收集 Palo Alto Prisma Cloud 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Palo Alto Prisma Cloud 日志。
如需了解详情,请参阅将数据注入 Google Security Operations。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 PAN_PRISMA_CLOUD 注入标签的解析器。
配置 Palo Alto Prisma Cloud
- 使用管理员账号登录 Palo Alto Prisma Cloud 控制台。
- 在设置菜单中,点击快捷键。
- 点击 Add New(添加新内容),然后输入名称。
点击创建。系统会显示访问密钥 ID 和密钥密文值。
保存访问密钥 ID 和密钥值。配置 Google Security Operations Feed 时,您需要提供这些值。
设置 Feed
您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:
- SIEM 设置 > Feed
- 内容中心 > 内容包
通过“SIEM 设置”>“Feed”设置 Feed
如需配置 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed name 字段中,输入 Feed 的名称,例如 Palo Alto Prisma Cloud Logs。
- 选择第三方 API 作为来源类型。
- 选择 Palo Alto Prisma Cloud 作为日志类型。
- 点击下一步。
- 配置以下必需的输入参数:
- 用户名:指定您之前获得的访问密钥 ID。
- 密码:指定您之前获得的密钥。
- API 主机名:指定 API 主机名。
- 点击下一步,然后点击提交。
设置来自内容中心的 Feed
为以下字段指定值:
- 用户名:指定您之前获得的访问密钥 ID。
- 密码:指定您之前获得的密钥。
- API 主机名:指定 API 主机名。
高级选项
- Feed 名称:用于标识 Feed 的预填充值。
- 来源类型:用于将日志收集到 Google SecOps 中的方法。
- 资源命名空间:与 Feed 关联的命名空间。
- 提取标签:应用于相应 Feed 中所有事件的标签。
如需详细了解 Google Security Operations Feed,请参阅 Google Security Operations Feed 文档。 如需了解每种 Feed 类型的要求,请参阅按类型划分的 Feed 配置。
如果您在创建 Feed 时遇到问题,请与 Google Security Operations 支持团队联系。
字段映射参考
此解析器代码从 JSON 格式的 PAN PRISMA CLOUD 日志中提取字段,执行数据转换和映射,以将数据结构化为 Chronicle UDM 架构。它可处理各种日志消息结构(包括嵌套对象和数组),以标准化各种安全事件和上下文信息,以便在 Chronicle 中进行分析。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| accountName | read_only_udm.target.resource.attribute.cloud.project.id | 直接从 accountName 字段映射。 |
| accountId | read_only_udm.target.hostname | 直接从 accountId 字段映射。 |
| accountId | read_only_udm.target.asset.hostname | 直接从 accountId 字段映射。 |
| accountId | read_only_udm.principal.cloud.project.id | 直接从 aggregatedAlerts 数组中的 accountId 字段映射。 |
| 操作 | read_only_udm.security_result.description | 直接从 action 字段映射,并移除了 JSON 部分。 |
| alertId | read_only_udm.metadata.product_log_id | 直接从 alertId 字段映射。 |
| alertRules.0.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_0 | 直接从 alertRules.0.allowAutoRemediate 字段映射。 |
| alertRules.0.enabled | read_only_udm.security_result.detection_fields.enabled_0 | 直接从 alertRules.0.enabled 字段映射。 |
| alertRules.0.name | read_only_udm.security_result.detection_fields.name_0 | 直接从 alertRules.0.name 字段映射。 |
| alertRules.0.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_0 | 直接从 alertRules.0.notifyOnDismissed 字段映射。 |
| alertRules.0.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_0 | 直接从 alertRules.0.notifyOnOpen 字段映射。 |
| alertRules.0.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_0 | 直接从 alertRules.0.notifyOnResolved 字段映射。 |
| alertRules.0.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 | 直接从 alertRules.0.notifyOnSnoozed 字段映射。 |
| alertRules.0.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_0 | 直接从 alertRules.0.policyScanConfigId 字段映射。 |
| alertRules.0.scanAll | read_only_udm.security_result.detection_fields.scanAll_0 | 直接从 alertRules.0.scanAll 字段映射。 |
| alertRules.1.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_1 | 直接从 alertRules.1.allowAutoRemediate 字段映射。 |
| alertRules.1.createdBy | read_only_udm.principal.user.email_addresses | 直接从 alertRules.1.createdBy 字段映射。 |
| alertRules.1.enabled | read_only_udm.security_result.detection_fields.enabled_1 | 直接从 alertRules.1.enabled 字段映射。 |
| alertRules.1.name | read_only_udm.security_result.detection_fields.name_1 | 直接从 alertRules.1.name 字段映射。 |
| alertRules.1.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_1 | 直接从 alertRules.1.notifyOnDismissed 字段映射。 |
| alertRules.1.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_1 | 直接从 alertRules.1.notifyOnOpen 字段映射。 |
| alertRules.1.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_1 | 直接从 alertRules.1.notifyOnResolved 字段映射。 |
| alertRules.1.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 | 直接从 alertRules.1.notifyOnSnoozed 字段映射。 |
| alertRules.1.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_1 | 直接从 alertRules.1.policyScanConfigId 字段映射。 |
| alertRules.1.scanAll | read_only_udm.security_result.detection_fields.scanAll_1 | 直接从 alertRules.1.scanAll 字段映射。 |
| alertRules.2.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_2 | 直接从 alertRules.2.allowAutoRemediate 字段映射。 |
| alertRules.2.createdBy | read_only_udm.principal.user.email_addresses | 直接从 alertRules.2.createdBy 字段映射。 |
| alertRules.2.enabled | read_only_udm.security_result.detection_fields.enabled_2 | 直接从 alertRules.2.enabled 字段映射。 |
| alertRules.2.name | read_only_udm.security_result.detection_fields.name_2 | 直接从 alertRules.2.name 字段映射。 |
| alertRules.2.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_2 | 直接从 alertRules.2.notifyOnDismissed 字段映射。 |
| alertRules.2.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_2 | 直接从 alertRules.2.notifyOnOpen 字段映射。 |
| alertRules.2.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_2 | 直接从 alertRules.2.notifyOnResolved 字段映射。 |
| alertRules.2.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 | 直接从 alertRules.2.notifyOnSnoozed 字段映射。 |
| alertRules.2.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_2 | 直接从 alertRules.2.policyScanConfigId 字段映射。 |
| alertRules.2.scanAll | read_only_udm.security_result.detection_fields.scanAll_2 | 直接从 alertRules.2.scanAll 字段映射。 |
| alertRuleId | read_only_udm.security_result.rule_id | 直接从 alertRuleId 字段映射。 |
| alertRuleName | read_only_udm.security_result.rule_name | 直接从 alertRuleName 字段映射。 |
| alertStatus | read_only_udm.security_result.detection_fields.event 消息 alertStatus | 直接从 event_data.msg_data 对象中的 alertStatus 字段映射。 |
| alertTs | read_only_udm.metadata.event_timestamp.seconds | 直接从 alertTs 字段映射,并转换为 UNIX 时间戳。 |
| alertTs | read_only_udm.metadata.event_timestamp.nanos | 直接从 alertTs 字段映射,并转换为 UNIX 时间戳。 |
| callbackUrl | read_only_udm.metadata.url_back_to_product | 直接从 callbackUrl 字段映射。 |
| cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | 直接从 cloudServiceName 字段映射。 |
| cloudType | read_only_udm.target.resource.attribute.cloud.environment | 从 cloudType 字段映射。如果 cloudType 为“gcp”,则该值设置为“GOOGLE_CLOUD_PLATFORM”。如果 cloudType 为“aws”,则该值设置为“AMAZON_WEB_SERVICES”。 |
| complianceMetadata.0.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.0.requirementId 字段映射。 |
| complianceMetadata.0.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.0.requirementName 字段映射。 |
| complianceMetadata.0.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.0.standardName 字段映射。 |
| complianceMetadata.1.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.1.requirementId 字段映射。 |
| complianceMetadata.1.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.1.requirementName 字段映射。 |
| complianceMetadata.1.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.1.standardName 字段映射。 |
| complianceMetadata.2.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.2.requirementId 字段映射。 |
| complianceMetadata.2.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.2.requirementName 字段映射。 |
| complianceMetadata.2.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.2.standardName 字段映射。 |
| complianceMetadata.3.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.3.requirementId 字段映射。 |
| complianceMetadata.3.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.3.requirementName 字段映射。 |
| complianceMetadata.3.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.3.standardName 字段映射。 |
| complianceMetadata.4.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.4.requirementId 字段映射。 |
| complianceMetadata.4.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.4.requirementName 字段映射。 |
| complianceMetadata.4.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.4.standardName 字段映射。 |
| event_data.app | read_only_udm.target.application | 直接从 event_data.app 字段映射。 |
| event_data.msg_data.account.cloudType | read_only_udm.target.resource.attribute.cloud.environment | 从 event_data.msg_data.account.cloudType 字段映射。如果值为“aws”,则设置为“AMAZON_WEB_SERVICES”。 |
| event_data.msg_data.account.id | read_only_udm.target.cloud.project.id | 直接从 event_data.msg_data.account.id 字段映射。 |
| event_data.msg_data.account.name | read_only_udm.target.cloud.project.name | 直接从 event_data.msg_data.account.name 字段映射。 |
| event_data.msg_data.accountIDs | read_only_udm.principal.resource.attribute.labels.event message accountId {index} | 直接从 event_data.msg_data.accountIDs 数组映射。 |
| event_data.msg_data.aggregatedAlerts.0.category | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.aggregatedAlerts.0.category 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.command | read_only_udm.principal.process.command_line | 直接从 event_data.msg_data.aggregatedAlerts.0.command 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | 直接从 event_data.msg_data.aggregatedAlerts.0.collections 数组映射。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description | read_only_udm.security_result.description | 直接从 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity | read_only_udm.security_result.severity | 直接从 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity 字段映射,并转换为大写。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title | read_only_udm.security_result.action_details | 直接从 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.container | read_only_udm.target.resource.name | 直接从 event_data.msg_data.aggregatedAlerts.0.container 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.containerID | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.aggregatedAlerts.0.containerID 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.fqdn | read_only_udm.principal.domain.name | 直接从 event_data.msg_data.aggregatedAlerts.0.fqdn 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.hostname | 直接从 event_data.msg_data.aggregatedAlerts.0.host 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.asset.hostname | 直接从 event_data.msg_data.aggregatedAlerts.0.host 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.image | read_only_udm.target.resource.attribute.labels.image | 直接从 event_data.msg_data.aggregatedAlerts.0.image 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.imageID | read_only_udm.target.resource.attribute.labels.imageID | 直接从 event_data.msg_data.aggregatedAlerts.0.imageID 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.labels.controller-uid | read_only_udm.target.user.product_object_id | 直接从 event_data.msg_data.aggregatedAlerts.0.labels.controller-uid 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | 直接从 event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.msg_data | read_only_udm.security_result.description | 直接从 event_data.msg_data.aggregatedAlerts.0.msg_data 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.rule | read_only_udm.security_result.rule_name | 直接从 event_data.msg_data.aggregatedAlerts.0.rule 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.startupProcess | read_only_udm.principal.application | 直接从 event_data.msg_data.aggregatedAlerts.0.startupProcess 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.seconds | 直接从 event_data.msg_data.aggregatedAlerts.0.time 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.nanos | 直接从 event_data.msg_data.aggregatedAlerts.0.time 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.aggregatedAlerts.0.type | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.aggregatedAlerts.0.type 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.user | read_only_udm.principal.user.userid | 直接从 event_data.msg_data.aggregatedAlerts.0.user 字段映射。 |
| event_data.msg_data.alertId | read_only_udm.security_result.detection_fields.event message alertId | 直接从 event_data.msg_data.alertId 字段映射。 |
| event_data.msg_data.alertRuleId | read_only_udm.security_result.rule_id | 直接从 event_data.msg_data.alertRuleId 字段映射。 |
| event_data.msg_data.alertRuleName | read_only_udm.security_result.rule_name | 直接从 event_data.msg_data.alertRuleName 字段映射。 |
| event_data.msg_data.alertStatus | read_only_udm.security_result.detection_fields.event 消息 alertStatus | 直接从 event_data.msg_data.alertStatus 字段映射。 |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.seconds | 直接从 event_data.msg_data.alertTs 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.nanos | 直接从 event_data.msg_data.alertTs 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.category | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.category 字段映射。 |
| event_data.msg_data.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | 直接从 event_data.msg_data.collections 数组映射。 |
| event_data.msg_data.command | read_only_udm.principal.process.command_line | 直接从 event_data.msg_data.command 字段映射。 |
| event_data.msg_data.complianceIssues.0.category | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.complianceIssues.0.category 字段映射。 |
| event_data.msg_data.complianceIssues.0.description | read_only_udm.security_result.description | 直接从 event_data.msg_data.complianceIssues.0.description 字段映射。 |
| event_data.msg_data.complianceIssues.0.severity | read_only_udm.security_result.severity | 直接从 event_data.msg_data.complianceIssues.0.severity 字段映射,并转换为大写。 |
| event_data.msg_data.complianceIssues.0.title | read_only_udm.security_result.action_details | 直接从 event_data.msg_data.complianceIssues.0.title 字段映射。 |
| event_data.msg_data.container | read_only_udm.target.resource.name | 直接从 event_data.msg_data.container 字段映射。 |
| event_data.msg_data.containerID | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.containerID 字段映射。 |
| event_data.msg_data.dropped | read_only_udm.security_result.detection_fields.dropped | 从 event_data.msg_data.dropped 字段直接映射,并转换为字符串。 |
| event_data.msg_data.fqdn | read_only_udm.principal.domain.name | 直接从 event_data.msg_data.fqdn 字段映射。 |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.seconds | 直接从 event_data.msg_data.firstSeen 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.nanos | 直接从 event_data.msg_data.firstSeen 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.host | read_only_udm.principal.hostname | 直接从 event_data.msg_data.host 字段映射。 |
| event_data.msg_data.host | read_only_udm.principal.asset.hostname | 直接从 event_data.msg_data.host 字段映射。 |
| event_data.msg_data.image | read_only_udm.target.resource.attribute.labels.image | 直接从 event_data.msg_data.image 字段映射。 |
| event_data.msg_data.imageID | read_only_udm.target.resource.attribute.labels.imageID | 直接从 event_data.msg_data.imageID 字段映射。 |
| event_data.msg_data.labels.controller-uid | read_only_udm.target.user.product_object_id | 直接从 event_data.msg_data.labels.controller-uid 字段映射。 |
| event_data.msg_data.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | 直接从 event_data.msg_data.labels.io.kubernetes.pod.name 字段映射。 |
| event_data.msg_data.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.labels.io.kubernetes.pod.uid 字段映射。 |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.seconds | 直接从 event_data.msg_data.lastSeen 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.nanos | 直接从 event_data.msg_data.lastSeen 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.metadata.cveCritical | read_only_udm.security_result.detection_fields.event_data 元数据 cveCritical | 直接从 event_data.msg_data.metadata.cveCritical 字段映射。 |
| event_data.msg_data.metadata.cveHigh | read_only_udm.security_result.detection_fields.event_data 元数据 cveHigh | 直接从 event_data.msg_data.metadata.cveHigh 字段映射。 |
| event_data.msg_data.metadata.cveLow | read_only_udm.security_result.detection_fields.event_data 元数据 cveLow | 直接从 event_data.msg_data.metadata.cveLow 字段映射。 |
| event_data.msg_data.metadata.cveMedium | read_only_udm.security_result.detection_fields.event_data 元数据 cveMedium | 直接从 event_data.msg_data.metadata.cveMedium 字段映射。 |
| event_data.msg_data.metadata.source | read_only_udm.principal.hostname | 直接从 event_data.msg_data.metadata.source 字段映射。 |
| event_data.msg_data.metadata.source | read_only_udm.principal.asset.hostname | 直接从 event_data.msg_data.metadata.source 字段映射。 |
| event_data.msg_data.msg_data | read_only_udm.security_result.description | 直接从 event_data.msg_data.msg_data 字段映射。 |
| event_data.msg_data.policy.description | read_only_udm.security_result.description | 直接从 event_data.msg_data.policy.description 字段映射。 |
| event_data.msg_data.policy.id | read_only_udm.security_result.detection_fields.policy_id | 直接从 event_data.msg_data.policy.id 字段映射。 |
| event_data.msg_data.policy.name | read_only_udm.security_result.summary | 直接从 event_data.msg_data.policy.name 字段映射。 |
| event_data.msg_data.policy.policyTs | read_only_udm.additional.fields.policy_ts | 直接从 event_data.msg_data.policy.policyTs 字段映射。 |
| event_data.msg_data.policy.policyType | read_only_udm.security_result.threat_name | 直接从 event_data.msg_data.policy.policyType 字段映射。 |
| event_data.msg_data.policy.recommendation | read_only_udm.security_result.action_details | 直接从 event_data.msg_data.policy.recommendation 字段映射。 |
| event_data.msg_data.policy.severity | read_only_udm.security_result.severity | 直接从 event_data.msg_data.policy.severity 字段映射,并转换为大写。 |
| event_data.msg_data.reason | read_only_udm.security_result.detection_fields.event message reason | 直接从 event_data.msg_data.reason 字段映射。 |
| event_data.msg_data.region | read_only_udm.target.cloud.availability_zone | 直接从 event_data.msg_data.region 字段映射。 |
| event_data.msg_data.resource.resourceId | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.resource.resourceId 字段映射。 |
| event_data.msg_data.resource.resourceName | read_only_udm.target.resource.name | 直接从 event_data.msg_data.resource.resourceName 字段映射。 |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.seconds | 直接从 event_data.msg_data.resource.resourceTs 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.nanos | 直接从 event_data.msg_data.resource.resourceTs 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.rule | read_only_udm.security_result.rule_name | 直接从 event_data.msg_data.rule 字段映射。 |
| event_data.msg_data.service | read_only_udm.security_result.detection_fields.event message service | 直接从 event_data.msg_data.service 字段映射。 |
| event_data.msg_data.startupProcess | read_only_udm.principal.application | 直接从 event_data.msg_data.startupProcess 字段映射。 |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.seconds | 直接从 event_data.msg_data.time 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.nanos | 直接从 event_data.msg_data.time 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.type | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.type 字段映射。 |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.seconds | 直接从 event_data.sentTs 字段映射,并转换为 UNIX 时间戳。 |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.nanos | 直接从 event_data.sentTs 字段映射,并转换为 UNIX 时间戳。 |
| event_data.type | read_only_udm.security_result.category_details | 直接从 event_data.type 字段映射。 |
| ipAddress | read_only_udm.principal.ip | 使用 grok 提取 IP 地址后,直接从 ipAddress 字段映射。 |
| ipAddress | read_only_udm.principal.asset.ip | 使用 grok 提取 IP 地址后,直接从 ipAddress 字段映射。 |
| ipAddress | read_only_udm.additional.fields.ipAddress | 如果不是有效的 IP 地址,则直接从 ipAddress 字段映射。 |
| json_action.0.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 0 | 直接从 json_action.0.policy_id 字段映射。 |
| json_action.0.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 0 | 直接从 json_action.0.resource_name 字段映射。 |
| json_action.1.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 1 | 直接从 json_action.1.policy_id 字段映射。 |
| json_action.1.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 1 | 直接从 json_action.1.resource_name 字段映射。 |
| policy.policyId | read_only_udm.security_result.rule_id | 直接从 policy.policyId 字段映射。 |
| policy.policyType | read_only_udm.security_result.rule_type | 直接从 policy.policyType 字段映射。 |
| policy.recommendation | read_only_udm.metadata.description | 直接从 policy.recommendation 字段映射。 |
| policy.severity | read_only_udm.security_result.severity | 从 policy.severity 字段映射。如果值为“info”,则设置为“INFORMATIONAL”。 |
| policyName | read_only_udm.metadata.description | 直接从 policyName 字段映射。 |
| reason | read_only_udm.metadata.product_event_type | 直接从 reason 字段映射。 |
| resource.accountId | read_only_udm.target.resource.product_object_id | 直接从 resource.accountId 字段映射。 |
| resource.cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | 直接从 resource.cloudServiceName 字段映射。 |
| resource.data.architecture | read_only_udm.principal.asset.hardware.cpu_platform | 直接从 resource.data.architecture 字段映射。 |
| resource.data.cpuPlatform | read_only_udm.additional.fields.CPU 平台 | 直接从 resource.data.cpuPlatform 字段映射。 |
| resource.data.labelFingerprint | read_only_udm.security_result.detection_fields.labelFingerprint | 直接从 resource.data.labelFingerprint 字段映射。 |
| resource.data.metadata.items.key | read_only_udm.additional.fields.key | 直接从 resource.data.metadata.items.key 字段映射。 |
| resource.data.metadata.items.value | read_only_udm.additional.fields.value.string_value | 直接从 resource.data.metadata.items.value 字段映射。 |
| resource.data.networkInterfaces.0.accessConfigs.0.natIP | read_only_udm.target.nat_ip | 直接从 resource.data.networkInterfaces.0.accessConfigs.0.natIP 字段映射。 |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.ip | 直接从 resource.data.networkInterfaces.0.networkIP 字段映射。 |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.asset.ip | 直接从 resource.data.networkInterfaces.0.networkIP 字段映射。 |
| resource.data.physicalBlockSizeBytes | read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes | 从 resource.data.physicalBlockSizeBytes 字段直接映射,并转换为字符串。 |
| resource.data.selfLink | read_only_udm.about.url | 直接从 resource.data.selfLink 字段映射。 |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.email_addresses | 直接从 resource.data.serviceAccounts.0.email 字段映射。 |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.attribute.roles.type | 如果 resource.data.serviceAccounts.0.email 包含“serviceaccount”,则将值设置为“SERVICE_ACCOUNT”。 |
| resource.data.sizeGb | read_only_udm.principal.resource.attribute.labels.sizeGb | 直接从 resource.data.sizeGb 字段映射。 |
| resource.data.sourceImage | read_only_udm.principal.resource.attribute.labels.sourceImage | 直接从 resource.data.sourceImage 字段映射。 |
| resource.name | read_only_udm.target.resource.name | 直接从 resource.name 字段映射。 |
| resource.regionId | read_only_udm.target.location.country_or_region | 直接从“资源”映射 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。