Raccogliere i log di Salesforce

Supportato in:

Panoramica

Questo parser gestisce i log di Salesforce nei formati LEEF, CSV e JSON. Estrae i campi, esegue l'elaborazione specifica per il formato (gestendo le coppie chiave-valore LEEF, le colonne CSV e le strutture JSON), li mappa all'UDM e arricchisce i dati con metadati e campi derivati. Il parser gestisce anche vari tipi di eventi Salesforce, applicando una logica specifica per accessi, disconnessioni e altre azioni, classificando gli eventi e impostando i tipi di eventi UDM appropriati.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps.
  • Accesso privilegiato ad AWS IAM, S3 e AppFlow.

Configura il bucket Amazon S3

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
  2. Salva il Nome e la Regione del bucket per riferimento futuro.
  3. Crea un utente seguendo questa guida utente: Creazione di un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come Caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file .csv. Salva Chiave di accesso e Chiave di accesso segreta per riferimento futuro.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Norme relative alle autorizzazioni.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Allega direttamente le norme.
  17. Cerca il criterio AmazonS3FullAccess.
  18. Seleziona la policy.
  19. Fai clic su Avanti.
  20. Fai clic su Aggiungi autorizzazioni.

Configura Amazon AppFlow

  1. Crea un flusso Amazon AppFlow:
    • Nome flusso: aggiungi un nome al flusso e fai clic su Avanti.
    • Origine dati: scegli Salesforce come origine dati.
    • Crea una nuova connessione.
    • Viene visualizzata una finestra di accesso a Salesforce. Accedi con le tue credenziali Salesforce.
    • Seleziona il nome dell'oggetto (scegli i dati che vuoi trasferire da Salesforce al bucket S3).
    • Seleziona Amazon S3 come destinazione dei dati.
    • Seleziona Pianificazione come trigger del flusso.
    • In Scegli i campi di origine, puoi mappare direttamente tutti i campi o specificare quali campi mappare.
  2. Convalida la configurazione:
    • In Amazon AppFlow, seleziona il flusso che hai creato e fai clic su Esegui flusso per recuperare i dati da Salesforce.
    • Ora i log dovrebbero trovarsi nel bucket S3.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di Salesforce.
  5. Seleziona Amazon S3 come Tipo di origine.
  6. Seleziona Salesforce come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • Region (Regione): la regione in cui si trova il bucket Amazon S3.
    • URI S3: l'URI del bucket. s3:/BUCKET_NAME Sostituisci quanto segue:
      • BUCKET_NAME: il nome del bucket.
    • URI is a: seleziona URI TYPE in base alla configurazione dello stream S3: Single file | Directory | Directory which includes subdirectories.
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
    • ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.
    • Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • Region (Regione): la regione in cui si trova il bucket Amazon S3.
  • URI S3: l'URI del bucket. s3:/BUCKET_NAME Sostituisci quanto segue:
    • BUCKET_NAME: il nome del bucket.
  • URI is a: seleziona URI TYPE in base alla configurazione dello stream S3: Single file | Directory | Directory which includes subdirectories.
  • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
  • ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.
  • Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
Account.Name target.resource.name Il valore di Account.Name dal log non elaborato.
AccountId target.resource.id Il valore di AccountId dal log non elaborato.
Action security_result.description Il valore di Action dal log non elaborato.
AdditionalInfo - Non mappato all'oggetto IDM.
ApiType target.application Il valore di ApiType dal log non elaborato.
ApiVersion - Non mappato all'oggetto IDM.
Application principal.application Il valore di Application dal log non elaborato o "Browser" per LoginAsEvent o "Integration JWT Token" per LoginEvent o "SfdcSiqActivityPlatform" per LoginHistory con objecttype LoginHistory o "N/A" per ApiEvent o "Browser" per LoginAsEventStream.
attributes.url target.url Il valore di attributes.url dal log non elaborato o URL specifici per vari tipi di eventi dal log non elaborato.
attributes.type metadata.product_event_type Il valore di attributes.type dal log non elaborato.
AuthSessionId network.session_id Il valore di AuthSessionId dal log non elaborato.
Browser principal.resource.name Il valore di Browser dal log non elaborato o "Sconosciuto" se Browser non è disponibile nel log non elaborato e Application è "Approfondimenti", o "Java (Salesforce.com)" per LoginHistory con ApiType come "SOAP Partner", o "Sconosciuto" per LoginHistory con Application come "SfdcSiqActivityPlatform" o da data.properties.Browser.str per LoginAsEventStream.
Case.Subject target.resource.name Il valore di Case.Subject dal log non elaborato.
CaseId target.resource.id Il valore di CaseId dal log non elaborato.
cat metadata.product_event_type Il valore di cat dal log non elaborato.
City principal.location.city Il valore di City dal log non elaborato o da LoginGeo.City per LoginHistory.
Client principal.labels Il valore di Client dal log non elaborato, formattato come etichetta.
CLIENT_IP principal.ip, principal.asset.ip Il valore di CLIENT_IP dal log non elaborato.
ClientVersion - Non mappato all'oggetto IDM.
CipherSuite network.tls.cipher Il valore di CipherSuite dal log non elaborato.
ColumnHeaders principal.labels Il valore di ColumnHeaders dal log non elaborato, formattato come etichetta.
ConnectedAppId principal.labels Il valore di ConnectedAppId dal log non elaborato, formattato come etichetta.
Contact.Name target.resource.name Il valore di Contact.Name dal log non elaborato.
ContactId target.resource.id Il valore di ContactId dal log non elaborato.
Country principal.location.country_or_region Il valore di Country dal log non elaborato o LoginGeo.Country per LoginHistory.
CreatedByContext principal.user.userid Il valore di CreatedByContext dal log non elaborato.
CreatedById principal.resource.attribute.labels Il valore di CreatedById dal log non elaborato, formattato come etichetta.
CreatedDate metadata.collected_timestamp Il valore di CreatedDate dal log non elaborato o il timestamp corrente, se non disponibile.
CPU_TIME target.resource.attribute.labels Il valore di CPU_TIME dal log non elaborato, formattato come etichetta.
data - Contiene vari campi estratti e mappati singolarmente.
DATASET_IDS target.resource.name Il valore di DATASET_IDS dal log non elaborato.
DelegatedOrganizationId target.administrative_domain Il valore di DelegatedOrganizationId dal log non elaborato.
DelegatedUsername observer.user.userid Il valore di DelegatedUsername dal log non elaborato.
Description metadata.description Il valore di Description dal log non elaborato.
DevicePlatform principal.resource.type Il valore di DevicePlatform dal log non elaborato, analizzato per estrarre il tipo di risorsa.
Display metadata.description Il valore di Display dal log non elaborato.
DOWNLOAD_FORMAT target.resource.attribute.labels Il valore di DOWNLOAD_FORMAT dal log non elaborato, formattato come etichetta.
Duration target.resource.attribute.labels Il valore di Duration dal log non elaborato, formattato come etichetta.
ENTITY_NAME target.resource.attribute.labels Il valore di ENTITY_NAME dal log non elaborato, formattato come etichetta.
ErrorCode security_result.action Il valore di ErrorCode dal log non elaborato, trasformato in ALLOW o BLOCK.
EventDate timestamp Il valore di EventDate dal log non elaborato o data.properties.TIMESTAMP_DERIVED.str se disponibile o data.properties.TIMESTAMP_DERIVED_FIRST.str se disponibile o @timestamp se disponibile o created_date se disponibile o timestamp se disponibile o LoginTime per LoginHistory.
EventIdentifier metadata.product_log_id Il valore di EventIdentifier dal log non elaborato.
EventType metadata.product_event_type Il valore di EventType dal log non elaborato.
Id principal.user.userid Il valore di Id dal log non elaborato o metadata.product_log_id per SetupAuditTrail e altri eventi.
IdentityUsed principal.user.email_addresses Il valore di IdentityUsed dal log non elaborato.
Lead.Name target.resource.name Il valore di Lead.Name dal log non elaborato.
LeadId target.resource.id Il valore di LeadId dal log non elaborato.
LoginAsCategory - Non mappato all'oggetto IDM.
LoginGeo.Country principal.location.country_or_region Il valore di LoginGeo.Country dal log non elaborato.
LoginHistoryId - Non mappato all'oggetto IDM.
LoginKey principal.user.userid, network.session_id Il valore di LoginKey dal log non elaborato o CreatedByContext per SetupAuditTrail.
LoginTime timestamp Il valore di LoginTime dal log non elaborato.
LoginType security_result.description Il valore di LoginType dal log non elaborato o "Altra API Apex" per LoginHistory con ApiType come "SOAP Partner" o "Remote Access 2.0" per LoginHistory con Application come "SfdcSiqActivityPlatform".
LoginUrl target.url, principal.url Il valore di LoginUrl dal log non elaborato.
LogFile principal.resource.attribute.labels Il valore di LogFile dal log non elaborato, formattato come etichetta.
LogFileContentType principal.resource.attribute.labels Il valore di LogFileContentType dal log non elaborato, formattato come etichetta.
LogFileLength principal.resource.attribute.labels Il valore di LogFileLength dal log non elaborato, formattato come etichetta.
Message - Non mappato all'oggetto IDM.
METHOD network.http.method Il valore di METHOD dal log non elaborato.
Name target.application Il valore di Name dal log non elaborato.
NewValue - Utilizzato in combinazione con OldValue per generare security_result.summary.
NUMBER_FIELDS target.resource.attribute.labels Il valore di NUMBER_FIELDS dal log non elaborato, formattato come etichetta.
OldValue - Utilizzato in combinazione con NewValue per generare security_result.summary.
Operation security_result.description, target.resource.attribute.labels Il valore di Operation dal log non elaborato o Display per SetupAuditTrail.
OperationStatus security_result.action Il valore di OperationStatus dal log non elaborato, trasformato in ALLOW o BLOCK.
ORGANIZATION_ID target.administrative_domain Il valore di ORGANIZATION_ID dal log non elaborato.
OsName principal.platform Il valore di OsName dal log non elaborato.
OsVersion principal.platform_version Il valore di OsVersion dal log non elaborato.
Platform principal.platform Il valore di Platform dal log non elaborato o da data.properties.OsName.str per LightningUriEventStream o da data.properties.OsName.str per LoginEventStream.
QueriedEntities target.resource.name, principal.labels Il valore di QueriedEntities dal log non elaborato o component_name per UriEvent e ApiEvent.
Query target.process.command_line, principal.labels Il valore di Query dal log non elaborato.
RecordId target.resource.id Il valore di RecordId dal log non elaborato.
Records principal.labels Il valore di Records dal log non elaborato, formattato come etichetta.
REQUEST_ID metadata.product_log_id, target.resource.product_object_id Il valore di REQUEST_ID dal log non elaborato.
REQUEST_SIZE network.sent_bytes Il valore di REQUEST_SIZE dal log non elaborato.
REQUEST_STATUS security_result.summary Il valore di REQUEST_STATUS dal log non elaborato.
RESPONSE_SIZE network.received_bytes Il valore di RESPONSE_SIZE dal log non elaborato.
RowsProcessed target.resource.attribute.labels Il valore di RowsProcessed dal log non elaborato, formattato come etichetta.
RUN_TIME target.resource.attribute.labels Il valore di RUN_TIME dal log non elaborato, formattato come etichetta.
SamlEntityUrl - Non mappato all'oggetto IDM.
SdkAppType - Non mappato all'oggetto IDM.
SdkAppVersion - Non mappato all'oggetto IDM.
SdkVersion - Non mappato all'oggetto IDM.
Section security_result.summary Il valore di Section dal log non elaborato.
SessionKey network.session_id Il valore di SessionKey dal log non elaborato.
SessionLevel target.resource.attribute.labels Il valore di SessionLevel dal log non elaborato, formattato come etichetta.
SourceIp principal.ip, principal.asset.ip Il valore di SourceIp dal log non elaborato.
src principal.ip, principal.asset.ip Il valore di src dal log non elaborato.
SsoType target.resource.attribute.labels Il valore di SsoType dal log non elaborato, formattato come etichetta.
STATUS_CODE network.http.response_code Il valore di STATUS_CODE dal log non elaborato.
Status security_result.action, security_result.action_details Il valore di Status dal log non elaborato, trasformato in ALLOW o BLOCK o utilizzato come dettagli dell'azione per LoginEventStream.
Subject target.resource.name Il valore di Subject dal log non elaborato.
TargetUrl - Non mappato all'oggetto IDM.
TIMESTAMP metadata.collected_timestamp Il valore di TIMESTAMP dal log non elaborato.
TIMESTAMP_DERIVED timestamp Il valore di TIMESTAMP_DERIVED dal log non elaborato.
TlsProtocol network.tls.version_protocol Il valore di TlsProtocol dal log non elaborato.
URI target.url Il valore di URI dal log non elaborato.
USER_AGENT network.http.user_agent Il valore di USER_AGENT dal log non elaborato.
USER_ID principal.user.userid Il valore di USER_ID dal log non elaborato.
USER_ID_DERIVED principal.user.product_object_id, target.resource.attribute.labels Il valore di USER_ID_DERIVED dal log non elaborato.
UserId principal.user.userid Il valore di UserId dal log non elaborato.
USER_TYPE target.resource.attribute.labels Il valore di USER_TYPE dal log non elaborato, formattato come etichetta.
Username principal.user.userid, principal.user.email_addresses, target.user.email_addresses Il valore di Username dal log non elaborato o src_email per vari eventi o IdentityUsed per IdentityProviderEventStore o data.properties.Email.str per Search e SearchAlert o data.properties.Username.str per LoginAsEventStream e LoginEventStream.
UserType target.resource.attribute.labels Il valore di UserType dal log non elaborato, formattato come etichetta.
usrName principal.user.userid, principal.user.email_addresses, target.user.email_addresses Il valore di usrName dal log non elaborato.
VerificationMethod target.resource.attribute.labels Il valore di VerificationMethod dal log non elaborato, formattato come etichetta.
Parser Logic metadata.event_type Derivato in base ai campi event_id e operation o impostato su "USER_LOGIN" per LoginEventStream, "USER_LOGOUT" per Logout e LogoutEvent, "USER_RESOURCE_UPDATE_CONTENT" per vari eventi, "USER_RESOURCE_UPDATE_PERMISSIONS" per PlatformEncryption, "RESOURCE_READ" per QueuedExecution, ApexExecution, LightningInteraction, LightningPerformance, LightningPageView, URI, RestApi, API, AuraRequest, ApexCallout, OneCommerceUsage, Sites, MetadataApiOperation, OneCommerceUsage, VisualforceRequest, Dashboard, Search, ListViewEvent, "RESOURCE_CREATION" per UriEvent e TimeBasedWorkflow con Operation come "Create" o "INSERT", "RESOURCE_WRITTEN" per UriEvent e LightningUriEvent con Operation come "Update", "RESOURCE_DELETION" per UriEvent con Operation come "Delete" o "ROLLBACK", "USER_UNCATEGORIZED" per SetupAuditTrail e AuditTrail, "USER_CHANGE_PASSWORD" per SetupAuditTrail con operation come "namedCredentialEncryptedFieldChange", "GENERIC_EVENT" per ApiEventStream e LightningUriEventStream o in base alla presenza di rete e principal.
Parser Logic metadata.ingestion_labels Etichette che indicano l'origine dell'evento, ovvero "File di log eventi", "Monitoraggio eventi in tempo reale" o "SetupAuditTrail".
Parser Logic metadata.log_type È sempre impostato su "SALESFORCE".
Parser Logic metadata.product_name È sempre impostato su "SALESFORCE".
Parser Logic metadata.vendor_name È sempre impostato su "SALESFORCE".
Parser Logic metadata.url_back_to_product Costruito a partire da vari campi come LoginUrl, attributes.url, data.properties.PageUrl.str, data.properties.LoginUrl.str.
Parser Logic network.application_protocol Imposta "HTTPS" se il campo uri inizia con "http".
Parser Logic network.http.referral_url Estratto dal campo user_agent se contiene "Referer=".
Parser Logic network.http.response_code Derivato da request_status per vari eventi.
Parser Logic network.http.user_agent Il valore di user_agent dal log non elaborato o da data.properties.UserAgent.str per ApiEventStream e LoginEventStream o dagli eventi Sites o "User-Agent" dagli eventi Sites.
Parser Logic network.session_id Il valore di session_key o SESSION_KEY dal log non elaborato o creato da altri campi come LoginKey o AuthSessionId.
Parser Logic network.tls.version Il valore di tls_protocol dal log non elaborato o da data.properties.TlsProtocol.str per LoginEventStream.
Parser Logic principal.application Il valore di application dal log non elaborato o "Salesforce for Outlook" per gli eventi Accesso: riuscito o "Approfondimenti" per gli eventi Accesso: riuscito senza applicazione o estratto da device_platform per gli eventi Lightning.
Parser Logic principal.asset.hostname Il valore di client_ip se è un nome host.
Parser Logic principal.asset.ip Il valore di client_ip o src_ip o SourceIp o CLIENT_IP se è un indirizzo IP.
Parser Logic principal.hostname Il valore di client_ip se è un nome host.
Parser Logic principal.ip Il valore di client_ip o src_ip o SourceIp o CLIENT_IP se è un indirizzo IP.
Parser Logic principal.labels Etichette create da vari campi come FederationIdentifier, ApiType, OrgId, channel.
Parser Logic principal.location.city Il valore di geoip_src.city_name o City o LoginGeo.City dal log non elaborato.
Parser Logic principal.location.country_or_region Il valore di geoip_src.country_name o Country o LoginGeo.Country o client_geo dal log non elaborato.
Parser Logic principal.location.region_latitude Il valore di data.properties.LoginLatitude.number dal log non elaborato.
Parser Logic principal.location.region_longitude Il valore di data.properties.LoginLongitude.number dal log non elaborato.
Parser Logic principal.location.state Il valore di geoip_src.region_name dal log non elaborato.
Parser Logic principal.platform Il valore di Platform o OsName o os_name dal log non elaborato oppure "WINDOWS" per LoginEventStream con Platform contenente "Windows".
Parser Logic principal.platform_version Il valore di OsVersion o os_version dal log non elaborato o estratto da Platform per LoginEventStream con Platform contenente "Windows".
Parser Logic principal.resource.attribute.labels Etichette create da vari campi come CreatedById, ApiVersion, LogFile, LogFileContentType, LogFileLength.
Parser Logic principal.resource.name Il valore di Browser o browser_name dal log non elaborato oppure "Java (Salesforce.com)" per LoginHistory con ApiType come "SOAP Partner".
Parser Logic principal.resource.type Estratto da device_platform per gli eventi Lightning o "Browser" per LoginAsEvent e LoginAsEventStream.
Parser Logic principal.url Il valore di LoginUrl dal log non elaborato.
Parser Logic principal.user.email_addresses Il valore di usrName o Username o src_email o IdentityUsed o data.properties.Username.str o data.properties.Email.str dal log non elaborato.
Parser Logic principal.user.product_object_id Il valore di attrs.USER_ID_DERIVED o data.properties.USER_ID_DERIVED.str dal log non elaborato.
Parser Logic principal.user.userid Il valore di usrName o Username o user_id o UserId o USER_ID o Id o LoginKey o CreatedByContext o data.properties.Username.str o data.properties.USER_ID.str o data.properties.LoginKey.str dal log non elaborato.
Parser Logic security_result.action Derivato da Status o OperationStatus o ErrorCode o action o operation_status dal log non elaborato, trasformato in ALLOW o BLOCK.
Parser Logic security_result.action_details Il valore di Status dal log non elaborato per LoginEventStream.
Parser Logic security_result.description Il valore di LoginType o logintype o Operation o Action o Display dal log non elaborato.
Parser Logic security_result.rule_name Il valore di Policy o rule_name dal log non elaborato.
Parser Logic security_result.summary Costruito a partire da NewValue e OldValue o REQUEST_STATUS o Section o forecastcategory dal log non elaborato.
Parser Logic target.administrative_domain Il valore di ORGANIZATION_ID o DelegatedOrganizationId o organization_id o data.properties.OrgName.str dal log non elaborato.
Parser Logic target.application Il valore di Application o app_name o ApiType o Name o data.properties.Application.str dal log non elaborato.
Parser Logic target.asset.hostname Il valore di target_hostname estratto dal campo uri.
Parser Logic target.asset.ip Il valore di data.properties.CLIENT_IP.str dal log non elaborato.
Parser Logic target.asset_id Costruito a partire da device_id o REQUEST_ID.
Parser Logic target.file.mime_type Il valore di file_type dal log non elaborato.
Parser Logic target.file.size Il valore di size_bytes dal log non elaborato.
Parser Logic target.hostname Il valore di target_hostname estratto dal campo uri.
Parser Logic target.process.command_line Il valore di query_exec o Query o data.properties.Query.str dal log non elaborato.
Parser Logic target.process.pid Il valore di job_id dal log non elaborato.
Parser Logic target.resource.attribute.labels Etichette create da vari campi come CPU_TIME, RUN_TIME, USER_TYPE, DB_TOTAL_TIME, MEDIA_TYPE, ROWS_PROCESSED, NUMBER_FIELDS, DB_BLOCKS, DB_CPU_TIME, ENTITY_NAME, EXCEPTION_MESSAGE, USER_ID_DERIVED, DOWNLOAD_FORMAT, USER_TYPE, CPU_TIME, RUN_TIME, WAVE_SESSION_ID, SessionLevel, verification_method, cpu_time, run_time, db_total_time, db_cpu_time, exec_time, callout_time, number_soql_queries, duration, user_type, entry_point, operation, session_level, rows_processed, sso_type, dashboard_type, Operation, SessionLevel.
Parser Logic target.resource.id Il valore di REQUEST_ID o RecordId o caseid o leadid o contactid o opportunityid o accountid dal log non elaborato.
Parser Logic target.resource.name Il valore di QueriedEntities o resource_name o component_name o DATASET_IDS o field o StageName o Subject dal log non elaborato.
Parser Logic target.resource.product_object_id Il valore di REQUEST_ID dal log non elaborato.
Parser Logic target.resource.resource_type Imposta "ACCESS_POLICY" per ApexCallout e PlatformEncryption, "DATABASE" per ApexTrigger, "FILE" per ContentTransfer o "TABLE" per ApiEvent.
Parser Logic target.resource.type Imposta "BATCH" per QueuedExecution e ApexExecution, "FILE" per ContentTransfer, "DATABASE_TRIGGER" per ApexTrigger o "Case", "Lead", "Contact", "Opportunity", "Account" in base alla presenza dei campi ID corrispondenti.
Parser Logic target.url Il valore di LoginUrl o URI o attributes.url o login_url o uri dal log non elaborato.
Parser Logic target.user.email_addresses Il valore di Username o attrs.usrName o email_address dal log non elaborato.
Parser Logic target.user.user_display_name Il valore di target_user_display_name o user_name o username dal log non elaborato.
Parser Logic target.user.userid Il valore di target_user_name o data.properties.UserId.str o data.properties.CreatedById.str dal log non elaborato.
Parser Logic extensions.auth.auth_details Imposta "ACTIVE" se Status non è "Success", altrimenti imposta "UNKNOWN_AUTHENTICATION_STATUS".
Parser Logic extensions.auth.mechanism Imposta "REMOTE" per Login: Success e Login con logintype contenente "Remote", "USERNAME_PASSWORD" per LoginEventStream o "MECHANISM_OTHER" per gli eventi con login_url presente oppure "AUTHTYPE_UNSPECIFIED" per gli eventi Login: Success e Logout.
Parser Logic extensions.auth.type Imposta "SSO" per Login, Logout, LogoutEvent, LoginAs, IdentityProviderEventStore, LoginHistory, LoginAsEvent con LoginType come "SAML Sfdc Initiated SSO" o "AUTHTYPE_UNSPECIFIED" per Login: Success, Logout, LoginAsEvent con LoginType come "Application".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.