado a partir do campo policy.severity. Se o valor for "info", é definido como "INFORMATIONAL". |
| policyName | read_only_udm.metadata.description | Mapeado diretamente a partir do campo policyName. |
| motivo | read_only_udm.metadata.product_event_type | Mapeado diretamente a partir do campo reason. |
| resource.accountId | read_only_udm.target.resource.product_object_id | Mapeado diretamente a partir do campo resource.accountId. |
| resource.cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | Mapeado diretamente a partir do campo resource.cloudServiceName. |
| resource.data.architecture | read_only_udm.principal.asset.hardware.cpu_platform | Mapeado diretamente a partir do campo resource.data.architecture. |
| resource.data.cpuPlatform | read_only_udm.additional.fields.CPU Platform | Mapeado diretamente a partir do campo resource.data.cpuPlatform. |
| resource.data.labelFingerprint | read_only_udm.security_result.detection_fields.labelFingerprint | Mapeado diretamente a partir do campo resource.data.labelFingerprint. |
| resource.data.metadata.items.key | read_only_udm.additional.fields.key | Mapeado diretamente a partir do campo resource.data.metadata.items.key. |
| resource.data.metadata.items.value | read_only_udm.additional.fields.value.string_value | Mapeado diretamente a partir do campo resource.data.metadata.items.value. |
| resource.data.networkInterfaces.0.accessConfigs.0.natIP | read_only_udm.target.nat_ip | Mapeado diretamente a partir do campo resource.data.networkInterfaces.0.accessConfigs.0.natIP. |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.ip | Mapeado diretamente a partir do campo resource.data.networkInterfaces.0.networkIP. |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.asset.ip | Mapeado diretamente a partir do campo resource.data.networkInterfaces.0.networkIP. |
| resource.data.physicalBlockSizeBytes | read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes | Mapeado diretamente do campo resource.data.physicalBlockSizeBytes após a conversão em string. |
| resource.data.selfLink | read_only_udm.about.url | Mapeado diretamente a partir do campo resource.data.selfLink. |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.email_addresses | Mapeado diretamente a partir do campo resource.data.serviceAccounts.0.email. |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.attribute.roles.type | Se resource.data.serviceAccounts.0.email contiver "serviceaccount", o valor é definido como "SERVICE_ACCOUNT". |
| resource.data.sizeGb | read_only_udm.principal.resource.attribute.labels.sizeGb | Mapeado diretamente a partir do campo resource.data.sizeGb. |
| resource.data.sourceImage | read_only_udm.principal.resource.attribute.labels.sourceImage | Mapeado diretamente a partir do campo resource.data.sourceImage. |
| resource.name | read_only_udm.target.resource.name | Mapeado diretamente a partir do campo resource.name. |
| resource.regionId | read_only_udm.target.location.country_or_region | Mapeado diretamente de `resource |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.