Collecter les journaux d'événements Bitwarden Enterprise

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux d'événements Bitwarden Enterprise dans Google Security Operations à l'aide de Google Cloud Storage. L'analyseur transforme les journaux d'événements bruts au format JSON en un format structuré conforme à l'UDM SecOps. Il extrait les champs pertinents tels que les informations sur les utilisateurs, les adresses IP et les types d'événements, et les mappe aux champs UDM correspondants pour une analyse de sécurité cohérente.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Une instance Google SecOps
Accès privilégié au locataire Bitwarden
Un projet GCP avec l'API Cloud Storage activée
Autorisations pour créer et gérer des buckets GCS
Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler

Obtenir la clé API et l'URL Bitwarden

Dans la console d'administration Bitwarden, accédez à Paramètres > Informations sur l'organisation > Afficher la clé API.
Copiez et enregistrez les informations suivantes dans un emplacement sécurisé :
- ID client
- Code secret du client
Déterminez vos points de terminaison Bitwarden (en fonction de la région) :
- IDENTITY_URL = https://identity.bitwarden.com/connect/token (UE : https://identity.bitwarden.eu/connect/token)
- API_BASE = https://api.bitwarden.com (UE : https://api.bitwarden.eu)
Remarque : Les organisations Bitwarden Enterprise doivent généralement activer la fonctionnalité Événements pour que les événements de l'organisation soient disponibles. Dans la console d'administration, accédez à Paramètres > Paramètres de l'organisation pour vérifier que les événements sont activés si vous ne recevez pas d'événements de l'API.
Remarque : Seuls les propriétaires de l'organisation (et les autres rôles autorisés par Bitwarden) peuvent afficher ou renouveler la clé API de l'organisation. La clé API d'organisation utilisée ici doit être une clé API d'organisation (portée api.organization, client_id commençant par "organization.") et non une clé API personnelle.

Créer un bucket Google Cloud Storage

Accédez à la console Google Cloud.
Sélectionnez votre projet ou créez-en un.
Dans le menu de navigation, accédez à Cloud Storage> Buckets.
Cliquez sur Créer un bucket.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nommer votre bucket	Saisissez un nom unique (par exemple, `bitwarden-events`).
Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
Emplacement	Sélectionnez l'emplacement (par exemple, `us-central1`).
Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
Access control (Contrôle des accès)	Uniforme (recommandé)
Outils de protection	Facultatif : Activer la gestion des versions des objets ou la règle de conservation

Cliquez sur Créer.

Recueillir les prérequis de l'API Bitwarden

Vous avez déjà collecté les identifiants de l'API Bitwarden à l'étape précédente :

ID client : ID client de l'organisation provenant de la console d'administration Bitwarden
Code secret du client : code secret du client de l'organisation provenant de la console d'administration Bitwarden
IDENTITY_URL : https://identity.bitwarden.com/connect/token (ou point de terminaison de l'UE)
API_BASE : https://api.bitwarden.com (ou point de terminaison de l'UE)

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

Dans la console GCP, accédez à IAM et administration > Comptes de service.
Cliquez sur Créer un compte de service.
Fournissez les informations de configuration suivantes :
- Nom du compte de service : saisissez bitwarden-events-collector-sa.
- Description du compte de service : saisissez Service account for Cloud Run function to collect Bitwarden Enterprise Event logs.
Cliquez sur Créer et continuer.
Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
1. Cliquez sur Sélectionner un rôle.
2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
3. Cliquez sur + Ajouter un autre rôle.
4. Recherchez et sélectionnez Demandeur Cloud Run.
5. Cliquez sur + Ajouter un autre rôle.
6. Recherchez et sélectionnez Demandeur Cloud Functions.
Cliquez sur Continuer.
Cliquez sur OK.

Ces rôles sont requis pour :

Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket.
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, bitwarden-events-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Attribuer des rôles : sélectionnez Administrateur des objets Storage.
Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

Dans la console GCP, accédez à Pub/Sub > Sujets.
Cliquez sur Create topic (Créer un sujet).
Fournissez les informations de configuration suivantes :
- ID du sujet : saisissez bitwarden-events-trigger.
- Conservez les valeurs par défaut des autres paramètres.
Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run est déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API Bitwarden Events et les écrire dans GCS.

Dans la console GCP, accédez à Cloud Run.
Cliquez sur Créer un service.
Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

Dans la section Configurer, fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom du service	`bitwarden-events-collector`
Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, `us-central1`).
Runtime (durée d'exécution)	Sélectionnez Python 3.12 ou version ultérieure.

Dans la section Déclencheur (facultatif) :
1. Cliquez sur + Ajouter un déclencheur.
2. Sélectionnez Cloud Pub/Sub.
3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet Pub/Sub (bitwarden-events-trigger).
4. Cliquez sur Enregistrer.
Dans la section Authentification :
1. Sélectionnez Exiger l'authentification.
2. Consultez Identity and Access Management (IAM).
Remarque : Pub/Sub gère automatiquement l'authentification lors de l'appel de la fonction.
Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.
Accédez à l'onglet Sécurité :
- Compte de service : sélectionnez le compte de service (bitwarden-events-collector-sa).

Accédez à l'onglet Conteneurs :

Cliquez sur Variables et secrets.
Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

Nom de la variable	Exemple de valeur
`GCS_BUCKET`	`bitwarden-events`
`GCS_PREFIX`	`bitwarden/events`
`STATE_KEY`	`bitwarden/events/state.json`
`BW_CLIENT_ID`	`organization.your-client-id`
`BW_CLIENT_SECRET`	`your-client-secret`
`IDENTITY_URL`	`https://identity.bitwarden.com/connect/token`
`API_BASE`	`https://api.bitwarden.com`
`MAX_PAGES`	`10`

Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :
- Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).
Accédez à l'onglet Paramètres :
- Dans la section Ressources :
  - Mémoire : sélectionnez 512 Mio ou plus.
  - CPU : sélectionnez 1.
Dans la section Scaling de révision :
- Nombre minimal d'instances : saisissez 0.
- Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).
Cliquez sur Créer.
Attendez que le service soit créé (1 à 2 minutes).
Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

Saisissez main dans Point d'entrée de la fonction.

Dans l'éditeur de code intégré, créez deux fichiers :

Premier fichier : main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import base64

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch events from Bitwarden API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'bitwarden/events').strip('/')
    state_key = os.environ.get('STATE_KEY', 'bitwarden/events/state.json')

    # Bitwarden API credentials
    identity_url = os.environ.get('IDENTITY_URL', 'https://identity.bitwarden.com/connect/token')
    api_base = os.environ.get('API_BASE', 'https://api.bitwarden.com').rstrip('/')
    client_id = os.environ.get('BW_CLIENT_ID')
    client_secret = os.environ.get('BW_CLIENT_SECRET')
    max_pages = int(os.environ.get('MAX_PAGES', '10'))

    if not all([bucket_name, client_id, client_secret]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (continuation token)
        state = load_state(bucket, state_key)
        continuation_token = state.get('continuationToken')

        print(f'Processing events with continuation token: {continuation_token}')

        # Get OAuth token
        access_token = get_oauth_token(identity_url, client_id, client_secret)

        # Fetch events from Bitwarden API
        run_timestamp = int(datetime.now(timezone.utc).timestamp())
        pages = 0
        total_events = 0
        written_files = []

        while pages < max_pages:
            events_data = fetch_events(api_base, access_token, continuation_token)

            # Extract events array from API response
            events = events_data.get('data', [])

            # Only write file if there are events
            if events:
                gcs_key = write_events_jsonl(bucket, events, prefix, run_timestamp, pages)
                if gcs_key:
                    written_files.append(gcs_key)
                total_events += len(events)

            pages += 1

            # Check for next page token
            next_token = events_data.get('continuationToken')
            if next_token:
                continuation_token = next_token
                continue
            else:
                # No more pages
                break

        # Save state only if there are more pages to continue in next run
        # If we hit MAX_PAGES and there's still a continuation token, save it
        # Otherwise, clear the state (set to None)
        save_state(bucket, state_key, {
            'continuationToken': continuation_token if pages >= max_pages and continuation_token else None
        })

        print(f'Successfully processed {total_events} events across {pages} pages')
        print(f'Files written: {len(written_files)}')

    except Exception as e:
        print(f'Error processing events: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def get_oauth_token(identity_url, client_id, client_secret):
    """Get OAuth 2.0 access token from Bitwarden."""
    body_data = {
        'grant_type': 'client_credentials',
        'scope': 'api.organization',
        'client_id': client_id,
        'client_secret': client_secret
    }

    encoded_data = '&'.join([f'{k}={v}' for k, v in body_data.items()]).encode('utf-8')

    response = http.request(
        'POST',
        identity_url,
        body=encoded_data,
        headers={'Content-Type': 'application/x-www-form-urlencoded'}
    )

    if response.status != 200:
        raise Exception(f'Failed to get OAuth token: {response.status} {response.data.decode("utf-8")}')

    token_data = json.loads(response.data.decode('utf-8'))
    return token_data['access_token']

def fetch_events(api_base, access_token, continuation_token=None):
    """Fetch events from Bitwarden API with pagination."""
    url = f'{api_base}/public/events'
    if continuation_token:
        url += f'?continuationToken={continuation_token}'

    response = http.request(
        'GET',
        url,
        headers={
            'Authorization': f'Bearer {access_token}',
            'Accept': 'application/json'
        }
    )

    if response.status == 429:
        retry_after = int(response.headers.get('Retry-After', '60'))
        print(f'Rate limited (429). Retrying after {retry_after}s...')
        import time
        time.sleep(retry_after)
        return fetch_events(api_base, access_token, continuation_token)

    if response.status != 200:
        raise Exception(f'Failed to fetch events: {response.status} {response.data.decode("utf-8")}')

    return json.loads(response.data.decode('utf-8'))

def write_events_jsonl(bucket, events, prefix, run_timestamp, page_index):
    """
    Write events in JSONL format (one JSON object per line).
    Only writes if there are events to write.
    Returns the GCS key of the written file.
    """
    if not events:
        return None

    # Build JSONL content: one event per line
    lines = [json.dumps(event, separators=(',', ':')) for event in events]
    jsonl_content = '\n'.join(lines) + '\n'  # JSONL format with trailing newline

    # Generate unique filename with page number to avoid conflicts
    timestamp_str = datetime.fromtimestamp(run_timestamp, tz=timezone.utc).strftime('%Y/%m/%d/%H%M%S')
    key = f'{prefix}/{timestamp_str}-page{page_index:05d}-bitwarden-events.jsonl'

    blob = bucket.blob(key)
    blob.upload_from_string(
        jsonl_content,
        content_type='application/x-ndjson'
    )

    print(f'Wrote {len(events)} events to {key}')
    return key

Deuxième fichier : requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Cliquez sur Déployer pour enregistrer et déployer la fonction.
Attendez la fin du déploiement (deux à trois minutes).

Remarque : La configuration du déclencheur Pub/Sub crée automatiquement les abonnements et les autorisations nécessaires.
Remarque : L'API publique de Bitwarden applique des limites de débit et peut renvoyer des réponses HTTP 429 en cas de volume de requêtes élevé. Si vous recevez des réponses 429, la fonction effectuera automatiquement une nouvelle tentative avec un intervalle exponentiel entre les tentatives. Envisagez d'ajuster MAX_PAGES ou la fréquence de planification si la limitation du débit se produit fréquemment.

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

Dans la console GCP, accédez à Cloud Scheduler.
Cliquez sur Créer une tâche.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom	`bitwarden-events-hourly`
Région	Sélectionnez la même région que la fonction Cloud Run.
Fréquence	`0 * * * *` (toutes les heures)
Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
Type de cible	Pub/Sub
Topic	Sélectionnez le sujet Pub/Sub (`bitwarden-events-trigger`).
Corps du message	`{}` (objet JSON vide)

Cliquez sur Créer.

Options de fréquence de planification

Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

Fréquence	Expression Cron	Cas d'utilisation
Toutes les 5 minutes	`/5 * * *`	Volume élevé, faible latence
Toutes les 15 minutes	`/15 * * *`	Volume moyen
Toutes les heures	`0 * * * *`	Standard (recommandé)
Toutes les 6 heures	`0 /6 * *`	Traitement par lot à faible volume
Tous les jours	`0 0 * * *`	Collecte de données historiques

Tester l'intégration

Dans la console Cloud Scheduler, recherchez votre job.
Cliquez sur Exécuter de force pour déclencher le job manuellement.
Patientez pendant quelques secondes.
Accédez à Cloud Run > Services.
Cliquez sur le nom de votre fonction (bitwarden-events-collector).
Cliquez sur l'onglet Journaux.

Vérifiez que la fonction s'est exécutée correctement. Réponses attendues :

Processing events with continuation token: None
Page 1: Retrieved X events
Wrote X events to bitwarden/events/YYYY/MM/DD/HHMMSS-page00000-bitwarden-events.jsonl
Successfully processed X events across 1 pages

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket.
Accédez au dossier de préfixe (bitwarden/events/).
Vérifiez qu'un fichier .jsonl a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

HTTP 401 : vérifiez les identifiants de l'API dans les variables d'environnement
HTTP 403 : vérifiez que le compte dispose des autorisations requises et que la fonctionnalité "Événements" est activée dans les paramètres de l'organisation.
HTTP 429 : limitation du débit. La fonction effectuera automatiquement une nouvelle tentative avec un intervalle de temps.
Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Bitwarden Events).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez Événements Bitwarden comme Type de journal.
Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Remarque : Chaque instance Google SecOps possède un compte de service unique. N'utilisez pas de comptes de service provenant d'autres documents ou exemples.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket.
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
- Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
Cliquez sur Enregistrer.

Remarque : Si vous prévoyez d'utiliser l'option de suppression "Supprimer les fichiers transférés" ou "Supprimer les fichiers transférés et les répertoires vides", accordez le rôle Administrateur des objets Storage au lieu de Lecteur des objets Storage.

Configurer un flux dans Google SecOps pour ingérer les journaux d'événements Bitwarden Enterprise

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Bitwarden Events).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez Événements Bitwarden comme Type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :
```
gs://bitwarden-events/bitwarden/events/
```
  - Remplacez :
    - bitwarden-events : nom de votre bucket GCS.
    - bitwarden/events/ : préfixe/chemin d'accès au dossier dans lequel les journaux sont stockés.
  Remarque : Incluez toujours la barre oblique (/) à la fin de l'URI.
- Option de suppression de la source : sélectionnez l'option de suppression de votre choix :
  - Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
  - Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
  - Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.
    
    Remarque : Si vous sélectionnez une option de suppression, le compte de service doit disposer du rôle Administrateur des objets Storage au lieu de celui de lecteur. Mettez à jour les autorisations IAM en conséquence.
- Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
actingUserId	target.user.userid	Si enriched.actingUser.userId est vide ou nul, ce champ est utilisé pour renseigner le champ target.user.userid.
collectionID	security_result.detection_fields.key	Renseigne le champ clé dans detection_fields dans security_result.
collectionID	security_result.detection_fields.value	Remplit le champ de valeur dans detection_fields dans security_result.
date	metadata.event_timestamp	Analysé et converti au format de code temporel, puis mappé à event_timestamp.
enriched.actingUser.accessAll	security_result.rule_labels.key	Définit la valeur sur "Access_All" dans rule_labels dans security_result.
enriched.actingUser.accessAll	security_result.rule_labels.value	Remplit le champ de valeur dans rule_labels dans security_result avec la valeur de enriched.actingUser.accessAll convertie en chaîne.
enriched.actingUser.email	target.user.email_addresses	Remplit le champ "email_addresses" dans target.user.
enriched.actingUser.id	metadata.product_log_id	Remplit le champ "product_log_id" dans les métadonnées.
enriched.actingUser.id	target.labels.key	Définit la valeur sur "ID" dans target.labels.
enriched.actingUser.id	target.labels.value	Remplit le champ de valeur dans target.labels avec la valeur de enriched.actingUser.id.
enriched.actingUser.name	target.user.user_display_name	Remplit le champ user_display_name dans target.user.
enriched.actingUser.object	target.labels.key	Définit la valeur sur "Object" dans target.labels.
enriched.actingUser.object	target.labels.value	Remplit le champ de valeur dans target.labels avec la valeur de enriched.actingUser.object.
enriched.actingUser.resetPasswordEnrolled	target.labels.key	Définit la valeur sur "ResetPasswordEnrolled" dans target.labels.
enriched.actingUser.resetPasswordEnrolled	target.labels.value	Remplit le champ de valeur dans target.labels avec la valeur de enriched.actingUser.resetPasswordEnrolled convertie en chaîne.
enriched.actingUser.twoFactorEnabled	security_result.rule_labels.key	Définit la valeur sur "Two Factor Enabled" (Authentification à deux facteurs activée) dans rule_labels de security_result.
enriched.actingUser.twoFactorEnabled	security_result.rule_labels.value	Remplit le champ de valeur dans rule_labels dans security_result avec la valeur de enriched.actingUser.twoFactorEnabled convertie en chaîne.
enriched.actingUser.userId	target.user.userid	Remplit le champ "userid" dans target.user.
enriched.collection.id	additional.fields.key	Définit la valeur sur "ID de la collection" dans additional.fields.
enriched.collection.id	additional.fields.value.string_value	Renseigne le champ string_value dans additional.fields avec la valeur de enriched.collection.id.
enriched.collection.object	additional.fields.key	Définit la valeur sur "Collection Object" dans additional.fields.
enriched.collection.object	additional.fields.value.string_value	Renseigne le champ string_value dans additional.fields avec la valeur de enriched.collection.object.
enriched.type	metadata.product_event_type	Remplit le champ "product_event_type" dans les métadonnées.
groupId	target.user.group_identifiers	Ajoute la valeur au tableau group_identifiers dans target.user.
ipAddress	principal.ip	Adresse IP extraite du champ et mappée à principal.ip.
N/A	extensions.auth	Un objet vide est créé par l'analyseur.
N/A	metadata.event_type	Déterminé en fonction de enriched.type et de la présence d'informations sur le principal et la cible. Valeurs possibles : USER_LOGIN, STATUS_UPDATE, GENERIC_EVENT.
N/A	security_result.action	Déterminé en fonction de enriched.type. Valeurs possibles : ALLOW, BLOCK.
objet	additional.fields.key	Définit la valeur sur "Object" dans additional.fields.
objet	additional.fields.value	Remplit le champ de valeur dans additional.fields avec la valeur de l'objet.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.