Coletar registros do Prisma Cloud da Palo Alto
Compatível com:
Google SecOps
SIEM
Neste documento, descrevemos como coletar registros do Palo Alto Prisma Cloud configurando um feed do Google Security Operations.
Para mais informações, consulte Ingestão de dados no Google Security Operations.
Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador
com o rótulo de ingestão PAN_PRISMA_CLOUD.
Configurar o Prisma Cloud da Palo Alto
- Faça login no Console do Prisma Cloud da Palo Alto com uma conta de administrador.
- No menu Configurações, clique em Teclas de acesso.
- Clique em Adicionar novo e insira um Nome.
Clique em Criar. Os valores de ID da chave de acesso e Chave secreta aparecem.
Salve os valores de ID da chave de acesso e Chave secreta. Esses valores são necessários ao configurar o feed do Google Security Operations.
Configurar feeds
Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:
- Configurações do SIEM > Feeds
- Central de conteúdo > Pacotes de conteúdo
Configure feeds em "Configurações do SIEM" > "Feeds".
Para configurar um feed, siga estas etapas:
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na próxima página, clique em Configurar um único feed.
- No campo Nome do feed, insira um nome para o feed, por exemplo, Palo Alto Prisma Cloud Logs.
- Selecione API de terceiros como o Tipo de origem.
- Selecione Palo Alto Prisma Cloud como o Tipo de registro.
- Clique em Próxima.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Nome de usuário: especifique o ID da chave de acesso que você recebeu anteriormente.
- Senha:especifique a chave secreta que você recebeu anteriormente.
- Nome do host da API: especifique o nome do host da API.
- Clique em Próxima e em Enviar.
Configurar feeds na Central de conteúdo
Especifique valores para os seguintes campos:
- Nome de usuário: especifique o ID da chave de acesso que você recebeu anteriormente.
- Senha:especifique a chave secreta que você recebeu anteriormente.
- Nome do host da API: especifique o nome do host da API.
Opções avançadas
- Nome do feed:um valor pré-preenchido que identifica o feed.
- Tipo de origem:método usado para coletar registros no Google SecOps.
- Namespace do recurso:namespace associado ao feed.
- Rótulos de ingestão:rótulos aplicados a todos os eventos deste feed.
Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feed por tipo.
Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google Security Operations.
Referência de mapeamento de campos
Esse código de analisador extrai campos de registros PAN PRISMA CLOUD formatados em JSON, realiza transformações e mapeamentos de dados para estruturar os dados no esquema UDM do Chronicle. Ele processa várias estruturas de mensagens de registro, incluindo objetos e matrizes aninhados, para normalizar diversos eventos de segurança e informações contextuais para análise no Chronicle.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| accountName | read_only_udm.target.resource.attribute.cloud.project.id | Mapeado diretamente do campo accountName. |
| accountId | read_only_udm.target.hostname | Mapeado diretamente do campo accountId. |
| accountId | read_only_udm.target.asset.hostname | Mapeado diretamente do campo accountId. |
| accountId | read_only_udm.principal.cloud.project.id | Mapeado diretamente do campo accountId na matriz aggregatedAlerts. |
| ação | read_only_udm.security_result.description | Mapeado diretamente do campo action após a remoção da parte JSON. |
| alertId | read_only_udm.metadata.product_log_id | Mapeado diretamente do campo alertId. |
| alertRules.0.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_0 | Mapeado diretamente do campo alertRules.0.allowAutoRemediate. |
| alertRules.0.enabled | read_only_udm.security_result.detection_fields.enabled_0 | Mapeado diretamente do campo alertRules.0.enabled. |
| alertRules.0.name | read_only_udm.security_result.detection_fields.name_0 | Mapeado diretamente do campo alertRules.0.name. |
| alertRules.0.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_0 | Mapeado diretamente do campo alertRules.0.notifyOnDismissed. |
| alertRules.0.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_0 | Mapeado diretamente do campo alertRules.0.notifyOnOpen. |
| alertRules.0.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_0 | Mapeado diretamente do campo alertRules.0.notifyOnResolved. |
| alertRules.0.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 | Mapeado diretamente do campo alertRules.0.notifyOnSnoozed. |
| alertRules.0.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_0 | Mapeado diretamente do campo alertRules.0.policyScanConfigId. |
| alertRules.0.scanAll | read_only_udm.security_result.detection_fields.scanAll_0 | Mapeado diretamente do campo alertRules.0.scanAll. |
| alertRules.1.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_1 | Mapeado diretamente do campo alertRules.1.allowAutoRemediate. |
| alertRules.1.createdBy | read_only_udm.principal.user.email_addresses | Mapeado diretamente do campo alertRules.1.createdBy. |
| alertRules.1.enabled | read_only_udm.security_result.detection_fields.enabled_1 | Mapeado diretamente do campo alertRules.1.enabled. |
| alertRules.1.name | read_only_udm.security_result.detection_fields.name_1 | Mapeado diretamente do campo alertRules.1.name. |
| alertRules.1.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_1 | Mapeado diretamente do campo alertRules.1.notifyOnDismissed. |
| alertRules.1.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_1 | Mapeado diretamente do campo alertRules.1.notifyOnOpen. |
| alertRules.1.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_1 | Mapeado diretamente do campo alertRules.1.notifyOnResolved. |
| alertRules.1.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 | Mapeado diretamente do campo alertRules.1.notifyOnSnoozed. |
| alertRules.1.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_1 | Mapeado diretamente do campo alertRules.1.policyScanConfigId. |
| alertRules.1.scanAll | read_only_udm.security_result.detection_fields.scanAll_1 | Mapeado diretamente do campo alertRules.1.scanAll. |
| alertRules.2.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_2 | Mapeado diretamente do campo alertRules.2.allowAutoRemediate. |
| alertRules.2.createdBy | read_only_udm.principal.user.email_addresses | Mapeado diretamente do campo alertRules.2.createdBy. |
| alertRules.2.enabled | read_only_udm.security_result.detection_fields.enabled_2 | Mapeado diretamente do campo alertRules.2.enabled. |
| alertRules.2.name | read_only_udm.security_result.detection_fields.name_2 | Mapeado diretamente do campo alertRules.2.name. |
| alertRules.2.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_2 | Mapeado diretamente do campo alertRules.2.notifyOnDismissed. |
| alertRules.2.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_2 | Mapeado diretamente do campo alertRules.2.notifyOnOpen. |
| alertRules.2.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_2 | Mapeado diretamente do campo alertRules.2.notifyOnResolved. |
| alertRules.2.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 | Mapeado diretamente do campo alertRules.2.notifyOnSnoozed. |
| alertRules.2.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_2 | Mapeado diretamente do campo alertRules.2.policyScanConfigId. |
| alertRules.2.scanAll | read_only_udm.security_result.detection_fields.scanAll_2 | Mapeado diretamente do campo alertRules.2.scanAll. |
| alertRuleId | read_only_udm.security_result.rule_id | Mapeado diretamente do campo alertRuleId. |
| alertRuleName | read_only_udm.security_result.rule_name | Mapeado diretamente do campo alertRuleName. |
| alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | Mapeado diretamente do campo alertStatus no objeto event_data.msg_data. |
| alertTs | read_only_udm.metadata.event_timestamp.seconds | Mapeado diretamente do campo alertTs após a conversão para carimbo de data/hora UNIX. |
| alertTs | read_only_udm.metadata.event_timestamp.nanos | Mapeado diretamente do campo alertTs após a conversão para carimbo de data/hora UNIX. |
| callbackUrl | read_only_udm.metadata.url_back_to_product | Mapeado diretamente do campo callbackUrl. |
| cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | Mapeado diretamente do campo cloudServiceName. |
| cloudType | read_only_udm.target.resource.attribute.cloud.environment | Mapeado do campo cloudType. Se cloudType for "gcp", o valor será definido como "GOOGLE_CLOUD_PLATFORM". Se cloudType for "aws", o valor será definido como "AMAZON_WEB_SERVICES". |
| complianceMetadata.0.requirementId | read_only_udm.security_result.rule_id | Mapeado diretamente do campo complianceMetadata.0.requirementId. |
| complianceMetadata.0.requirementName | read_only_udm.security_result.summary | Mapeado diretamente do campo complianceMetadata.0.requirementName. |
| complianceMetadata.0.standardName | read_only_udm.security_result.rule_name | Mapeado diretamente do campo complianceMetadata.0.standardName. |
| complianceMetadata.1.requirementId | read_only_udm.security_result.rule_id | Mapeado diretamente do campo complianceMetadata.1.requirementId. |
| complianceMetadata.1.requirementName | read_only_udm.security_result.summary | Mapeado diretamente do campo complianceMetadata.1.requirementName. |
| complianceMetadata.1.standardName | read_only_udm.security_result.rule_name | Mapeado diretamente do campo complianceMetadata.1.standardName. |
| complianceMetadata.2.requirementId | read_only_udm.security_result.rule_id | Mapeado diretamente do campo complianceMetadata.2.requirementId. |
| complianceMetadata.2.requirementName | read_only_udm.security_result.summary | Mapeado diretamente do campo complianceMetadata.2.requirementName. |
| complianceMetadata.2.standardName | read_only_udm.security_result.rule_name | Mapeado diretamente do campo complianceMetadata.2.standardName. |
| complianceMetadata.3.requirementId | read_only_udm.security_result.rule_id | Mapeado diretamente do campo complianceMetadata.3.requirementId. |
| complianceMetadata.3.requirementName | read_only_udm.security_result.summary | Mapeado diretamente do campo complianceMetadata.3.requirementName. |
| complianceMetadata.3.standardName | read_only_udm.security_result.rule_name | Mapeado diretamente do campo complianceMetadata.3.standardName. |
| complianceMetadata.4.requirementId | read_only_udm.security_result.rule_id | Mapeado diretamente do campo complianceMetadata.4.requirementId. |
| complianceMetadata.4.requirementName | read_only_udm.security_result.summary | Mapeado diretamente do campo complianceMetadata.4.requirementName. |
| complianceMetadata.4.standardName | read_only_udm.security_result.rule_name | Mapeado diretamente do campo complianceMetadata.4.standardName. |
| event_data.app | read_only_udm.target.application | Mapeado diretamente do campo event_data.app. |
| event_data.msg_data.account.cloudType | read_only_udm.target.resource.attribute.cloud.environment | Mapeado do campo event_data.msg_data.account.cloudType. Se o valor for "aws", ele será definido como "AMAZON_WEB_SERVICES". |
| event_data.msg_data.account.id | read_only_udm.target.cloud.project.id | Mapeado diretamente do campo event_data.msg_data.account.id. |
| event_data.msg_data.account.name | read_only_udm.target.cloud.project.name | Mapeado diretamente do campo event_data.msg_data.account.name. |
| event_data.msg_data.accountIDs | read_only_udm.principal.resource.attribute.labels.event message accountId {index} | Mapeado diretamente da matriz event_data.msg_data.accountIDs. |
| event_data.msg_data.aggregatedAlerts.0.category | read_only_udm.security_result.category_details | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.category. |
| event_data.msg_data.aggregatedAlerts.0.command | read_only_udm.principal.process.command_line | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.command. |
| event_data.msg_data.aggregatedAlerts.0.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | Mapeado diretamente da matriz event_data.msg_data.aggregatedAlerts.0.collections. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category | read_only_udm.security_result.category_details | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description | read_only_udm.security_result.description | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity | read_only_udm.security_result.severity | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity após a conversão para maiúsculas. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title | read_only_udm.security_result.action_details | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title. |
| event_data.msg_data.aggregatedAlerts.0.container | read_only_udm.target.resource.name | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.container. |
| event_data.msg_data.aggregatedAlerts.0.containerID | read_only_udm.target.resource.product_object_id | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.containerID. |
| event_data.msg_data.aggregatedAlerts.0.fqdn | read_only_udm.principal.domain.name | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.fqdn. |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.hostname | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.host. |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.asset.hostname | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.host. |
| event_data.msg_data.aggregatedAlerts.0.image | read_only_udm.target.resource.attribute.labels.image | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.image. |
| event_data.msg_data.aggregatedAlerts.0.imageID | read_only_udm.target.resource.attribute.labels.imageID | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.imageID. |
| event_data.msg_data.aggregatedAlerts.0.labels.controller-uid | read_only_udm.target.user.product_object_id | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.labels.controller-uid. |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name. |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid. |
| event_data.msg_data.aggregatedAlerts.0.msg_data | read_only_udm.security_result.description | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.msg_data. |
| event_data.msg_data.aggregatedAlerts.0.rule | read_only_udm.security_result.rule_name | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.rule. |
| event_data.msg_data.aggregatedAlerts.0.startupProcess | read_only_udm.principal.application | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.startupProcess. |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.seconds | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.time após a conversão para carimbo de data/hora UNIX. |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.nanos | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.time após a conversão para carimbo de data/hora UNIX. |
| event_data.msg_data.aggregatedAlerts.0.type | read_only_udm.security_result.category_details | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.type. |
| event_data.msg_data.aggregatedAlerts.0.user | read_only_udm.principal.user.userid | Mapeado diretamente do campo event_data.msg_data.aggregatedAlerts.0.user. |
| event_data.msg_data.alertId | read_only_udm.security_result.detection_fields.event message alertId | Mapeado diretamente do campo event_data.msg_data.alertId. |
| event_data.msg_data.alertRuleId | read_only_udm.security_result.rule_id | Mapeado diretamente do campo event_data.msg_data.alertRuleId. |
| event_data.msg_data.alertRuleName | read_only_udm.security_result.rule_name | Mapeado diretamente do campo event_data.msg_data.alertRuleName. |
| event_data.msg_data.alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | Mapeado diretamente do campo event_data.msg_data.alertStatus. |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.seconds | Mapeado diretamente do campo event_data.msg_data.alertTs após a conversão para carimbo de data/hora UNIX. |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.nanos | Mapeado diretamente do campo event_data.msg_data.alertTs após a conversão para carimbo de data/hora UNIX. |
| event_data.msg_data.category | read_only_udm.security_result.category_details | Mapeado diretamente do campo event_data.msg_data.category. |
| event_data.msg_data.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | Mapeado diretamente da matriz event_data.msg_data.collections. |
| event_data.msg_data.command | read_only_udm.principal.process.command_line | Mapeado diretamente do campo event_data.msg_data.command. |
| event_data.msg_data.complianceIssues.0.category | read_only_udm.security_result.category_details | Mapeado diretamente do campo event_data.msg_data.complianceIssues.0.category. |
| event_data.msg_data.complianceIssues.0.description | read_only_udm.security_result.description | Mapeado diretamente do campo event_data.msg_data.complianceIssues.0.description. |
| event_data.msg_data.complianceIssues.0.severity | read_only_udm.security_result.severity | Mapeado diretamente do campo event_data.msg_data.complianceIssues.0.severity após a conversão para maiúsculas. |
| event_data.msg_data.complianceIssues.0.title | read_only_udm.security_result.action_details | Mapeado diretamente do campo event_data.msg_data.complianceIssues.0.title. |
| event_data.msg_data.container | read_only_udm.target.resource.name | Mapeado diretamente do campo event_data.msg_data.container. |
| event_data.msg_data.containerID | read_only_udm.target.resource.product_object_id | Mapeado diretamente do campo event_data.msg_data.containerID. |
| event_data.msg_data.dropped | read_only_udm.security_result.detection_fields.dropped | Mapeado diretamente do campo event_data.msg_data.dropped após a conversão para string. |
| event_data.msg_data.fqdn | read_only_udm.principal.domain.name | Mapeado diretamente do campo event_data.msg_data.fqdn. |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.seconds | Mapeado diretamente do campo event_data.msg_data.firstSeen após a conversão para carimbo de data/hora UNIX. |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.nanos | Mapeado diretamente do campo event_data.msg_data.firstSeen após a conversão para carimbo de data/hora UNIX. |
| event_data.msg_data.host | read_only_udm.principal.hostname | Mapeado diretamente do campo event_data.msg_data.host. |
| event_data.msg_data.host | read_only_udm.principal.asset.hostname | Mapeado diretamente do campo event_data.msg_data.host. |
| event_data.msg_data.image | read_only_udm.target.resource.attribute.labels.image | Mapeado diretamente do campo event_data.msg_data.image. |
| event_data.msg_data.imageID | read_only_udm.target.resource.attribute.labels.imageID | Mapeado diretamente do campo event_data.msg_data.imageID. |
| event_data.msg_data.labels.controller-uid | read_only_udm.target.user.product_object_id | Mapeado diretamente do campo event_data.msg_data.labels.controller-uid. |
| event_data.msg_data.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | Mapeado diretamente do campo event_data.msg_data.labels.io.kubernetes.pod.name. |
| event_data.msg_data.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | Mapeado diretamente do campo event_data.msg_data.labels.io.kubernetes.pod.uid. |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.seconds | Mapeado diretamente do campo event_data.msg_data.lastSeen após a conversão para carimbo de data/hora UNIX. |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.nanos | Mapeado diretamente do campo event_data.msg_data.lastSeen após a conversão para carimbo de data/hora UNIX. |
| event_data.msg_data.metadata.cveCritical | read_only_udm.security_result.detection_fields.event_data metadata cveCritical | Mapeado diretamente do campo event_data.msg_data.metadata.cveCritical. |
| event_data.msg_data.metadata.cveHigh | read_only_udm.security_result.detection_fields.event_data metadata cveHigh | Mapeado diretamente do campo event_data.msg_data.metadata.cveHigh. |
| event_data.msg_data.metadata.cveLow | read_only_udm.security_result.detection_fields.event_data metadata cveLow | Mapeado diretamente do campo event_data.msg_data.metadata.cveLow. |
| event_data.msg_data.metadata.cveMedium | read_only_udm.security_result.detection_fields.event_data metadata cveMedium | Mapeado diretamente do campo event_data.msg_data.metadata.cveMedium. |
| event_data.msg_data.metadata.source | read_only_udm.principal.hostname | Mapeado diretamente do campo event_data.msg_data.metadata.source. |
| event_data.msg_data.metadata.source | read_only_udm.principal.asset.hostname | Mapeado diretamente do campo event_data.msg_data.metadata.source. |
| event_data.msg_data.msg_data | read_only_udm.security_result.description | Mapeado diretamente do campo event_data.msg_data.msg_data. |
| event_data.msg_data.policy.description | read_only_udm.security_result.description | Mapeado diretamente do campo event_data.msg_data.policy.description. |
| event_data.msg_data.policy.id | read_only_udm.security_result.detection_fields.policy_id | Mapeado diretamente do campo event_data.msg_data.policy.id. |
| event_data.msg_data.policy.name | read_only_udm.security_result.summary | Mapeado diretamente do campo event_data.msg_data.policy.name. |
| event_data.msg_data.policy.policyTs | read_only_udm.additional.fields.policy_ts | Mapeado diretamente do campo event_data.msg_data.policy.policyTs. |
| event_data.msg_data.policy.policyType | read_only_udm.security_result.threat_name | Mapeado diretamente do campo event_data.msg_data.policy.policyType. |
| event_data.msg_data.policy.recommendation | read_only_udm.security_result.action_details | Mapeado diretamente do campo event_data.msg_data.policy.recommendation. |
| event_data.msg_data.policy.severity | read_only_udm.security_result.severity | Mapeado diretamente do campo event_data.msg_data.policy.severity após a conversão para maiúsculas. |
| event_data.msg_data.reason | read_only_udm.security_result.detection_fields.event message reason | Mapeado diretamente do campo event_data.msg_data.reason. |
| event_data.msg_data.region | read_only_udm.target.cloud.availability_zone | Mapeado diretamente do campo event_data.msg_data.region. |
| event_data.msg_data.resource.resourceId | read_only_udm.target.resource.product_object_id | Mapeado diretamente do campo event_data.msg_data.resource.resourceId. |
| event_data.msg_data.resource.resourceName | read_only_udm.target.resource.name | Mapeado diretamente do campo event_data.msg_data.resource.resourceName. |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.seconds | Mapeado diretamente do campo event_data.msg_data.resource.resourceTs após a conversão para carimbo de data/hora UNIX. |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.nanos | Mapeado diretamente do campo event_data.msg_data.resource.resourceTs após a conversão para carimbo de data/hora UNIX. |
| event_data.msg_data.rule | read_only_udm.security_result.rule_name | Mapeado diretamente do campo event_data.msg_data.rule. |
| event_data.msg_data.service | read_only_udm.security_result.detection_fields.event message service | Mapeado diretamente do campo event_data.msg_data.service. |
| event_data.msg_data.startupProcess | read_only_udm.principal.application | Mapeado diretamente do campo event_data.msg_data.startupProcess. |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.seconds | Mapeado diretamente do campo event_data.msg_data.time após a conversão para carimbo de data/hora UNIX. |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.nanos | Mapeado diretamente do campo event_data.msg_data.time após a conversão para carimbo de data/hora UNIX. |
| event_data.msg_data.type | read_only_udm.security_result.category_details | Mapeado diretamente do campo event_data.msg_data.type. |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.seconds | Mapeado diretamente do campo event_data.sentTs após a conversão para carimbo de data/hora UNIX. |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.nanos | Mapeado diretamente do campo event_data.sentTs após a conversão para carimbo de data/hora UNIX. |
| event_data.type | read_only_udm.security_result.category_details | Mapeado diretamente do campo event_data.type. |
| ipAddress | read_only_udm.principal.ip | Mapeado diretamente do campo ipAddress após a extração do endereço IP usando grok. |
| ipAddress | read_only_udm.principal.asset.ip | Mapeado diretamente do campo ipAddress após a extração do endereço IP usando grok. |
| ipAddress | read_only_udm.additional.fields.ipAddress | Mapeado diretamente do campo ipAddress se não for um endereço IP válido. |
| json_action.0.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 0 | Mapeado diretamente do campo json_action.0.policy_id. |
| json_action.0.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 0 | Mapeado diretamente do campo json_action.0.resource_name. |
| json_action.1.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 1 | Mapeado diretamente do campo json_action.1.policy_id. |
| json_action.1.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 1 | Mapeado diretamente do campo json_action.1.resource_name. |
| policy.policyId | read_only_udm.security_result.rule_id | Mapeado diretamente do campo policy.policyId. |
| policy.policyType | read_only_udm.security_result.rule_type | Mapeado diretamente do campo policy.policyType. |
| policy.recommendation | read_only_udm.metadata.description | Mapeado diretamente do campo policy.recommendation. |
| policy.severity | read_only_udm.security_result.severity | Mapeado do campo policy.severity. Se o valor for "info", ele será definido como "INFORMATIONAL". |
| policyName | read_only_udm.metadata.description | Mapeado diretamente do campo policyName. |
| reason | read_only_udm.metadata.product_event_type | Mapeado diretamente do campo reason. |
| resource.accountId | read_only_udm.target.resource.product_object_id | Mapeado diretamente do campo resource.accountId. |
| resource.cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | Mapeado diretamente do campo resource.cloudServiceName. |
| resource.data.architecture | read_only_udm.principal.asset.hardware.cpu_platform | Mapeado diretamente do campo resource.data.architecture. |
| resource.data.cpuPlatform | read_only_udm.additional.fields.CPU Platform | Mapeado diretamente do campo resource.data.cpuPlatform. |
| resource.data.labelFingerprint | read_only_udm.security_result.detection_fields.labelFingerprint | Mapeado diretamente do campo resource.data.labelFingerprint. |
| resource.data.metadata.items.key | read_only_udm.additional.fields.key | Mapeado diretamente do campo resource.data.metadata.items.key. |
| resource.data.metadata.items.value | read_only_udm.additional.fields.value.string_value | Mapeado diretamente do campo resource.data.metadata.items.value. |
| resource.data.networkInterfaces.0.accessConfigs.0.natIP | read_only_udm.target.nat_ip | Mapeado diretamente do campo resource.data.networkInterfaces.0.accessConfigs.0.natIP. |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.ip | Mapeado diretamente do campo resource.data.networkInterfaces.0.networkIP. |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.asset.ip | Mapeado diretamente do campo resource.data.networkInterfaces.0.networkIP. |
| resource.data.physicalBlockSizeBytes | read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes | Mapeado diretamente do campo resource.data.physicalBlockSizeBytes após a conversão para string. |
| resource.data.selfLink | read_only_udm.about.url | Mapeado diretamente do campo resource.data.selfLink. |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.email_addresses | Mapeado diretamente do campo resource.data.serviceAccounts.0.email. |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.attribute.roles.type | Se resource.data.serviceAccounts.0.email contiver "serviceaccount", o valor será definido como "SERVICE_ACCOUNT". |
| resource.data.sizeGb | read_only_udm.principal.resource.attribute.labels.sizeGb | Mapeado diretamente do campo resource.data.sizeGb. |
| resource.data.sourceImage | read_only_udm.principal.resource.attribute.labels.sourceImage | Mapeado diretamente do campo resource.data.sourceImage. |
| resource.name | read_only_udm.target.resource.name | Mapeado diretamente do campo resource.name. |
| resource.regionId | read_only_udm.target.location.country_or_region | Mapeado diretamente de "resource |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.