收集 Palo Alto Prisma Cloud 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Palo Alto Prisma Cloud 日志。
如需了解详情,请参阅将数据注入 Google Security Operations。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 PAN_PRISMA_CLOUD 注入标签的解析器。
配置 Palo Alto Prisma Cloud
- 使用管理员账号登录 Palo Alto Prisma Cloud 控制台。
- 在设置菜单中,点击快捷键。
- 点击 Add New(添加新内容),然后输入名称。
点击创建。系统会显示访问密钥 ID 和密钥值。
保存访问密钥 ID 和密钥值。配置 Google Security Operations Feed 时,您需要提供这些值。
设置 Feed
如需配置 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed name 字段中,输入 Feed 的名称,例如 Palo Alto Prisma Cloud Logs。
- 选择第三方 API 作为来源类型。
- 选择 Palo Alto Prisma Cloud 作为日志类型。
- 点击下一步。
- 配置以下必需的输入参数:
- 用户名:指定您之前获得的访问密钥 ID。
- 密码:指定您之前获得的密钥。
- API 主机名:指定 API 主机名。
- 点击下一步,然后点击提交。
字段映射参考
此解析器代码从 JSON 格式的 PAN PRISMA CLOUD 日志中提取字段,执行数据转换和映射,以将数据结构化为 Chronicle UDM 架构。它可处理各种日志消息结构(包括嵌套对象和数组),以对各种安全事件和背景信息进行标准化处理,以便在 Chronicle 中进行分析。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| accountName | read_only_udm.target.resource.attribute.cloud.project.id | 直接从 accountName 字段映射。 |
| accountId | read_only_udm.target.hostname | 直接从 accountId 字段映射。 |
| accountId | read_only_udm.target.asset.hostname | 直接从 accountId 字段映射。 |
| accountId | read_only_udm.principal.cloud.project.id | 直接从 aggregatedAlerts 数组中的 accountId 字段映射。 |
| 操作 | read_only_udm.security_result.description | 直接从 action 字段映射,并移除了 JSON 部分。 |
| alertId | read_only_udm.metadata.product_log_id | 直接从 alertId 字段映射。 |
| alertRules.0.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_0 | 直接从 alertRules.0.allowAutoRemediate 字段映射。 |
| alertRules.0.enabled | read_only_udm.security_result.detection_fields.enabled_0 | 直接从 alertRules.0.enabled 字段映射。 |
| alertRules.0.name | read_only_udm.security_result.detection_fields.name_0 | 直接从 alertRules.0.name 字段映射。 |
| alertRules.0.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_0 | 直接从 alertRules.0.notifyOnDismissed 字段映射。 |
| alertRules.0.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_0 | 直接从 alertRules.0.notifyOnOpen 字段映射。 |
| alertRules.0.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_0 | 直接从 alertRules.0.notifyOnResolved 字段映射。 |
| alertRules.0.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 | 直接从 alertRules.0.notifyOnSnoozed 字段映射。 |
| alertRules.0.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_0 | 直接从 alertRules.0.policyScanConfigId 字段映射。 |
| alertRules.0.scanAll | read_only_udm.security_result.detection_fields.scanAll_0 | 直接从 alertRules.0.scanAll 字段映射。 |
| alertRules.1.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_1 | 直接从 alertRules.1.allowAutoRemediate 字段映射。 |
| alertRules.1.createdBy | read_only_udm.principal.user.email_addresses | 直接从 alertRules.1.createdBy 字段映射。 |
| alertRules.1.enabled | read_only_udm.security_result.detection_fields.enabled_1 | 直接从 alertRules.1.enabled 字段映射。 |
| alertRules.1.name | read_only_udm.security_result.detection_fields.name_1 | 直接从 alertRules.1.name 字段映射。 |
| alertRules.1.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_1 | 直接从 alertRules.1.notifyOnDismissed 字段映射。 |
| alertRules.1.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_1 | 直接从 alertRules.1.notifyOnOpen 字段映射。 |
| alertRules.1.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_1 | 直接从 alertRules.1.notifyOnResolved 字段映射。 |
| alertRules.1.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 | 直接从 alertRules.1.notifyOnSnoozed 字段映射。 |
| alertRules.1.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_1 | 直接从 alertRules.1.policyScanConfigId 字段映射。 |
| alertRules.1.scanAll | read_only_udm.security_result.detection_fields.scanAll_1 | 直接从 alertRules.1.scanAll 字段映射。 |
| alertRules.2.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_2 | 直接从 alertRules.2.allowAutoRemediate 字段映射。 |
| alertRules.2.createdBy | read_only_udm.principal.user.email_addresses | 直接从 alertRules.2.createdBy 字段映射。 |
| alertRules.2.enabled | read_only_udm.security_result.detection_fields.enabled_2 | 直接从 alertRules.2.enabled 字段映射。 |
| alertRules.2.name | read_only_udm.security_result.detection_fields.name_2 | 直接从 alertRules.2.name 字段映射。 |
| alertRules.2.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_2 | 直接从 alertRules.2.notifyOnDismissed 字段映射。 |
| alertRules.2.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_2 | 直接从 alertRules.2.notifyOnOpen 字段映射。 |
| alertRules.2.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_2 | 直接从 alertRules.2.notifyOnResolved 字段映射。 |
| alertRules.2.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 | 直接从 alertRules.2.notifyOnSnoozed 字段映射。 |
| alertRules.2.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_2 | 直接从 alertRules.2.policyScanConfigId 字段映射。 |
| alertRules.2.scanAll | read_only_udm.security_result.detection_fields.scanAll_2 | 直接从 alertRules.2.scanAll 字段映射。 |
| alertRuleId | read_only_udm.security_result.rule_id | 直接从 alertRuleId 字段映射。 |
| alertRuleName | read_only_udm.security_result.rule_name | 直接从 alertRuleName 字段映射。 |
| alertStatus | read_only_udm.security_result.detection_fields.event 消息 alertStatus | 直接从 event_data.msg_data 对象中的 alertStatus 字段映射。 |
| alertTs | read_only_udm.metadata.event_timestamp.seconds | 直接从 alertTs 字段映射,并转换为 UNIX 时间戳。 |
| alertTs | read_only_udm.metadata.event_timestamp.nanos | 直接从 alertTs 字段映射,并转换为 UNIX 时间戳。 |
| callbackUrl | read_only_udm.metadata.url_back_to_product | 直接从 callbackUrl 字段映射。 |
| cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | 直接从 cloudServiceName 字段映射。 |
| cloudType | read_only_udm.target.resource.attribute.cloud.environment | 从 cloudType 字段映射。如果 cloudType 为“gcp”,则该值设置为“GOOGLE_CLOUD_PLATFORM”。如果 cloudType 为“aws”,则该值设置为“AMAZON_WEB_SERVICES”。 |
| complianceMetadata.0.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.0.requirementId 字段映射。 |
| complianceMetadata.0.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.0.requirementName 字段映射。 |
| complianceMetadata.0.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.0.standardName 字段映射。 |
| complianceMetadata.1.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.1.requirementId 字段映射。 |
| complianceMetadata.1.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.1.requirementName 字段映射。 |
| complianceMetadata.1.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.1.standardName 字段映射。 |
| complianceMetadata.2.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.2.requirementId 字段映射。 |
| complianceMetadata.2.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.2.requirementName 字段映射。 |
| complianceMetadata.2.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.2.standardName 字段映射。 |
| complianceMetadata.3.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.3.requirementId 字段映射。 |
| complianceMetadata.3.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.3.requirementName 字段映射。 |
| complianceMetadata.3.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.3.standardName 字段映射。 |
| complianceMetadata.4.requirementId | read_only_udm.security_result.rule_id | 直接从 complianceMetadata.4.requirementId 字段映射。 |
| complianceMetadata.4.requirementName | read_only_udm.security_result.summary | 直接从 complianceMetadata.4.requirementName 字段映射。 |
| complianceMetadata.4.standardName | read_only_udm.security_result.rule_name | 直接从 complianceMetadata.4.standardName 字段映射。 |
| event_data.app | read_only_udm.target.application | 直接从 event_data.app 字段映射。 |
| event_data.msg_data.account.cloudType | read_only_udm.target.resource.attribute.cloud.environment | 从 event_data.msg_data.account.cloudType 字段映射。如果值为“aws”,则设置为“AMAZON_WEB_SERVICES”。 |
| event_data.msg_data.account.id | read_only_udm.target.cloud.project.id | 直接从 event_data.msg_data.account.id 字段映射。 |
| event_data.msg_data.account.name | read_only_udm.target.cloud.project.name | 直接从 event_data.msg_data.account.name 字段映射。 |
| event_data.msg_data.accountIDs | read_only_udm.principal.resource.attribute.labels.event message accountId {index} | 直接从 event_data.msg_data.accountIDs 数组映射。 |
| event_data.msg_data.aggregatedAlerts.0.category | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.aggregatedAlerts.0.category 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.command | read_only_udm.principal.process.command_line | 直接从 event_data.msg_data.aggregatedAlerts.0.command 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | 直接从 event_data.msg_data.aggregatedAlerts.0.collections 数组映射。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description | read_only_udm.security_result.description | 直接从 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity | read_only_udm.security_result.severity | 直接从 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity 字段映射,并转换为大写。 |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title | read_only_udm.security_result.action_details | 直接从 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.container | read_only_udm.target.resource.name | 直接从 event_data.msg_data.aggregatedAlerts.0.container 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.containerID | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.aggregatedAlerts.0.containerID 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.fqdn | read_only_udm.principal.domain.name | 直接从 event_data.msg_data.aggregatedAlerts.0.fqdn 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.hostname | 直接从 event_data.msg_data.aggregatedAlerts.0.host 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.asset.hostname | 直接从 event_data.msg_data.aggregatedAlerts.0.host 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.image | read_only_udm.target.resource.attribute.labels.image | 直接从 event_data.msg_data.aggregatedAlerts.0.image 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.imageID | read_only_udm.target.resource.attribute.labels.imageID | 直接从 event_data.msg_data.aggregatedAlerts.0.imageID 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.labels.controller-uid | read_only_udm.target.user.product_object_id | 直接从 event_data.msg_data.aggregatedAlerts.0.labels.controller-uid 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | 直接从 event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.msg_data | read_only_udm.security_result.description | 直接从 event_data.msg_data.aggregatedAlerts.0.msg_data 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.rule | read_only_udm.security_result.rule_name | 直接从 event_data.msg_data.aggregatedAlerts.0.rule 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.startupProcess | read_only_udm.principal.application | 直接从 event_data.msg_data.aggregatedAlerts.0.startupProcess 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.seconds | 直接从 event_data.msg_data.aggregatedAlerts.0.time 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.nanos | 直接从 event_data.msg_data.aggregatedAlerts.0.time 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.aggregatedAlerts.0.type | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.aggregatedAlerts.0.type 字段映射。 |
| event_data.msg_data.aggregatedAlerts.0.user | read_only_udm.principal.user.userid | 直接从 event_data.msg_data.aggregatedAlerts.0.user 字段映射。 |
| event_data.msg_data.alertId | read_only_udm.security_result.detection_fields.event message alertId | 直接从 event_data.msg_data.alertId 字段映射。 |
| event_data.msg_data.alertRuleId | read_only_udm.security_result.rule_id | 直接从 event_data.msg_data.alertRuleId 字段映射。 |
| event_data.msg_data.alertRuleName | read_only_udm.security_result.rule_name | 直接从 event_data.msg_data.alertRuleName 字段映射。 |
| event_data.msg_data.alertStatus | read_only_udm.security_result.detection_fields.event 消息 alertStatus | 直接从 event_data.msg_data.alertStatus 字段映射。 |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.seconds | 直接从 event_data.msg_data.alertTs 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.nanos | 直接从 event_data.msg_data.alertTs 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.category | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.category 字段映射。 |
| event_data.msg_data.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | 直接从 event_data.msg_data.collections 数组映射。 |
| event_data.msg_data.command | read_only_udm.principal.process.command_line | 直接从 event_data.msg_data.command 字段映射。 |
| event_data.msg_data.complianceIssues.0.category | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.complianceIssues.0.category 字段映射。 |
| event_data.msg_data.complianceIssues.0.description | read_only_udm.security_result.description | 直接从 event_data.msg_data.complianceIssues.0.description 字段映射。 |
| event_data.msg_data.complianceIssues.0.severity | read_only_udm.security_result.severity | 直接从 event_data.msg_data.complianceIssues.0.severity 字段映射,并转换为大写。 |
| event_data.msg_data.complianceIssues.0.title | read_only_udm.security_result.action_details | 直接从 event_data.msg_data.complianceIssues.0.title 字段映射。 |
| event_data.msg_data.container | read_only_udm.target.resource.name | 直接从 event_data.msg_data.container 字段映射。 |
| event_data.msg_data.containerID | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.containerID 字段映射。 |
| event_data.msg_data.dropped | read_only_udm.security_result.detection_fields.dropped | 从 event_data.msg_data.dropped 字段直接映射,并转换为字符串。 |
| event_data.msg_data.fqdn | read_only_udm.principal.domain.name | 直接从 event_data.msg_data.fqdn 字段映射。 |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.seconds | 直接从 event_data.msg_data.firstSeen 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.nanos | 直接从 event_data.msg_data.firstSeen 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.host | read_only_udm.principal.hostname | 直接从 event_data.msg_data.host 字段映射。 |
| event_data.msg_data.host | read_only_udm.principal.asset.hostname | 直接从 event_data.msg_data.host 字段映射。 |
| event_data.msg_data.image | read_only_udm.target.resource.attribute.labels.image | 直接从 event_data.msg_data.image 字段映射。 |
| event_data.msg_data.imageID | read_only_udm.target.resource.attribute.labels.imageID | 直接从 event_data.msg_data.imageID 字段映射。 |
| event_data.msg_data.labels.controller-uid | read_only_udm.target.user.product_object_id | 直接从 event_data.msg_data.labels.controller-uid 字段映射。 |
| event_data.msg_data.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | 直接从 event_data.msg_data.labels.io.kubernetes.pod.name 字段映射。 |
| event_data.msg_data.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.labels.io.kubernetes.pod.uid 字段映射。 |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.seconds | 直接从 event_data.msg_data.lastSeen 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.nanos | 直接从 event_data.msg_data.lastSeen 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.metadata.cveCritical | read_only_udm.security_result.detection_fields.event_data 元数据 cveCritical | 直接从 event_data.msg_data.metadata.cveCritical 字段映射。 |
| event_data.msg_data.metadata.cveHigh | read_only_udm.security_result.detection_fields.event_data 元数据 cveHigh | 直接从 event_data.msg_data.metadata.cveHigh 字段映射。 |
| event_data.msg_data.metadata.cveLow | read_only_udm.security_result.detection_fields.event_data 元数据 cveLow | 直接从 event_data.msg_data.metadata.cveLow 字段映射。 |
| event_data.msg_data.metadata.cveMedium | read_only_udm.security_result.detection_fields.event_data 元数据 cveMedium | 直接从 event_data.msg_data.metadata.cveMedium 字段映射。 |
| event_data.msg_data.metadata.source | read_only_udm.principal.hostname | 直接从 event_data.msg_data.metadata.source 字段映射。 |
| event_data.msg_data.metadata.source | read_only_udm.principal.asset.hostname | 直接从 event_data.msg_data.metadata.source 字段映射。 |
| event_data.msg_data.msg_data | read_only_udm.security_result.description | 直接从 event_data.msg_data.msg_data 字段映射。 |
| event_data.msg_data.policy.description | read_only_udm.security_result.description | 直接从 event_data.msg_data.policy.description 字段映射。 |
| event_data.msg_data.policy.id | read_only_udm.security_result.detection_fields.policy_id | 直接从 event_data.msg_data.policy.id 字段映射。 |
| event_data.msg_data.policy.name | read_only_udm.security_result.summary | 直接从 event_data.msg_data.policy.name 字段映射。 |
| event_data.msg_data.policy.policyTs | read_only_udm.additional.fields.policy_ts | 直接从 event_data.msg_data.policy.policyTs 字段映射。 |
| event_data.msg_data.policy.policyType | read_only_udm.security_result.threat_name | 直接从 event_data.msg_data.policy.policyType 字段映射。 |
| event_data.msg_data.policy.recommendation | read_only_udm.security_result.action_details | 直接从 event_data.msg_data.policy.recommendation 字段映射。 |
| event_data.msg_data.policy.severity | read_only_udm.security_result.severity | 直接从 event_data.msg_data.policy.severity 字段映射,并转换为大写。 |
| event_data.msg_data.reason | read_only_udm.security_result.detection_fields.event message reason | 直接从 event_data.msg_data.reason 字段映射。 |
| event_data.msg_data.region | read_only_udm.target.cloud.availability_zone | 直接从 event_data.msg_data.region 字段映射。 |
| event_data.msg_data.resource.resourceId | read_only_udm.target.resource.product_object_id | 直接从 event_data.msg_data.resource.resourceId 字段映射。 |
| event_data.msg_data.resource.resourceName | read_only_udm.target.resource.name | 直接从 event_data.msg_data.resource.resourceName 字段映射。 |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.seconds | 直接从 event_data.msg_data.resource.resourceTs 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.nanos | 直接从 event_data.msg_data.resource.resourceTs 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.rule | read_only_udm.security_result.rule_name | 直接从 event_data.msg_data.rule 字段映射。 |
| event_data.msg_data.service | read_only_udm.security_result.detection_fields.event message service | 直接从 event_data.msg_data.service 字段映射。 |
| event_data.msg_data.startupProcess | read_only_udm.principal.application | 直接从 event_data.msg_data.startupProcess 字段映射。 |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.seconds | 直接从 event_data.msg_data.time 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.nanos | 直接从 event_data.msg_data.time 字段映射,并转换为 UNIX 时间戳。 |
| event_data.msg_data.type | read_only_udm.security_result.category_details | 直接从 event_data.msg_data.type 字段映射。 |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.seconds | 直接从 event_data.sentTs 字段映射,并转换为 UNIX 时间戳。 |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.nanos | 直接从 event_data.sentTs 字段映射,并转换为 UNIX 时间戳。 |
| event_data.type | read_only_udm.security_result.category_details | 直接从 event_data.type 字段映射。 |
| ipAddress | read_only_udm.principal.ip | 使用 grok 提取 IP 地址后,直接从 ipAddress 字段映射。 |
| ipAddress | read_only_udm.principal.asset.ip | 使用 grok 提取 IP 地址后,直接从 ipAddress 字段映射。 |
| ipAddress | read_only_udm.additional.fields.ipAddress | 如果不是有效的 IP 地址,则直接从 ipAddress 字段映射。 |
| json_action.0.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 0 | 直接从 json_action.0.policy_id 字段映射。 |
| json_action.0.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 0 | 直接从 json_action.0.resource_name 字段映射。 |
| json_action.1.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 1 | 直接从 json_action.1.policy_id 字段映射。 |
| json_action.1.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 1 | 直接从 json_action.1.resource_name 字段映射。 |
| policy.policyId | read_only_udm.security_result.rule_id | 直接从 policy.policyId 字段映射。 |
| policy.policyType | read_only_udm.security_result.rule_type | 直接从 policy.policyType 字段映射。 |
| policy.recommendation | read_only_udm.metadata.description | 直接从 policy.recommendation 字段映射。 |
| policy.severity | read_only_udm.security_result.severity | 从 policy.severity 字段映射。如果值为“info”,则设置为“INFORMATIONAL”。 |
| policyName | read_only_udm.metadata.description | 直接从 policyName 字段映射。 |
| reason | read_only_udm.metadata.product_event_type | 直接从 reason 字段映射。 |
| resource.accountId | read_only_udm.target.resource.product_object_id | 直接从 resource.accountId 字段映射。 |
| resource.cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | 直接从 resource.cloudServiceName 字段映射。 |
| resource.data.architecture | read_only_udm.principal.asset.hardware.cpu_platform | 直接从 resource.data.architecture 字段映射。 |
| resource.data.cpuPlatform | read_only_udm.additional.fields.CPU 平台 | 直接从 resource.data.cpuPlatform 字段映射。 |
| resource.data.labelFingerprint | read_only_udm.security_result.detection_fields.labelFingerprint | 直接从 resource.data.labelFingerprint 字段映射。 |
| resource.data.metadata.items.key | read_only_udm.additional.fields.key | 直接从 resource.data.metadata.items.key 字段映射。 |
| resource.data.metadata.items.value | read_only_udm.additional.fields.value.string_value | 直接从 resource.data.metadata.items.value 字段映射。 |
| resource.data.networkInterfaces.0.accessConfigs.0.natIP | read_only_udm.target.nat_ip | 直接从 resource.data.networkInterfaces.0.accessConfigs.0.natIP 字段映射。 |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.ip | 直接从 resource.data.networkInterfaces.0.networkIP 字段映射。 |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.asset.ip | 直接从 resource.data.networkInterfaces.0.networkIP 字段映射。 |
| resource.data.physicalBlockSizeBytes | read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes | 从 resource.data.physicalBlockSizeBytes 字段直接映射,并转换为字符串。 |
| resource.data.selfLink | read_only_udm.about.url | 直接从 resource.data.selfLink 字段映射。 |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.email_addresses | 直接从 resource.data.serviceAccounts.0.email 字段映射。 |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.attribute.roles.type | 如果 resource.data.serviceAccounts.0.email 包含“serviceaccount”,则将值设置为“SERVICE_ACCOUNT”。 |
| resource.data.sizeGb | read_only_udm.principal.resource.attribute.labels.sizeGb | 直接从 resource.data.sizeGb 字段映射。 |
| resource.data.sourceImage | read_only_udm.principal.resource.attribute.labels.sourceImage | 直接从 resource.data.sourceImage 字段映射。 |
| resource.name | read_only_udm.target.resource.name | 直接从 resource.name 字段映射。 |
| resource.regionId | read_only_udm.target.location.country_or_region | 直接从“资源”映射 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。