Mengumpulkan Log Peristiwa Bitwarden Enterprise

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap Log Peristiwa Bitwarden Enterprise ke Google Security Operations menggunakan Google Cloud Storage. Parser mengubah log peristiwa berformat JSON mentah menjadi format terstruktur yang sesuai dengan UDM SecOps. Alat ini mengekstrak kolom yang relevan seperti detail pengguna, alamat IP, dan jenis peristiwa, lalu memetakannya ke kolom UDM yang sesuai untuk analisis keamanan yang konsisten.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Akses istimewa ke tenant Bitwarden
Project GCP dengan Cloud Storage API diaktifkan
Izin untuk membuat dan mengelola bucket GCS
Izin untuk mengelola kebijakan IAM di bucket GCS
Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler

Mendapatkan kunci dan URL API Bitwarden

Di Konsol Admin Bitwarden, buka Setelan > Info organisasi > Lihat kunci API.
Salin dan simpan detail berikut ke lokasi yang aman:
- Client-ID
- Rahasia Klien
Tentukan endpoint Bitwarden Anda (berdasarkan wilayah):
- IDENTITY_URL = https://identity.bitwarden.com/connect/token (Uni Eropa: https://identity.bitwarden.eu/connect/token)
- API_BASE = https://api.bitwarden.com (Uni Eropa: https://api.bitwarden.eu)
Catatan: Organisasi Bitwarden Enterprise biasanya memerlukan fitur Peristiwa diaktifkan agar peristiwa organisasi tersedia. Di Konsol Admin, buka Setelan > Setelan organisasi untuk memverifikasi bahwa Peristiwa diaktifkan jika Anda tidak menerima peristiwa dari API.
Catatan: Hanya pemilik organisasi (dan peran lain yang diizinkan Bitwarden) yang dapat melihat atau merotasi kunci API Organisasi. Kunci API organisasi yang digunakan di sini harus berupa API Organisasi (cakupan api.organization, client_id dimulai dengan "organization.") dan bukan kunci API pribadi.

Membuat bucket Google Cloud Storage

Buka Google Cloud Console.
Pilih project Anda atau buat project baru.
Di menu navigasi, buka Cloud Storage > Buckets.
Klik Create bucket.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Beri nama bucket Anda	Masukkan nama yang unik secara global (misalnya, `bitwarden-events`)
Location type	Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
Lokasi	Pilih lokasi (misalnya, `us-central1`)
Kelas penyimpanan	Standar (direkomendasikan untuk log yang sering diakses)
Access control	Seragam (direkomendasikan)
Alat perlindungan	Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

Klik Buat.

Mengumpulkan prasyarat Bitwarden API

Anda telah mengumpulkan kredensial Bitwarden API pada langkah sebelumnya:

Client ID: Client ID organisasi dari Konsol Admin Bitwarden
Client Secret: Rahasia klien organisasi dari Konsol Admin Bitwarden
IDENTITY_URL: https://identity.bitwarden.com/connect/token (atau endpoint Uni Eropa)
API_BASE: https://api.bitwarden.com (atau endpoint Uni Eropa)

Buat akun layanan untuk Cloud Run Function

Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.

Membuat akun layanan

Di GCP Console, buka IAM & Admin > Service Accounts.
Klik Create Service Account.
Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan bitwarden-events-collector-sa.
- Deskripsi akun layanan: Masukkan Service account for Cloud Run function to collect Bitwarden Enterprise Event logs.
Klik Create and Continue.
Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
1. Klik Pilih peran.
2. Telusuri dan pilih Storage Object Admin.
3. Klik + Add another role.
4. Telusuri dan pilih Cloud Run Invoker.
5. Klik + Add another role.
6. Telusuri dan pilih Cloud Functions Invoker.
Klik Lanjutkan.
Klik Selesai.

Peran ini diperlukan untuk:

Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
Cloud Functions Invoker: Mengizinkan pemanggilan fungsi

Memberikan izin IAM pada bucket GCS

Beri akun layanan izin tulis di bucket GCS:

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya, bitwarden-events-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Tetapkan peran: Pilih Storage Object Admin.
Klik Simpan.

Membuat topik Pub/Sub

Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.

Di GCP Console, buka Pub/Sub > Topics.
Klik Create topic.
Berikan detail konfigurasi berikut:
- ID Topik: Masukkan bitwarden-events-trigger.
- Biarkan setelan lainnya tetap default.
Klik Buat.

Membuat fungsi Cloud Run untuk mengumpulkan log

Fungsi Cloud Run dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log dari Bitwarden Events API dan menuliskannya ke GCS.

Di GCP Console, buka Cloud Run.
Klik Create service.
Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:

Setelan Nilai

Nama layanan bitwarden-events-collector

Wilayah Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)

Runtime Pilih Python 3.12 atau yang lebih baru
Di bagian Pemicu (opsional):
1. Klik + Tambahkan pemicu.
2. Pilih Cloud Pub/Sub.
3. Di Select a Cloud Pub/Sub topic, pilih topik Pub/Sub (bitwarden-events-trigger).
4. Klik Simpan.
Di bagian Authentication:
1. Pilih Wajibkan autentikasi.
2. Periksa Identity and Access Management (IAM).
Catatan: Pub/Sub secara otomatis menangani autentikasi saat memanggil fungsi.
Scroll ke bawah dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih akun layanan (bitwarden-events-collector-sa).

Setelan	Nilai
Nama layanan	`bitwarden-events-collector`
Wilayah	Pilih region yang cocok dengan bucket GCS Anda (misalnya, `us-central1`)
Runtime	Pilih Python 3.12 atau yang lebih baru

Buka tab Containers:

Klik Variables & Secrets.
Klik + Tambahkan variabel untuk setiap variabel lingkungan:

Nama Variabel	Nilai Contoh
`GCS_BUCKET`	`bitwarden-events`
`GCS_PREFIX`	`bitwarden/events`
`STATE_KEY`	`bitwarden/events/state.json`
`BW_CLIENT_ID`	`organization.your-client-id`
`BW_CLIENT_SECRET`	`your-client-secret`
`IDENTITY_URL`	`https://identity.bitwarden.com/connect/token`
`API_BASE`	`https://api.bitwarden.com`
`MAX_PAGES`	`10`

Di bagian Variables & Secrets, scroll ke bawah ke Requests:
- Waktu tunggu permintaan: Masukkan 600 detik (10 menit).
Buka tab Setelan:
- Di bagian Materi:
  - Memori: Pilih 512 MiB atau yang lebih tinggi.
  - CPU: Pilih 1.
Di bagian Penskalaan revisi:
- Jumlah minimum instance: Masukkan 0.
- Jumlah maksimum instance: Masukkan 100 (atau sesuaikan berdasarkan perkiraan beban).
Klik Buat.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.

Menambahkan kode fungsi

Masukkan main di Function entry point

Di editor kode inline, buat dua file:

File pertama: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import base64

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch events from Bitwarden API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'bitwarden/events').strip('/')
    state_key = os.environ.get('STATE_KEY', 'bitwarden/events/state.json')

    # Bitwarden API credentials
    identity_url = os.environ.get('IDENTITY_URL', 'https://identity.bitwarden.com/connect/token')
    api_base = os.environ.get('API_BASE', 'https://api.bitwarden.com').rstrip('/')
    client_id = os.environ.get('BW_CLIENT_ID')
    client_secret = os.environ.get('BW_CLIENT_SECRET')
    max_pages = int(os.environ.get('MAX_PAGES', '10'))

    if not all([bucket_name, client_id, client_secret]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (continuation token)
        state = load_state(bucket, state_key)
        continuation_token = state.get('continuationToken')

        print(f'Processing events with continuation token: {continuation_token}')

        # Get OAuth token
        access_token = get_oauth_token(identity_url, client_id, client_secret)

        # Fetch events from Bitwarden API
        run_timestamp = int(datetime.now(timezone.utc).timestamp())
        pages = 0
        total_events = 0
        written_files = []

        while pages < max_pages:
            events_data = fetch_events(api_base, access_token, continuation_token)

            # Extract events array from API response
            events = events_data.get('data', [])

            # Only write file if there are events
            if events:
                gcs_key = write_events_jsonl(bucket, events, prefix, run_timestamp, pages)
                if gcs_key:
                    written_files.append(gcs_key)
                total_events += len(events)

            pages += 1

            # Check for next page token
            next_token = events_data.get('continuationToken')
            if next_token:
                continuation_token = next_token
                continue
            else:
                # No more pages
                break

        # Save state only if there are more pages to continue in next run
        # If we hit MAX_PAGES and there's still a continuation token, save it
        # Otherwise, clear the state (set to None)
        save_state(bucket, state_key, {
            'continuationToken': continuation_token if pages >= max_pages and continuation_token else None
        })

        print(f'Successfully processed {total_events} events across {pages} pages')
        print(f'Files written: {len(written_files)}')

    except Exception as e:
        print(f'Error processing events: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def get_oauth_token(identity_url, client_id, client_secret):
    """Get OAuth 2.0 access token from Bitwarden."""
    body_data = {
        'grant_type': 'client_credentials',
        'scope': 'api.organization',
        'client_id': client_id,
        'client_secret': client_secret
    }

    encoded_data = '&'.join([f'{k}={v}' for k, v in body_data.items()]).encode('utf-8')

    response = http.request(
        'POST',
        identity_url,
        body=encoded_data,
        headers={'Content-Type': 'application/x-www-form-urlencoded'}
    )

    if response.status != 200:
        raise Exception(f'Failed to get OAuth token: {response.status} {response.data.decode("utf-8")}')

    token_data = json.loads(response.data.decode('utf-8'))
    return token_data['access_token']

def fetch_events(api_base, access_token, continuation_token=None):
    """Fetch events from Bitwarden API with pagination."""
    url = f'{api_base}/public/events'
    if continuation_token:
        url += f'?continuationToken={continuation_token}'

    response = http.request(
        'GET',
        url,
        headers={
            'Authorization': f'Bearer {access_token}',
            'Accept': 'application/json'
        }
    )

    if response.status == 429:
        retry_after = int(response.headers.get('Retry-After', '60'))
        print(f'Rate limited (429). Retrying after {retry_after}s...')
        import time
        time.sleep(retry_after)
        return fetch_events(api_base, access_token, continuation_token)

    if response.status != 200:
        raise Exception(f'Failed to fetch events: {response.status} {response.data.decode("utf-8")}')

    return json.loads(response.data.decode('utf-8'))

def write_events_jsonl(bucket, events, prefix, run_timestamp, page_index):
    """
    Write events in JSONL format (one JSON object per line).
    Only writes if there are events to write.
    Returns the GCS key of the written file.
    """
    if not events:
        return None

    # Build JSONL content: one event per line
    lines = [json.dumps(event, separators=(',', ':')) for event in events]
    jsonl_content = '\n'.join(lines) + '\n'  # JSONL format with trailing newline

    # Generate unique filename with page number to avoid conflicts
    timestamp_str = datetime.fromtimestamp(run_timestamp, tz=timezone.utc).strftime('%Y/%m/%d/%H%M%S')
    key = f'{prefix}/{timestamp_str}-page{page_index:05d}-bitwarden-events.jsonl'

    blob = bucket.blob(key)
    blob.upload_from_string(
        jsonl_content,
        content_type='application/x-ndjson'
    )

    print(f'Wrote {len(events)} events to {key}')
    return key

File kedua: requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).

Catatan: Konfigurasi pemicu Pub/Sub secara otomatis membuat langganan dan izin yang diperlukan.
Catatan: Public API Bitwarden menerapkan batas kecepatan dan dapat menampilkan respons HTTP 429 saat volume permintaan tinggi. Jika Anda mengalami respons 429, fungsi akan otomatis dicoba lagi dengan backoff eksponensial. Pertimbangkan untuk menyesuaikan MAX_PAGES atau frekuensi penjadwalan jika pembatasan kapasitas sering terjadi.

Buat tugas Cloud Scheduler

Cloud Scheduler memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.

Di GCP Console, buka Cloud Scheduler.
Klik Create Job.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Nama	`bitwarden-events-hourly`
Wilayah	Pilih region yang sama dengan fungsi Cloud Run
Frekuensi	`0 * * * *` (setiap jam, tepat pada waktunya)
Zona waktu	Pilih zona waktu (UTC direkomendasikan)
Jenis target	Pub/Sub
Topik	Pilih topik Pub/Sub (`bitwarden-events-trigger`)
Isi pesan	`{}` (objek JSON kosong)

Klik Buat.

Opsi frekuensi jadwal

Pilih frekuensi berdasarkan volume log dan persyaratan latensi:

Frekuensi	Ekspresi Cron	Kasus Penggunaan
Setiap 5 menit	`/5 * * *`	Volume tinggi, latensi rendah
Setiap 15 menit	`/15 * * *`	Volume sedang
Setiap jam	`0 * * * *`	Standar (direkomendasikan)
Setiap 6 jam	`0 /6 * *`	Volume rendah, pemrosesan batch
Harian	`0 0 * * *`	Pengumpulan data historis

Menguji integrasi

Di konsol Cloud Scheduler, temukan tugas Anda.
Klik Force run untuk memicu tugas secara manual.
Tunggu beberapa detik.
Buka Cloud Run > Services.
Klik nama fungsi Anda (bitwarden-events-collector).
Klik tab Logs.

Pastikan fungsi berhasil dieksekusi. Cari:

Processing events with continuation token: None
Page 1: Retrieved X events
Wrote X events to bitwarden/events/YYYY/MM/DD/HHMMSS-page00000-bitwarden-events.jsonl
Successfully processed X events across 1 pages

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka folder awalan (bitwarden/events/).
Pastikan file .jsonl baru dibuat dengan stempel waktu saat ini.

Jika Anda melihat error dalam log:

HTTP 401: Periksa kredensial API di variabel lingkungan
HTTP 403: Verifikasi bahwa akun memiliki izin yang diperlukan dan fitur Peristiwa diaktifkan di Setelan Organisasi
HTTP 429: Pembatasan kecepatan - fungsi akan otomatis mencoba lagi dengan penundaan
Variabel lingkungan tidak ada: Periksa apakah semua variabel yang diperlukan telah ditetapkan

Mengambil akun layanan Google SecOps

Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.

Dapatkan email akun layanan

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Bitwarden Events).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Bitwarden events sebagai Log type.
Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Salin alamat email ini untuk digunakan di langkah berikutnya.

Catatan: Setiap instance Google SecOps memiliki akun layanan yang unik. Jangan gunakan akun layanan dari dokumentasi atau contoh lain.

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps.
- Tetapkan peran: Pilih Storage Object Viewer.
Klik Simpan.

Catatan: Jika Anda berencana menggunakan opsi penghapusan "Hapus file yang ditransfer" atau "Hapus file yang ditransfer dan direktori kosong", berikan peran Storage Object Admin, bukan Storage Object Viewer.

Mengonfigurasi feed di Google SecOps untuk menyerap Log Peristiwa Bitwarden Enterprise

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Bitwarden Events).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Bitwarden events sebagai Log type.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
```
gs://bitwarden-events/bitwarden/events/
```
  - Ganti:
    - bitwarden-events: Nama bucket GCS Anda.
    - bitwarden/events/: Jalur folder/awalan tempat log disimpan.
  Catatan: Selalu sertakan garis miring (/) di akhir URI.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
  - Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
  - Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
    
    Catatan: Jika Anda memilih opsi penghapusan, akun layanan harus memiliki peran Storage Object Admin, bukan Storage Object Viewer. Perbarui izin IAM yang sesuai.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
actingUserId	target.user.userid	Jika enriched.actingUser.userId kosong atau null, kolom ini digunakan untuk mengisi kolom target.user.userid.
collectionID	security_result.detection_fields.key	Mengisi kolom kunci dalam detection_fields di security_result.
collectionID	security_result.detection_fields.value	Mengisi kolom nilai dalam detection_fields di security_result.
tanggal	metadata.event_timestamp	Diuraikan dan dikonversi ke format stempel waktu serta dipetakan ke event_timestamp.
enriched.actingUser.accessAll	security_result.rule_labels.key	Menetapkan nilai ke "Access_All" dalam rule_labels di security_result.
enriched.actingUser.accessAll	security_result.rule_labels.value	Mengisi kolom nilai dalam rule_labels di security_result dengan nilai dari enriched.actingUser.accessAll yang dikonversi menjadi string.
enriched.actingUser.email	target.user.email_addresses	Mengisi kolom email_addresses dalam target.user.
enriched.actingUser.id	metadata.product_log_id	Mengisi kolom product_log_id dalam metadata.
enriched.actingUser.id	target.labels.key	Menetapkan nilai ke "ID" dalam target.labels.
enriched.actingUser.id	target.labels.value	Mengisi kolom nilai dalam target.labels dengan nilai dari enriched.actingUser.id.
enriched.actingUser.name	target.user.user_display_name	Mengisi kolom user_display_name dalam target.user.
enriched.actingUser.object	target.labels.key	Menetapkan nilai ke "Object" dalam target.labels.
enriched.actingUser.object	target.labels.value	Mengisi kolom nilai dalam target.labels dengan nilai dari enriched.actingUser.object.
enriched.actingUser.resetPasswordEnrolled	target.labels.key	Menetapkan nilai ke "ResetPasswordEnrolled" dalam target.labels.
enriched.actingUser.resetPasswordEnrolled	target.labels.value	Mengisi kolom nilai dalam target.labels dengan nilai dari enriched.actingUser.resetPasswordEnrolled yang dikonversi menjadi string.
enriched.actingUser.twoFactorEnabled	security_result.rule_labels.key	Menetapkan nilai ke "Two Factor Enabled" dalam rule_labels di security_result.
enriched.actingUser.twoFactorEnabled	security_result.rule_labels.value	Mengisi kolom nilai dalam rule_labels di security_result dengan nilai dari enriched.actingUser.twoFactorEnabled yang dikonversi menjadi string.
enriched.actingUser.userId	target.user.userid	Mengisi kolom userid dalam target.user.
enriched.collection.id	additional.fields.key	Menetapkan nilai ke "ID Kumpulan" dalam additional.fields.
enriched.collection.id	additional.fields.value.string_value	Mengisi kolom string_value dalam additional.fields dengan nilai dari enriched.collection.id.
enriched.collection.object	additional.fields.key	Menetapkan nilai ke "Objek Kumpulan" dalam additional.fields.
enriched.collection.object	additional.fields.value.string_value	Mengisi kolom string_value dalam additional.fields dengan nilai dari enriched.collection.object.
enriched.type	metadata.product_event_type	Mengisi kolom product_event_type dalam metadata.
groupId	target.user.group_identifiers	Menambahkan nilai ke array group_identifiers dalam target.user.
ipAddress	principal.ip	Mengekstrak alamat IP dari kolom dan memetakannya ke principal.ip.
T/A	extensions.auth	Objek kosong dibuat oleh parser.
T/A	metadata.event_type	Ditentukan berdasarkan enriched.type dan keberadaan informasi target dan prinsipal. Nilai yang mungkin: USER_LOGIN, STATUS_UPDATE, GENERIC_EVENT.
T/A	security_result.action	Ditentukan berdasarkan enriched.type. Nilai yang mungkin: ALLOW, BLOCK.
objek	additional.fields.key	Menetapkan nilai ke "Object" dalam additional.fields.
objek	additional.fields.value	Mengisi kolom nilai dalam additional.fields dengan nilai dari objek.

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.