Coletar registros de recursos do Microsoft Azure

Compatível com:

Google SecOps SIEM

Este documento explica como coletar registros de recursos do Microsoft Azure configurando um feed do Google Security Operations usando o Microsoft Azure Blob Storage V2.

Os registros de recursos do Azure oferecem insights sobre as operações realizadas nos recursos do Azure. Esses registros capturam informações detalhadas sobre operações, status e métricas de desempenho de recursos. O conteúdo varia de acordo com o tipo de recurso e inclui dados como eventos de autenticação, mudanças de configuração, tentativas de acesso e métricas operacionais.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

Uma instância do Google SecOps
Acesso privilegiado ao portal do Microsoft Azure com permissões para:
- Criar contas de armazenamento
- Configurar as configurações de diagnóstico para recursos do Azure
- Gerenciar chaves de acesso
Observação: se você restringir o acesso aos recursos do Azure usando um firewall do Azure Storage, adicione os intervalos de IP usados pelos workers do Serviço de transferência do Cloud Storage (STS, na sigla em inglês) à lista de IPs permitidos. Consulte Lista de permissões de IP.

Configurar a conta de armazenamento do Azure

Criar conta de armazenamento

No portal do Azure, pesquise Contas de armazenamento.
Clique em Criar.

Informe os seguintes detalhes de configuração:

Configuração	Valor
Assinatura	Selecione sua assinatura do Azure
Grupo de recursos	Selecionar ou criar
Nome da conta de armazenamento	Insira um nome exclusivo (por exemplo, `azureresourcelogs`).
Região	Selecione a região (por exemplo, `East US`).
Desempenho	Padrão (recomendado)
Redundância	GRS (armazenamento com redundância geográfica) ou LRS (armazenamento com redundância local)

Clique em Revisar + criar.
Revise a visão geral da conta e clique em Criar.
Aguarde até que a implantação seja concluída.

Receber credenciais da conta de armazenamento

Acesse a Conta de armazenamento que você acabou de criar.
Na navegação à esquerda, selecione Chaves de acesso em Segurança e rede.
Clique em Mostrar chaves.
Copie e salve o seguinte para uso posterior:
- Nome da conta de armazenamento: azureresourcelogs
- Chave 1 ou Chave 2: a chave de acesso compartilhado (uma string aleatória de 512 bits na codificação base-64).

Receber endpoint do serviço de blob

Na mesma conta de armazenamento, selecione Endpoints na navegação à esquerda.
Copie e salve o URL do endpoint do serviço de blob.
- Exemplo: https://azureresourcelogs.blob.core.windows.net/

Configurar as configurações de diagnóstico de recursos do Azure

Os registros de recursos do Azure não são coletados por padrão. É necessário criar uma configuração de diagnóstico para cada recurso do Azure e rotear os registros para a conta de armazenamento.

No portal do Azure, navegue até o recurso do Azure que você quer monitorar.
Na navegação à esquerda, selecione Configurações de diagnóstico em Monitoring.
Clique em + Adicionar configuração de diagnóstico.
Informe os seguintes detalhes de configuração:
- Nome da configuração de diagnóstico: insira um nome descritivo (por exemplo, export-to-secops).
- Na seção Registros, selecione as categorias de registros que você quer coletar. As categorias disponíveis variam de acordo com o tipo de recurso.
  
  Estas são algumas das categorias comuns:
  - Administrativo (para registros de atividades)
  - Segurança (para registros de atividades)
  - AuditEvent (para o Key Vault)
  - ApplicationGatewayAccessLog (para o Gateway de aplicativo)
  - ApplicationGatewayFirewallLog (para o Gateway de aplicativo)
  - NetworkSecurityGroupEvent (para grupos de segurança de rede)
- Na seção Métricas (opcional), selecione AllMetrics para enviar métricas da plataforma à conta de armazenamento.
- Na seção Detalhes do destino, marque a caixa de seleção Arquivar em uma conta de armazenamento.
- Assinatura: selecione a assinatura que contém sua conta de armazenamento.
- Conta de armazenamento: selecione a conta de armazenamento criada anteriormente (por exemplo, azureresourcelogs).
Clique em Salvar.

Depois da configuração, os registros são exportados automaticamente para contêineres na conta de armazenamento. O Azure cria contêineres usando o padrão de nomenclatura insights-logs-<log-category-name>. Exemplo:
- Registros de auditoria do Key Vault: insights-logs-auditevent
- Registros de acesso do Application Gateway: insights-logs-applicationgatewayaccesslog
- Registros do firewall do Gateway de aplicativo: insights-logs-applicationgatewayfirewalllog
- Eventos do grupo de segurança de rede: insights-logs-networksecuritygroupevent
Observação: os nomes específicos dos contêineres dependem das categorias de registro selecionadas na configuração de diagnóstico. Cada categoria de registro cria um contêiner separado.

Configurar um feed no Google SecOps para ingerir registros de recursos do Azure

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed (por exemplo, Azure Resource Logs).
Selecione Microsoft Azure Blob Storage V2 como o Tipo de origem.
Selecione Recurso do Microsoft Azure como o Tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- URI do Azure: insira o URL do endpoint do serviço de blobs com o caminho do contêiner:
```
https://azureresourcelogs.blob.core.windows.net/insights-logs-<category-name>/
```
  Substitua:
  - azureresourcelogs: o nome da sua conta de armazenamento do Azure.
  - <category-name>: o nome da categoria de registro em log (por exemplo, auditevent para Key Vault, applicationgatewayaccesslog para Application Gateway).
  Observação: inclua a barra (/) no final do URI. Se você tiver várias categorias de registros, crie um feed separado para cada contêiner.
- Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência:
  - Nunca: nunca exclui arquivos após as transferências.
  - Excluir arquivos transferidos: exclui os arquivos após a transferência bem-sucedida.
  - Excluir arquivos transferidos e diretórios vazios: exclui arquivos e diretórios vazios após a transferência bem-sucedida.
  Observação: se você selecionar uma opção de exclusão, verifique se concedeu as permissões adequadas à conta de serviço.
- Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
- Chave compartilhada: insira o valor da chave compartilhada (chave de acesso) capturado da conta de armazenamento na etapa 3.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar o firewall do Azure Storage (se ativado)

Se a sua conta do Azure Storage usar um firewall, adicione os intervalos de IP do Google SecOps.

Para receber os intervalos de IP atuais, escolha uma das seguintes opções:
- Consulte a documentação sobre a lista de permissões de IP
- Recupere-os de maneira programática usando a API Feed Management.
No portal do Azure, acesse sua conta de armazenamento.
Selecione Rede em Segurança e rede.
Em Firewalls e redes virtuais, selecione Ativado nas redes virtuais e endereços IP selecionados.
Na seção Firewall, em Intervalo de endereços, clique em + Adicionar intervalo de IP.
Adicione cada intervalo de IP do Google SecOps na notação CIDR.
Clique em Salvar.

Observação: esta fonte de feed usa o serviço de transferência do Cloud Storage (STS) para transferir dados do armazenamento do Azure para o Google SecOps. Antes de usar essa origem de feed, talvez seja necessário adicionar os intervalos de IP usados pelos workers do STS à sua lista de IPs permitidos.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
	event.idm.read_only_udm.additional.fields	Unidos de vários campos de rótulo, como hostVersion_field, functionInvocationId_field etc., com base em condições.
	event.idm.read_only_udm.extensions.auth.type	Definido como "MACHINE" para a categoria SQLSecurityAuditEvents.
	event.idm.read_only_udm.extensions.auth.type	Definido como "AUTHTYPE_UNSPECIFIED" para as categorias RiskyServicePrincipals, RiskyUsers, UserRiskEvents, NonInteractiveUserSignInLogs, ServicePrincipalSignInLogs, ProvisioningLogs, ADFSSignInLogs e ServicePrincipalRiskEvents.
	event.idm.read_only_udm.extensions.auth.type	Definido como "SSO" para categorias em ["RiskyServicePrincipals","RiskyUsers","UserRiskEvents","NonInteractiveUserSignInLogs","ServicePrincipalSignInLogs","ProvisioningLogs","ADFSSignInLogs","ServicePrincipalRiskEvents"].
	event.idm.read_only_udm.extensions.auth.mechanism	Combinado de "auth_mechanism" se definido como "USERNAME_PASSWORD".
	event.idm.read_only_udm.intermediary	Unido do intermediário, se não estiver vazio.
	event.idm.read_only_udm.metadata.collected_timestamp	Convertido de "stage_time" usando a correspondência ISO8601 para categorias de auditoria do kube.
	event.idm.read_only_udm.metadata.collected_timestamp	Convertido de originalEventTimestamp usando a correspondência ISO8601.
	event.idm.read_only_udm.metadata.collected_timestamp	Convertido de "risk_time" usando ISO8601 ou correspondência AAAA-MM-DD HH:mm:ss.
	event.idm.read_only_udm.metadata.collected_timestamp	Convertido de "last_update_time" usando a correspondência ISO8601 ou AAAA-MM-DD HH:mm:ss.SSSZ.
	event.idm.read_only_udm.metadata.collected_timestamp	Convertido do tempo usando ISO8601, yyyy-MM-ddTHH:mm:ssZ ou padrão grok para análise de data.
	event.idm.read_only_udm.metadata.description	Valor extraído de "properties.message" se não estiver vazio.
	event.idm.read_only_udm.metadata.description	Valor extraído de properties.log.stage para categorias de kube-audit.
	event.idm.read_only_udm.metadata.description	Valor extraído de "properties.activity".
	event.idm.read_only_udm.metadata.event_type	Valor extraído de "event_type" se não estiver vazio. Caso contrário, definido como "GENERIC_EVENT".
	event.idm.read_only_udm.metadata.product_deployment_id	Valor extraído de tenantid_value se additionaldetails.key == "TenantId".
	event.idm.read_only_udm.metadata.product_event_type	Valor retirado da categoria.
	event.idm.read_only_udm.metadata.product_log_id	Valor extraído de "properties.event_id" se não estiver vazio.
	event.idm.read_only_udm.metadata.product_log_id	Valor extraído de properties.log.auditID para categorias de auditoria do kube.
	event.idm.read_only_udm.metadata.product_log_id	Valor extraído de "properties.id".
	event.idm.read_only_udm.metadata.product_version	Valor extraído de "properties.log.apiVersion" para categorias de auditoria do kube.
	event.idm.read_only_udm.metadata.vendor_name	Defina como "Microsoft".
	event.idm.read_only_udm.network.application_protocol	Valor extraído do protocolo, se não estiver vazio.
	event.idm.read_only_udm.network.http.method	Valor extraído de properties.CsMethod para AppServiceHTTPLogs.
	event.idm.read_only_udm.network.http.referral_url	Valor extraído de "properties.Referer" para AppServiceHTTPLogs.
	event.idm.read_only_udm.network.http.referral_url	Valor extraído do URI, se não estiver vazio.
	event.idm.read_only_udm.network.http.response_code	Convertido de responseStatus.code para número inteiro para categorias kube-audit.
	event.idm.read_only_udm.network.http.response_code	Convertido de properties.ScStatus para número inteiro em AppServiceHTTPLogs.
	event.idm.read_only_udm.network.http.response_code	Convertido de "properties.statusCode" para número inteiro.
	event.idm.read_only_udm.network.http.response_code	Convertido de statusCode para número inteiro.
	event.idm.read_only_udm.network.http.user_agent	Valor extraído de user_agent se não estiver vazio.
	event.idm.read_only_udm.network.received_bytes	Valor extraído de "properties.ScBytes" para "AppServiceHTTPLogs".
	event.idm.read_only_udm.network.received_bytes	Valor extraído de "properties.responseLength".
	event.idm.read_only_udm.network.sent_bytes	Valor extraído de properties.CsBytes para AppServiceHTTPLogs.
	event.idm.read_only_udm.network.sent_bytes	Valor extraído de "properties.requestLength".
	event.idm.read_only_udm.network.session_id	Valor extraído de "properties.session_id".
	event.idm.read_only_udm.network.session_id	Valor extraído de "record.properties.session_id".
	event.idm.read_only_udm.network.tls.version	Valor extraído de "properties.tlsVersion" se não estiver vazio.
	event.idm.read_only_udm.principal.application	Valor extraído de "properties.application_name" se não estiver vazio.
	event.idm.read_only_udm.principal.asset.asset_id	Valor extraído de "prop_device_id" se não for nulo.
	event.idm.read_only_udm.principal.asset.hardware	Unido do hardware se não estiver vazio.
	event.idm.read_only_udm.principal.asset.hostname	Valor extraído de "properties.host_name" se não estiver vazio.
	event.idm.read_only_udm.principal.asset.hostname	Valor extraído de properties.CsHost para AppServiceHTTPLogs.
	event.idm.read_only_udm.principal.asset.hostname	Valor extraído de record.properties.CsHost para AppServiceHTTPLogs.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip para AppServiceHTTPLogs.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip1 para AppServiceHTTPLogs.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "principal_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para categorias de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de client_ip.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "record.properties.clientIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado do IP para registros de kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de src_ip.
	event.idm.read_only_udm.principal.asset.ip	Unido de ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.ipAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "callerIpAddress".
	event.idm.read_only_udm.principal.asset.ip	Mesclado de "properties.client_ip".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.