Bitwarden Enterprise-Ereignisprotokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Bitwarden Enterprise-Ereignislogs mit Google Cloud Storage in Google Security Operations aufnehmen. Der Parser wandelt Ereignisprotokolle im JSON-Rohformat in ein strukturiertes Format um, das dem SecOps-UDM entspricht. Es werden relevante Felder wie Nutzerdetails, IP-Adressen und Ereignistypen extrahiert und den entsprechenden UDM-Feldern zugeordnet, um eine konsistente Sicherheitsanalyse zu ermöglichen.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Privilegierter Zugriff auf den Bitwarden-Mandanten
Ein GCP-Projekt mit aktivierter Cloud Storage API
Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs

Bitwarden-API-Schlüssel und ‑URL abrufen

Gehen Sie in der Bitwarden-Admin-Konsole zu Einstellungen > Organisationsinformationen > API-Schlüssel ansehen.
Kopieren und speichern Sie die folgenden Details an einem sicheren Ort:
- Client-ID
- Client-Secret
Bestimmen Sie Ihre Bitwarden-Endpunkte (basierend auf der Region):
- IDENTITY_URL = https://identity.bitwarden.com/connect/token (EU: https://identity.bitwarden.eu/connect/token)
- API_BASE = https://api.bitwarden.com (EU: https://api.bitwarden.eu)
Hinweis :In Bitwarden Enterprise-Organisationen muss die Funktion „Ereignisse“ in der Regel aktiviert sein, damit Organisationsereignisse verfügbar sind. Prüfen Sie in der Admin-Konsole unter Einstellungen > Organisationseinstellungen, ob Ereignisse aktiviert sind, wenn Sie keine Ereignisse von der API erhalten.
Hinweis :Nur Organisationsinhaber (und andere von Bitwarden zugelassene Rollen) können den Organisations-API-Schlüssel aufrufen oder rotieren. Der hier verwendete Organisations-API-Schlüssel muss ein Organisations-API-Schlüssel sein (Bereich „api.organization“, „client_id“ beginnt mit „organization.“) und kein persönlicher API-Schlüssel.

Google Cloud Storage-Bucket erstellen

Rufen Sie die Google Cloud Console auf.
Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
Klicken Sie auf Bucket erstellen.

Geben Sie die folgenden Konfigurationsdetails an:

Einstellung	Wert
Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. `bitwarden-events`.
Standorttyp	Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
Standort	Wählen Sie den Speicherort aus, z. B. `us-central1`.
Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
Zugriffssteuerung	Einheitlich (empfohlen)
Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

Klicken Sie auf Erstellen.

Voraussetzungen für die Bitwarden-API

Sie haben die Bitwarden API-Anmeldedaten bereits im vorherigen Schritt erfasst:

Client-ID: Client-ID der Organisation aus der Bitwarden Admin Console
Clientschlüssel: Organisationsclientschlüssel aus der Bitwarden-Admin-Konsole
IDENTITY_URL: https://identity.bitwarden.com/connect/token (oder EU-Endpunkt)
API_BASE: https://api.bitwarden.com (oder EU-Endpunkt)

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
Klicken Sie auf Dienstkonto erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Name des Dienstkontos: Geben Sie bitwarden-events-collector-sa ein.
- Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Bitwarden Enterprise Event logs ein.
Klicken Sie auf Erstellen und fortfahren.
Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
1. Klicken Sie auf Rolle auswählen.
2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
3. Klicken Sie auf + Weitere Rolle hinzufügen.
4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
5. Klicken Sie auf + Weitere Rolle hinzufügen.
6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
Klicken Sie auf Weiter.
Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

Rufen Sie Cloud Storage > Buckets auf.
Klicken Sie auf den Namen Ihres Buckets.
Wechseln Sie zum Tab Berechtigungen.
Klicken Sie auf Zugriff erlauben.
Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. bitwarden-events-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

Rufen Sie in der GCP Console Pub/Sub > Themen auf.
Klicken Sie auf Thema erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Themen-ID: Geben Sie bitwarden-events-trigger ein.
- Übernehmen Sie die anderen Einstellungen.
Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Protokolle von der Bitwarden Events API abzurufen und in GCS zu schreiben.

Rufen Sie in der GCP Console Cloud Run auf.
Klicken Sie auf Dienst erstellen.
Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

Einstellung	Wert
Dienstname	`bitwarden-events-collector`
Region	Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. `us-central1`).
Laufzeit	Wählen Sie Python 3.12 oder höher aus.

Im Abschnitt Trigger (optional):
1. Klicken Sie auf + Trigger hinzufügen.
2. Wählen Sie Cloud Pub/Sub aus.
3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Pub/Sub-Thema (bitwarden-events-trigger) aus.
4. Klicken Sie auf Speichern.
Im Abschnitt Authentifizierung:
1. Wählen Sie Authentifizierung erforderlich aus.
2. Identitäts- und Zugriffsverwaltung
Hinweis: Pub/Sub übernimmt die Authentifizierung beim Aufrufen der Funktion automatisch.
Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.
Rufen Sie den Tab Sicherheit auf:
- Dienstkonto: Wählen Sie das Dienstkonto aus (bitwarden-events-collector-sa).

Rufen Sie den Tab Container auf:

Klicken Sie auf Variablen und Secrets.
Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

Variablenname	Beispielwert
`GCS_BUCKET`	`bitwarden-events`
`GCS_PREFIX`	`bitwarden/events`
`STATE_KEY`	`bitwarden/events/state.json`
`BW_CLIENT_ID`	`organization.your-client-id`
`BW_CLIENT_SECRET`	`your-client-secret`
`IDENTITY_URL`	`https://identity.bitwarden.com/connect/token`
`API_BASE`	`https://api.bitwarden.com`
`MAX_PAGES`	`10`

Scrollen Sie im Bereich Variablen und Secrets nach unten zu Anfragen:
- Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.
Rufen Sie den Tab Einstellungen auf:
- Im Abschnitt Ressourcen:
  - Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
  - CPU: Wählen Sie 1 aus.
Im Abschnitt Versionsskalierung:
- Mindestanzahl von Instanzen: Geben Sie 0 ein.
- Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).
Klicken Sie auf Erstellen.
Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.
Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

Geben Sie main unter Funktionseinstiegspunkt ein.

Erstellen Sie im Inline-Codeeditor zwei Dateien:

Erste Datei: main.py::

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import base64

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch events from Bitwarden API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'bitwarden/events').strip('/')
    state_key = os.environ.get('STATE_KEY', 'bitwarden/events/state.json')

    # Bitwarden API credentials
    identity_url = os.environ.get('IDENTITY_URL', 'https://identity.bitwarden.com/connect/token')
    api_base = os.environ.get('API_BASE', 'https://api.bitwarden.com').rstrip('/')
    client_id = os.environ.get('BW_CLIENT_ID')
    client_secret = os.environ.get('BW_CLIENT_SECRET')
    max_pages = int(os.environ.get('MAX_PAGES', '10'))

    if not all([bucket_name, client_id, client_secret]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (continuation token)
        state = load_state(bucket, state_key)
        continuation_token = state.get('continuationToken')

        print(f'Processing events with continuation token: {continuation_token}')

        # Get OAuth token
        access_token = get_oauth_token(identity_url, client_id, client_secret)

        # Fetch events from Bitwarden API
        run_timestamp = int(datetime.now(timezone.utc).timestamp())
        pages = 0
        total_events = 0
        written_files = []

        while pages < max_pages:
            events_data = fetch_events(api_base, access_token, continuation_token)

            # Extract events array from API response
            events = events_data.get('data', [])

            # Only write file if there are events
            if events:
                gcs_key = write_events_jsonl(bucket, events, prefix, run_timestamp, pages)
                if gcs_key:
                    written_files.append(gcs_key)
                total_events += len(events)

            pages += 1

            # Check for next page token
            next_token = events_data.get('continuationToken')
            if next_token:
                continuation_token = next_token
                continue
            else:
                # No more pages
                break

        # Save state only if there are more pages to continue in next run
        # If we hit MAX_PAGES and there's still a continuation token, save it
        # Otherwise, clear the state (set to None)
        save_state(bucket, state_key, {
            'continuationToken': continuation_token if pages >= max_pages and continuation_token else None
        })

        print(f'Successfully processed {total_events} events across {pages} pages')
        print(f'Files written: {len(written_files)}')

    except Exception as e:
        print(f'Error processing events: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def get_oauth_token(identity_url, client_id, client_secret):
    """Get OAuth 2.0 access token from Bitwarden."""
    body_data = {
        'grant_type': 'client_credentials',
        'scope': 'api.organization',
        'client_id': client_id,
        'client_secret': client_secret
    }

    encoded_data = '&'.join([f'{k}={v}' for k, v in body_data.items()]).encode('utf-8')

    response = http.request(
        'POST',
        identity_url,
        body=encoded_data,
        headers={'Content-Type': 'application/x-www-form-urlencoded'}
    )

    if response.status != 200:
        raise Exception(f'Failed to get OAuth token: {response.status} {response.data.decode("utf-8")}')

    token_data = json.loads(response.data.decode('utf-8'))
    return token_data['access_token']

def fetch_events(api_base, access_token, continuation_token=None):
    """Fetch events from Bitwarden API with pagination."""
    url = f'{api_base}/public/events'
    if continuation_token:
        url += f'?continuationToken={continuation_token}'

    response = http.request(
        'GET',
        url,
        headers={
            'Authorization': f'Bearer {access_token}',
            'Accept': 'application/json'
        }
    )

    if response.status == 429:
        retry_after = int(response.headers.get('Retry-After', '60'))
        print(f'Rate limited (429). Retrying after {retry_after}s...')
        import time
        time.sleep(retry_after)
        return fetch_events(api_base, access_token, continuation_token)

    if response.status != 200:
        raise Exception(f'Failed to fetch events: {response.status} {response.data.decode("utf-8")}')

    return json.loads(response.data.decode('utf-8'))

def write_events_jsonl(bucket, events, prefix, run_timestamp, page_index):
    """
    Write events in JSONL format (one JSON object per line).
    Only writes if there are events to write.
    Returns the GCS key of the written file.
    """
    if not events:
        return None

    # Build JSONL content: one event per line
    lines = [json.dumps(event, separators=(',', ':')) for event in events]
    jsonl_content = '\n'.join(lines) + '\n'  # JSONL format with trailing newline

    # Generate unique filename with page number to avoid conflicts
    timestamp_str = datetime.fromtimestamp(run_timestamp, tz=timezone.utc).strftime('%Y/%m/%d/%H%M%S')
    key = f'{prefix}/{timestamp_str}-page{page_index:05d}-bitwarden-events.jsonl'

    blob = bucket.blob(key)
    blob.upload_from_string(
        jsonl_content,
        content_type='application/x-ndjson'
    )

    print(f'Wrote {len(events)} events to {key}')
    return key

Zweite Datei: requirements.txt::

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.
Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Hinweis:Bei der Konfiguration des Pub/Sub-Triggers werden die erforderlichen Abos und Berechtigungen automatisch erstellt.
Hinweis:Für die öffentliche API von Bitwarden gelten Ratenbeschränkungen. Bei einem hohen Anfragevolumen werden möglicherweise HTTP 429-Antworten zurückgegeben. Wenn Sie 429-Antworten erhalten, wird die Funktion automatisch mit exponentiellem Backoff wiederholt. Wenn die Ratenbegrenzung häufig auftritt, sollten Sie MAX_PAGES anpassen oder die Häufigkeit der Planung ändern.

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema, wodurch die Cloud Run-Funktion ausgelöst wird.

Rufen Sie in der GCP Console Cloud Scheduler auf.
Klicken Sie auf Job erstellen.

Geben Sie die folgenden Konfigurationsdetails an:

Einstellung	Wert
Name	`bitwarden-events-hourly`
Region	Dieselbe Region wie für die Cloud Run-Funktion auswählen
Frequenz	`0 * * * *` (jede Stunde, zur vollen Stunde)
Zeitzone	Zeitzone auswählen (UTC empfohlen)
Zieltyp	Pub/Sub
Thema	Wählen Sie das Pub/Sub-Thema aus (`bitwarden-events-trigger`).
Nachrichtentext	`{}` (leeres JSON-Objekt)

Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

Häufigkeit	Cron-Ausdruck	Anwendungsfall
Alle 5 Minuten	`/5 * * *`	Hohes Volumen, niedrige Latenz
Alle 15 Minuten	`/15 * * *`	Mittleres Suchvolumen
Stündlich	`0 * * * *`	Standard (empfohlen)
Alle 6 Stunden	`0 /6 * *`	Geringes Volumen, Batchverarbeitung
Täglich	`0 0 * * *`	Erhebung von Verlaufsdaten

Integration testen

Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
Warten Sie einige Sekunden.
Rufen Sie Cloud Run > Dienste auf.
Klicken Sie auf den Namen Ihrer Funktion (bitwarden-events-collector).
Klicken Sie auf den Tab Logs.

Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Sucht nach:

Processing events with continuation token: None
Page 1: Retrieved X events
Wrote X events to bitwarden/events/YYYY/MM/DD/HHMMSS-page00000-bitwarden-events.jsonl
Successfully processed X events across 1 pages

Rufen Sie Cloud Storage > Buckets auf.
Klicken Sie auf den Namen Ihres Buckets.
Rufen Sie den Präfixordner (bitwarden/events/) auf.
Prüfen Sie, ob eine neue .jsonl-Datei mit dem aktuellen Zeitstempel erstellt wurde.

Wenn in den Logs Fehler angezeigt werden, gehen Sie so vor:

HTTP 401: API-Anmeldedaten in Umgebungsvariablen prüfen
HTTP 403: Prüfen Sie, ob das Konto die erforderlichen Berechtigungen hat und die Funktion „Events“ in den Organisationseinstellungen aktiviert ist.
HTTP 429: Ratenbegrenzung – die Funktion wird automatisch mit Backoff wiederholt.
Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf Einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Bitwarden Events.
Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
Wählen Sie Bitwarden-Ereignisse als Protokolltyp aus.
Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Hinweis :Jede Google SecOps-Instanz hat ein eindeutiges Dienstkonto. Verwenden Sie keine Dienstkonten aus anderer Dokumentation oder anderen Beispielen.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

Rufen Sie Cloud Storage > Buckets auf.
Klicken Sie auf den Namen Ihres Buckets.
Wechseln Sie zum Tab Berechtigungen.
Klicken Sie auf Zugriff erlauben.
Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
- Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
Klicken Sie auf Speichern.

Hinweis: Wenn Sie die Löschoption „Übertragene Dateien löschen“ oder „Übertragene Dateien und leere Verzeichnisse löschen“ verwenden möchten, weisen Sie die Rolle Storage-Objekt-Administrator anstelle von „Storage-Objekt-Betrachter“ zu.

Feed in Google SecOps konfigurieren, um Bitwarden Enterprise-Ereignisprotokolle aufzunehmen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf Einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Bitwarden Events.
Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
Wählen Sie Bitwarden-Ereignisse als Protokolltyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:
```
gs://bitwarden-events/bitwarden/events/
```
  - Ersetzen Sie:
    - bitwarden-events: Der Name Ihres GCS-Buckets.
    - bitwarden/events/: Präfix/Ordnerpfad, in dem Logs gespeichert werden.
  Hinweis :Fügen Sie immer den Schrägstrich (/) am Ende des URI ein.
- Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:
  - Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
  - Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
  - Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.
    
    Hinweis :Wenn Sie eine Löschoption auswählen, muss das Dienstkonto die Rolle Storage-Objekt-Administrator anstelle von „Storage-Objekt-Betrachter“ haben. Aktualisieren Sie die IAM-Berechtigungen entsprechend.
- Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
actingUserId	target.user.userid	Wenn „enriched.actingUser.userId“ leer oder null ist, wird dieses Feld verwendet, um das Feld „target.user.userid“ zu füllen.
collectionID	security_result.detection_fields.key	Füllt das Schlüsselfeld in „detection_fields“ in „security_result“ aus.
collectionID	security_result.detection_fields.value	Füllt das Feld „value“ in „detection_fields“ in „security_result“ aus.
Datum	metadata.event_timestamp	Geparsed und in ein Zeitstempelformat konvertiert und event_timestamp zugeordnet.
enriched.actingUser.accessAll	security_result.rule_labels.key	Legt den Wert auf „Access_All“ in „rule_labels“ in „security_result“ fest.
enriched.actingUser.accessAll	security_result.rule_labels.value	Füllt das Wertfeld in „rule_labels“ in „security_result“ mit dem Wert aus „enriched.actingUser.accessAll“ auf, der in einen String konvertiert wurde.
enriched.actingUser.email	target.user.email_addresses	Füllt das Feld „email_addresses“ in „target.user“ aus.
enriched.actingUser.id	metadata.product_log_id	Füllt das Feld „product_log_id“ in den Metadaten aus.
enriched.actingUser.id	target.labels.key	Legt den Wert auf „ID“ in target.labels fest.
enriched.actingUser.id	target.labels.value	Das Wertfeld in „target.labels“ wird mit dem Wert aus „enriched.actingUser.id“ gefüllt.
enriched.actingUser.name	target.user.user_display_name	Füllt das Feld „user_display_name“ in „target.user“ aus.
enriched.actingUser.object	target.labels.key	Legt den Wert für „target.labels“ auf „Object“ fest.
enriched.actingUser.object	target.labels.value	Füllt das Feld „value“ in „target.labels“ mit dem Wert aus „enriched.actingUser.object“ aus.
enriched.actingUser.resetPasswordEnrolled	target.labels.key	Legt den Wert für „target.labels“ auf „ResetPasswordEnrolled“ fest.
enriched.actingUser.resetPasswordEnrolled	target.labels.value	Das Wertfeld in target.labels wird mit dem Wert aus enriched.actingUser.resetPasswordEnrolled gefüllt, der in einen String konvertiert wurde.
enriched.actingUser.twoFactorEnabled	security_result.rule_labels.key	Legt den Wert in „rule_labels“ in „security_result“ auf „Two Factor Enabled“ fest.
enriched.actingUser.twoFactorEnabled	security_result.rule_labels.value	Füllt das Wertfeld in „rule_labels“ in „security_result“ mit dem Wert aus „enriched.actingUser.twoFactorEnabled“ auf, der in einen String konvertiert wurde.
enriched.actingUser.userId	target.user.userid	Füllt das Feld „userid“ in „target.user“ aus.
enriched.collection.id	additional.fields.key	Legt den Wert für „Collection ID“ in „additional.fields“ fest.
enriched.collection.id	additional.fields.value.string_value	Füllt das Feld „string_value“ in „additional.fields“ mit dem Wert aus „enriched.collection.id“ aus.
enriched.collection.object	additional.fields.key	Legt den Wert für „Collection Object“ in „additional.fields“ fest.
enriched.collection.object	additional.fields.value.string_value	Füllt das Feld „string_value“ in „additional.fields“ mit dem Wert aus „enriched.collection.object“ aus.
enriched.type	metadata.product_event_type	Füllt das Feld „product_event_type“ in den Metadaten aus.
groupId	target.user.group_identifiers	Fügt den Wert dem Array „group_identifiers“ in „target.user“ hinzu.
ipAddress	principal.ip	Die IP-Adresse wurde aus dem Feld extrahiert und principal.ip zugeordnet.
–	extensions.auth	Ein leeres Objekt wird vom Parser erstellt.
–	metadata.event_type	Wird anhand von „enriched.type“ und dem Vorhandensein von Haupt- und Zielinformationen bestimmt. Mögliche Werte: USER_LOGIN, STATUS_UPDATE, GENERIC_EVENT.
–	security_result.action	Wird basierend auf „enriched.type“ bestimmt. Mögliche Werte: ALLOW, BLOCK.
Objekt	additional.fields.key	Legt den Wert für „Object“ in „additional.fields“ fest.
Objekt	additional.fields.value	Füllt das Wertfeld in „additional.fields“ mit dem Wert aus „object“ aus.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten