收集 Palo Alto Prisma Cloud 記錄

支援的國家/地區:

本文說明如何設定 Google Security Operations 資訊提供,以收集 Palo Alto Prisma Cloud 記錄。

詳情請參閱「將資料擷取至 Google Security Operations」。

擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有 PAN_PRISMA_CLOUD 攝入標籤的剖析器。

設定 Palo Alto Prisma Cloud

  1. 使用管理員帳戶登入 Palo Alto Prisma Cloud Console
  2. 在「設定」選單中,按一下「存取金鑰」
  3. 按一下「新增」,然後輸入「名稱」

  4. 按一下「建立」,系統會顯示「存取金鑰 ID」和「私密金鑰」值。

  5. 儲存「Access Key ID」和「Secret Key」值。設定 Google Security Operations 資訊提供時,需要這些值。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」,設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態消息」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入動態饋給的名稱,例如「Palo Alto Prisma Cloud Logs」
  5. 選取「第三方 API」做為「來源類型」
  6. 選取「Palo Alto Prisma Cloud」做為「記錄類型」
  7. 點選「下一步」
  8. 設定下列必要輸入參數:
    • 使用者名稱:指定您先前取得的存取金鑰 ID。
    • 密碼:指定您先前取得的密鑰。
    • API 主機名稱:指定 API 主機名稱。
  9. 依序點按「繼續」和「提交」

從內容中心設定動態饋給

為下列欄位指定值:

  • 使用者名稱:指定您先前取得的存取金鑰 ID。
  • 密碼:指定您先前取得的密鑰。
  • API 主機名稱:指定 API 主機名稱。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間:與動態饋給相關聯的命名空間。
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

如要進一步瞭解 Google Security Operations 動態消息,請參閱 Google Security Operations 動態消息說明文件。如要瞭解各類動態饋給的規定,請參閱「依類型設定動態饋給」。

如果在建立動態饋給時遇到問題,請與 Google Security Operations 支援團隊聯絡。

欄位對應參考資料

這個剖析器程式碼會從 JSON 格式的 PAN PRISMA CLOUD 記錄檔中擷取欄位,執行資料轉換和對應,將資料結構化為 Chronicle UDM 結構定義。可處理各種記錄檔訊息結構 (包括巢狀物件和陣列),以便在 Chronicle 中分析各種安全性事件和脈絡資訊。

UDM 對應表

記錄欄位 UDM 對應 邏輯
accountName read_only_udm.target.resource.attribute.cloud.project.id 直接對應 accountName 欄位。
accountId read_only_udm.target.hostname 直接對應 accountId 欄位。
accountId read_only_udm.target.asset.hostname 直接對應 accountId 欄位。
accountId read_only_udm.principal.cloud.project.id 直接從 aggregatedAlerts 陣列中的 accountId 欄位對應。
動作 read_only_udm.security_result.description 移除 JSON 部分後,直接從 action 欄位對應。
alertId read_only_udm.metadata.product_log_id 直接對應 alertId 欄位。
alertRules.0.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_0 直接對應 alertRules.0.allowAutoRemediate 欄位。
alertRules.0.enabled read_only_udm.security_result.detection_fields.enabled_0 直接對應 alertRules.0.enabled 欄位。
alertRules.0.name read_only_udm.security_result.detection_fields.name_0 直接對應 alertRules.0.name 欄位。
alertRules.0.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_0 直接對應 alertRules.0.notifyOnDismissed 欄位。
alertRules.0.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_0 直接對應 alertRules.0.notifyOnOpen 欄位。
alertRules.0.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_0 直接對應 alertRules.0.notifyOnResolved 欄位。
alertRules.0.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 直接對應 alertRules.0.notifyOnSnoozed 欄位。
alertRules.0.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_0 直接對應 alertRules.0.policyScanConfigId 欄位。
alertRules.0.scanAll read_only_udm.security_result.detection_fields.scanAll_0 直接對應 alertRules.0.scanAll 欄位。
alertRules.1.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_1 直接對應 alertRules.1.allowAutoRemediate 欄位。
alertRules.1.createdBy read_only_udm.principal.user.email_addresses 直接對應 alertRules.1.createdBy 欄位。
alertRules.1.enabled read_only_udm.security_result.detection_fields.enabled_1 直接對應 alertRules.1.enabled 欄位。
alertRules.1.name read_only_udm.security_result.detection_fields.name_1 直接對應 alertRules.1.name 欄位。
alertRules.1.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_1 直接對應 alertRules.1.notifyOnDismissed 欄位。
alertRules.1.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_1 直接對應 alertRules.1.notifyOnOpen 欄位。
alertRules.1.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_1 直接對應 alertRules.1.notifyOnResolved 欄位。
alertRules.1.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 直接對應 alertRules.1.notifyOnSnoozed 欄位。
alertRules.1.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_1 直接對應 alertRules.1.policyScanConfigId 欄位。
alertRules.1.scanAll read_only_udm.security_result.detection_fields.scanAll_1 直接對應 alertRules.1.scanAll 欄位。
alertRules.2.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_2 直接對應 alertRules.2.allowAutoRemediate 欄位。
alertRules.2.createdBy read_only_udm.principal.user.email_addresses 直接對應 alertRules.2.createdBy 欄位。
alertRules.2.enabled read_only_udm.security_result.detection_fields.enabled_2 直接對應 alertRules.2.enabled 欄位。
alertRules.2.name read_only_udm.security_result.detection_fields.name_2 直接對應 alertRules.2.name 欄位。
alertRules.2.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_2 直接對應 alertRules.2.notifyOnDismissed 欄位。
alertRules.2.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_2 直接對應 alertRules.2.notifyOnOpen 欄位。
alertRules.2.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_2 直接對應 alertRules.2.notifyOnResolved 欄位。
alertRules.2.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 直接對應 alertRules.2.notifyOnSnoozed 欄位。
alertRules.2.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_2 直接對應 alertRules.2.policyScanConfigId 欄位。
alertRules.2.scanAll read_only_udm.security_result.detection_fields.scanAll_2 直接對應 alertRules.2.scanAll 欄位。
alertRuleId read_only_udm.security_result.rule_id 直接對應 alertRuleId 欄位。
alertRuleName read_only_udm.security_result.rule_name 直接對應 alertRuleName 欄位。
alertStatus read_only_udm.security_result.detection_fields.event message alertStatus 直接從 event_data.msg_data 物件的 alertStatus 欄位對應。
alertTs read_only_udm.metadata.event_timestamp.seconds 轉換為 UNIX 時間戳記後,直接從 alertTs 欄位對應。
alertTs read_only_udm.metadata.event_timestamp.nanos 轉換為 UNIX 時間戳記後,直接從 alertTs 欄位對應。
callbackUrl read_only_udm.metadata.url_back_to_product 直接對應 callbackUrl 欄位。
cloudServiceName read_only_udm.target.resource.attribute.labels.cloudServiceName 直接對應 cloudServiceName 欄位。
cloudType read_only_udm.target.resource.attribute.cloud.environment 對應自「cloudType」欄位。如果 cloudType 為「gcp」,值會設為「GOOGLE_CLOUD_PLATFORM」。如果 cloudType 為「aws」,值會設為「AMAZON_WEB_SERVICES」。
complianceMetadata.0.requirementId read_only_udm.security_result.rule_id 直接對應 complianceMetadata.0.requirementId 欄位。
complianceMetadata.0.requirementName read_only_udm.security_result.summary 直接對應 complianceMetadata.0.requirementName 欄位。
complianceMetadata.0.standardName read_only_udm.security_result.rule_name 直接對應 complianceMetadata.0.standardName 欄位。
complianceMetadata.1.requirementId read_only_udm.security_result.rule_id 直接對應 complianceMetadata.1.requirementId 欄位。
complianceMetadata.1.requirementName read_only_udm.security_result.summary 直接對應 complianceMetadata.1.requirementName 欄位。
complianceMetadata.1.standardName read_only_udm.security_result.rule_name 直接對應 complianceMetadata.1.standardName 欄位。
complianceMetadata.2.requirementId read_only_udm.security_result.rule_id 直接對應 complianceMetadata.2.requirementId 欄位。
complianceMetadata.2.requirementName read_only_udm.security_result.summary 直接對應 complianceMetadata.2.requirementName 欄位。
complianceMetadata.2.standardName read_only_udm.security_result.rule_name 直接對應 complianceMetadata.2.standardName 欄位。
complianceMetadata.3.requirementId read_only_udm.security_result.rule_id 直接對應 complianceMetadata.3.requirementId 欄位。
complianceMetadata.3.requirementName read_only_udm.security_result.summary 直接對應 complianceMetadata.3.requirementName 欄位。
complianceMetadata.3.standardName read_only_udm.security_result.rule_name 直接對應 complianceMetadata.3.standardName 欄位。
complianceMetadata.4.requirementId read_only_udm.security_result.rule_id 直接對應 complianceMetadata.4.requirementId 欄位。
complianceMetadata.4.requirementName read_only_udm.security_result.summary 直接對應 complianceMetadata.4.requirementName 欄位。
complianceMetadata.4.standardName read_only_udm.security_result.rule_name 直接對應 complianceMetadata.4.standardName 欄位。
event_data.app read_only_udm.target.application 直接對應 event_data.app 欄位。
event_data.msg_data.account.cloudType read_only_udm.target.resource.attribute.cloud.environment 對應自「event_data.msg_data.account.cloudType」欄位。如果值為「aws」,則會設為「AMAZON_WEB_SERVICES」。
event_data.msg_data.account.id read_only_udm.target.cloud.project.id 直接對應 event_data.msg_data.account.id 欄位。
event_data.msg_data.account.name read_only_udm.target.cloud.project.name 直接對應 event_data.msg_data.account.name 欄位。
event_data.msg_data.accountIDs read_only_udm.principal.resource.attribute.labels.event message accountId {index} 直接從 event_data.msg_data.accountIDs 陣列對應。
event_data.msg_data.aggregatedAlerts.0.category read_only_udm.security_result.category_details 直接對應 event_data.msg_data.aggregatedAlerts.0.category 欄位。
event_data.msg_data.aggregatedAlerts.0.command read_only_udm.principal.process.command_line 直接對應 event_data.msg_data.aggregatedAlerts.0.command 欄位。
event_data.msg_data.aggregatedAlerts.0.collections read_only_udm.target.resource.attribute.labels.Collection {index} 直接從 event_data.msg_data.aggregatedAlerts.0.collections 陣列對應。
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category read_only_udm.security_result.category_details 直接對應 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category 欄位。
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description read_only_udm.security_result.description 直接對應 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description 欄位。
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity read_only_udm.security_result.severity 轉換為大寫後,直接從 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity 欄位對應。
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title read_only_udm.security_result.action_details 直接對應 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title 欄位。
event_data.msg_data.aggregatedAlerts.0.container read_only_udm.target.resource.name 直接對應 event_data.msg_data.aggregatedAlerts.0.container 欄位。
event_data.msg_data.aggregatedAlerts.0.containerID read_only_udm.target.resource.product_object_id 直接對應 event_data.msg_data.aggregatedAlerts.0.containerID 欄位。
event_data.msg_data.aggregatedAlerts.0.fqdn read_only_udm.principal.domain.name 直接對應 event_data.msg_data.aggregatedAlerts.0.fqdn 欄位。
event_data.msg_data.aggregatedAlerts.0.host read_only_udm.principal.hostname 直接對應 event_data.msg_data.aggregatedAlerts.0.host 欄位。
event_data.msg_data.aggregatedAlerts.0.host read_only_udm.principal.asset.hostname 直接對應 event_data.msg_data.aggregatedAlerts.0.host 欄位。
event_data.msg_data.aggregatedAlerts.0.image read_only_udm.target.resource.attribute.labels.image 直接對應 event_data.msg_data.aggregatedAlerts.0.image 欄位。
event_data.msg_data.aggregatedAlerts.0.imageID read_only_udm.target.resource.attribute.labels.imageID 直接對應 event_data.msg_data.aggregatedAlerts.0.imageID 欄位。
event_data.msg_data.aggregatedAlerts.0.labels.controller-uid read_only_udm.target.user.product_object_id 直接對應 event_data.msg_data.aggregatedAlerts.0.labels.controller-uid 欄位。
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name read_only_udm.target.hostname 直接對應 event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name 欄位。
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid read_only_udm.target.resource.product_object_id 直接對應 event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid 欄位。
event_data.msg_data.aggregatedAlerts.0.msg_data read_only_udm.security_result.description 直接對應 event_data.msg_data.aggregatedAlerts.0.msg_data 欄位。
event_data.msg_data.aggregatedAlerts.0.rule read_only_udm.security_result.rule_name 直接對應 event_data.msg_data.aggregatedAlerts.0.rule 欄位。
event_data.msg_data.aggregatedAlerts.0.startupProcess read_only_udm.principal.application 直接對應 event_data.msg_data.aggregatedAlerts.0.startupProcess 欄位。
event_data.msg_data.aggregatedAlerts.0.time read_only_udm.metadata.event_timestamp.seconds 轉換為 UNIX 時間戳記後,直接從 event_data.msg_data.aggregatedAlerts.0.time 欄位對應。
event_data.msg_data.aggregatedAlerts.0.time read_only_udm.metadata.event_timestamp.nanos 轉換為 UNIX 時間戳記後,直接從 event_data.msg_data.aggregatedAlerts.0.time 欄位對應。
event_data.msg_data.aggregatedAlerts.0.type read_only_udm.security_result.category_details 直接對應 event_data.msg_data.aggregatedAlerts.0.type 欄位。
event_data.msg_data.aggregatedAlerts.0.user read_only_udm.principal.user.userid 直接對應 event_data.msg_data.aggregatedAlerts.0.user 欄位。
event_data.msg_data.alertId read_only_udm.security_result.detection_fields.event message alertId 直接對應 event_data.msg_data.alertId 欄位。
event_data.msg_data.alertRuleId read_only_udm.security_result.rule_id 直接對應 event_data.msg_data.alertRuleId 欄位。
event_data.msg_data.alertRuleName read_only_udm.security_result.rule_name 直接對應 event_data.msg_data.alertRuleName 欄位。
event_data.msg_data.alertStatus read_only_udm.security_result.detection_fields.event message alertStatus 直接對應 event_data.msg_data.alertStatus 欄位。
event_data.msg_data.alertTs read_only_udm.metadata.event_timestamp.seconds 轉換為 UNIX 時間戳記後,直接從 event_data.msg_data.alertTs 欄位對應。
event_data.msg_data.alertTs read_only_udm.metadata.event_timestamp.nanos 轉換為 UNIX 時間戳記後,直接從 event_data.msg_data.alertTs 欄位對應。
event_data.msg_data.category read_only_udm.security_result.category_details 直接對應 event_data.msg_data.category 欄位。
event_data.msg_data.collections read_only_udm.target.resource.attribute.labels.Collection {index} 直接從 event_data.msg_data.collections 陣列對應。
event_data.msg_data.command read_only_udm.principal.process.command_line 直接對應 event_data.msg_data.command 欄位。
event_data.msg_data.complianceIssues.0.category read_only_udm.security_result.category_details 直接對應 event_data.msg_data.complianceIssues.0.category 欄位。
event_data.msg_data.complianceIssues.0.description read_only_udm.security_result.description 直接對應 event_data.msg_data.complianceIssues.0.description 欄位。
event_data.msg_data.complianceIssues.0.severity read_only_udm.security_result.severity 轉換為大寫後,直接從 event_data.msg_data.complianceIssues.0.severity 欄位對應。
event_data.msg_data.complianceIssues.0.title read_only_udm.security_result.action_details 直接對應 event_data.msg_data.complianceIssues.0.title 欄位。
event_data.msg_data.container read_only_udm.target.resource.name 直接對應 event_data.msg_data.container 欄位。
event_data.msg_data.containerID read_only_udm.target.resource.product_object_id 直接對應 event_data.msg_data.containerID 欄位。
event_data.msg_data.dropped read_only_udm.security_result.detection_fields.dropped 轉換為字串後,直接從 event_data.msg_data.dropped 欄位對應。
event_data.msg_data.fqdn read_only_udm.principal.domain.name 直接對應 event_data.msg_data.fqdn 欄位。
event_data.msg_data.firstSeen read_only_udm.security_result.first_discovered_time.seconds 轉換為 UNIX 時間戳記後,直接從 event_data.msg_data.firstSeen 欄位對應。
event_data.msg_data.firstSeen read_only_udm.security_result.first_discovered_time.nanos 轉換為 UNIX 時間戳記後,直接從 event_data.msg_data.firstSeen 欄位對應。
event_data.msg_data.host read_only_udm.principal.hostname 直接對應 event_data.msg_data.host 欄位。
event_data.msg_data.host read_only_udm.principal.asset.hostname 直接對應 event_data.msg_data.host 欄位。
event_data.msg_data.image read_only_udm.target.resource.attribute.labels.image 直接對應 event_data.msg_data.image 欄位。
event_data.msg_data.imageID read_only_udm.target.resource.attribute.labels.imageID 直接對應 event_data.msg_data.imageID 欄位。
event_data.msg_data.labels.controller-uid read_only_udm.target.user.product_object_id 直接對應 event_data.msg_data.labels.controller-uid 欄位。
event_data.msg_data.labels.io.kubernetes.pod.name read_only_udm.target.hostname 直接對應 event_data.msg_data.labels.io.kubernetes.pod.name 欄位。
event_data.msg_data.labels.io.kubernetes.pod.uid read_only_udm.target.resource.product_object_id 直接對應 event_data.msg_data.labels.io.kubernetes.pod.uid 欄位。
event_data.msg_data.lastSeen read_only_udm.security_result.last_discovered_time.seconds 轉換為 UNIX 時間戳記後,直接從 event_data.msg_data.lastSeen 欄位對應。
event_data.msg_data.lastSeen read_only_udm.security_result.last_discovered_time.nanos 轉換為 UNIX 時間戳記後,直接從 event_data.msg_data.lastSeen 欄位對應。
event_data.msg_data.metadata.cveCritical read_only_udm.security_result.detection_fields.event_data metadata cveCritical 直接對應 event_data.msg_data.metadata.cveCritical 欄位。
event_data.msg_data.metadata.cveHigh read_only_udm.security_result.detection_fields.event_data metadata cveHigh 直接對應 event_data.msg_data.metadata.cveHigh 欄位。
event_data.msg_data.metadata.cveLow read_only_udm.security_result.detection_fields.event_data metadata cveLow 直接對應 event_data.msg_data.metadata.cveLow 欄位。
event_data.msg_data.metadata.cveMedium read_only_udm.security_result.detection_fields.event_data metadata cveMedium 直接對應 event_data.msg_data.metadata.cveMedium 欄位。
event_data.msg_data.metadata.source read_only_udm.principal.hostname 直接對應 event_data.msg_data.metadata.source 欄位。
event_data.msg_data.metadata.source read_only_udm.principal.asset.hostname 直接對應 event_data.msg_data.metadata.source 欄位。
event_data.msg_data.msg_data read_only_udm.security_result.description 直接對應 event_data.msg_data.msg_data 欄位。
event_data.msg_data.policy.description read_only_udm.security_result.description 直接對應 event_data.msg_data.policy.description 欄位。
event_data.msg_data.policy.id read_only_udm.security_result.detection_fields.policy_id 直接對應 event_data.msg_data.policy.id 欄位。
event_data.msg_data.policy.name read_only_udm.security_result.summary 直接對應 event_data.msg_data.policy.name 欄位。
event_data.msg_data.policy.policyTs read_only_udm.additional.fields.policy_ts 直接對應 event_data.msg_data.policy.policyTs 欄位。
event_data.msg_data.policy.policyType read_only_udm.security_result.threat_name 直接對應 event_data.msg_data.policy.policyType 欄位。
event_data.msg_data.policy.recommendation read_only_udm.security_result.action_details 直接對應 event_data.msg_data.policy.recommendation 欄位。
event_data.msg_data.policy.severity read_only_udm.security_result.severity 轉換為大寫後,直接從 event_data.msg_data.policy.severity 欄位對應。
event_data.msg_data.reason read_only_udm.security_result.detection_fields.event message reason 直接對應 event_data.msg_data.reason 欄位。
event_data.msg_data.region read_only_udm.target.cloud.availability_zone 直接對應 event_data.msg_data.region 欄位。
event_data.msg_data.resource.resourceId read_only_udm.target.resource.product_object_id 直接對應 event_data.msg_data.resource.resourceId 欄位。
event_data.msg_data.resource.resourceName read_only_udm.target.resource.name 直接對應 event_data.msg_data.resource.resourceName 欄位。
event_data.msg_data.resource.resourceTs read_only_udm.target.resource.attribute.creation_time.seconds 轉換為 UNIX 時間戳記後,直接從 event_data.msg_data.resource.resourceTs 欄位對應。
event_data.msg_data.resource.resourceTs read_only_udm.target.resource.attribute.creation_time.nanos 轉換為 UNIX 時間戳記後,直接從 event_data.msg_data.resource.resourceTs 欄位對應。
event_data.msg_data.rule read_only_udm.security_result.rule_name 直接對應 event_data.msg_data.rule 欄位。
event_data.msg_data.service read_only_udm.security_result.detection_fields.event message service 直接對應 event_data.msg_data.service 欄位。
event_data.msg_data.startupProcess read_only_udm.principal.application 直接對應 event_data.msg_data.startupProcess 欄位。
event_data.msg_data.time read_only_udm.metadata.event_timestamp.seconds 轉換為 UNIX 時間戳記後,直接從 event_data.msg_data.time 欄位對應。
event_data.msg_data.time read_only_udm.metadata.event_timestamp.nanos 轉換為 UNIX 時間戳記後,直接從 event_data.msg_data.time 欄位對應。
event_data.msg_data.type read_only_udm.security_result.category_details 直接對應 event_data.msg_data.type 欄位。
event_data.sentTs read_only_udm.metadata.event_timestamp.seconds 轉換為 UNIX 時間戳記後,直接從 event_data.sentTs 欄位對應。
event_data.sentTs read_only_udm.metadata.event_timestamp.nanos 轉換為 UNIX 時間戳記後,直接從 event_data.sentTs 欄位對應。
event_data.type read_only_udm.security_result.category_details 直接對應 event_data.type 欄位。
ipAddress read_only_udm.principal.ip 使用 grok 擷取 IP 位址後,直接從 ipAddress 欄位對應。
ipAddress read_only_udm.principal.asset.ip 使用 grok 擷取 IP 位址後,直接從 ipAddress 欄位對應。
ipAddress read_only_udm.additional.fields.ipAddress 如果不是有效的 IP 位址,則直接從 ipAddress 欄位對應。
json_action.0.policy_id read_only_udm.target.resource.attribute.labels.Policy Id 0 直接對應 json_action.0.policy_id 欄位。
json_action.0.resource_name read_only_udm.target.resource.attribute.labels.Resource Name 0 直接對應 json_action.0.resource_name 欄位。
json_action.1.policy_id read_only_udm.target.resource.attribute.labels.Policy Id 1 直接對應 json_action.1.policy_id 欄位。
json_action.1.resource_name read_only_udm.target.resource.attribute.labels.Resource Name 1 直接對應 json_action.1.resource_name 欄位。
policy.policyId read_only_udm.security_result.rule_id 直接對應 policy.policyId 欄位。
policy.policyType read_only_udm.security_result.rule_type 直接對應 policy.policyType 欄位。
policy.recommendation read_only_udm.metadata.description 直接對應 policy.recommendation 欄位。
policy.severity read_only_udm.security_result.severity 對應自「policy.severity」欄位。如果值為「info」,則會設為「INFORMATIONAL」。
policyName read_only_udm.metadata.description 直接對應 policyName 欄位。
原因 read_only_udm.metadata.product_event_type 直接對應 reason 欄位。
resource.accountId read_only_udm.target.resource.product_object_id 直接對應 resource.accountId 欄位。
resource.cloudServiceName read_only_udm.target.resource.attribute.labels.cloudServiceName 直接對應 resource.cloudServiceName 欄位。
resource.data.architecture read_only_udm.principal.asset.hardware.cpu_platform 直接對應 resource.data.architecture 欄位。
resource.data.cpuPlatform read_only_udm.additional.fields.CPU Platform 直接對應 resource.data.cpuPlatform 欄位。
resource.data.labelFingerprint read_only_udm.security_result.detection_fields.labelFingerprint 直接對應 resource.data.labelFingerprint 欄位。
resource.data.metadata.items.key read_only_udm.additional.fields.key 直接對應 resource.data.metadata.items.key 欄位。
resource.data.metadata.items.value read_only_udm.additional.fields.value.string_value 直接對應 resource.data.metadata.items.value 欄位。
resource.data.networkInterfaces.0.accessConfigs.0.natIP read_only_udm.target.nat_ip 直接對應 resource.data.networkInterfaces.0.accessConfigs.0.natIP 欄位。
resource.data.networkInterfaces.0.networkIP read_only_udm.target.ip 直接對應 resource.data.networkInterfaces.0.networkIP 欄位。
resource.data.networkInterfaces.0.networkIP read_only_udm.target.asset.ip 直接對應 resource.data.networkInterfaces.0.networkIP 欄位。
resource.data.physicalBlockSizeBytes read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes 轉換為字串後,直接從 resource.data.physicalBlockSizeBytes 欄位對應。
resource.data.selfLink read_only_udm.about.url 直接對應 resource.data.selfLink 欄位。
resource.data.serviceAccounts.0.email read_only_udm.principal.user.email_addresses 直接對應 resource.data.serviceAccounts.0.email 欄位。
resource.data.serviceAccounts.0.email read_only_udm.principal.user.attribute.roles.type 如果 resource.data.serviceAccounts.0.email 包含「serviceaccount」,則值會設為「SERVICE_ACCOUNT」。
resource.data.sizeGb read_only_udm.principal.resource.attribute.labels.sizeGb 直接對應 resource.data.sizeGb 欄位。
resource.data.sourceImage read_only_udm.principal.resource.attribute.labels.sourceImage 直接對應 resource.data.sourceImage 欄位。
resource.name read_only_udm.target.resource.name 直接對應 resource.name 欄位。
resource.regionId read_only_udm.target.location.country_or_region 直接對應自 `resource

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。