Recopila registros de Censys

En este documento, se explica cómo transferir registros de Censys a Google Security Operations con Google Cloud Storage V2.

Censys proporciona administración integral de la superficie de ataque e inteligencia de Internet a través de su API. Esta integración te permite recopilar eventos de detección de hosts, eventos de riesgo y cambios de activos de Censys ASM, y reenviarlos a Google SecOps para su análisis y supervisión.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Una instancia de Google SecOps
• Un proyecto de GCP con la API de Cloud Storage habilitada
• Permisos para crear y administrar buckets de GCS
• Permisos para administrar políticas de IAM en buckets de GCS
• Permisos para crear servicios de Cloud Run, temas de Pub/Sub y trabajos de Cloud Scheduler
• Acceso privilegiado a Censys ASM

Recopila credenciales de la API de Censys

1. Accede a la consola de Censys ASM en app.censys.io.
2. Ve a Integraciones en la parte superior de la página.
3. Copia y guarda tu clave de API y tu ID de organización.
4. Toma nota de la URL base de la API: https://api.platform.censys.io

Crea un bucket de Google Cloud Storage

1. Ve a Google Cloud Console.
2. Selecciona tu proyecto o crea uno nuevo.
3. En el menú de navegación, ve a Cloud Storage > Buckets.
4. Haz clic en Crear bucket.

5. Proporciona los siguientes detalles de configuración:

   Configuración	Valor
   Asigna un nombre a tu bucket	Ingresa un nombre global único (por ejemplo, censys-logs).
   Tipo de ubicación	Elige según tus necesidades (región, birregional, multirregional)
   Ubicación	Selecciona la ubicación (por ejemplo, us-central1).
   Clase de almacenamiento	Estándar (recomendado para los registros a los que se accede con frecuencia)
   Control de acceso	Uniforme (recomendado)
   Herramientas de protección	Opcional: Habilita el control de versiones de objetos o la política de retención

6. Haz clic en Crear.

Crea una cuenta de servicio para la Cloud Run Function

La Cloud Run Function necesita una cuenta de servicio con permisos para escribir en el bucket de GCS.

Crear cuenta de servicio

1. En GCP Console, ve a IAM y administración > Cuentas de servicio.
2. Haz clic en Crear cuenta de servicio.
3. Proporciona los siguientes detalles de configuración:
   • Nombre de la cuenta de servicio: Ingresa censys-data-collector-sa.
   • Descripción de la cuenta de servicio: Ingresa Service account for Cloud Run function to collect Censys logs.
4. Haz clic en Crear y continuar.
5. En la sección Otorga a esta cuenta de servicio acceso al proyecto, agrega los siguientes roles:
   1. Haz clic en Selecciona un rol.
   2. Busca y selecciona Administrador de objetos de almacenamiento.
   3. Haz clic en + Agregar otra función.
   4. Busca y selecciona Invocador de Cloud Run.
   5. Haz clic en + Agregar otra función.
   6. Busca y selecciona Cloud Functions Invoker.
6. Haz clic en Continuar.
7. Haz clic en Listo.

Estos roles son necesarios para las siguientes acciones:

• Administrador de objetos de almacenamiento: Escribe registros en el bucket de GCS y administra archivos de estado
• Invocador de Cloud Run: Permite que Pub/Sub invoque la función
• Cloud Functions Invoker: Permite la invocación de funciones

Otorga permisos de IAM en el bucket de GCS

Otorga permisos de escritura a la cuenta de servicio en el bucket de GCS:

1. Ve a Cloud Storage > Buckets.
2. Haz clic en el nombre del bucket.
3. Ve a la pestaña Permisos.
4. Haz clic en Otorgar acceso.
5. Proporciona los siguientes detalles de configuración:
   • Agregar principales: Ingresa el correo electrónico de la cuenta de servicio (por ejemplo, censys-data-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Asignar roles: Selecciona Administrador de objetos de Storage.
6. Haz clic en Guardar.

Crear tema de Pub/Sub

Crea un tema de Pub/Sub en el que Cloud Scheduler publicará y al que se suscribirá la función de Cloud Run.

1. En GCP Console, ve a Pub/Sub > Temas.
2. Haz clic en Crear un tema.
3. Proporciona los siguientes detalles de configuración:
   • ID del tema: Ingresa censys-data-trigger.
   • Deja el resto de la configuración con sus valores predeterminados.
4. Haz clic en Crear.

Crea una función de Cloud Run para recopilar registros

La función de Cloud Run se activa con los mensajes de Pub/Sub de Cloud Scheduler para recuperar registros de la API de Censys ASM y escribirlos en GCS.

1. En GCP Console, ve a Cloud Run.
2. Haz clic en Crear servicio.
3. Selecciona Función (usa un editor intercalado para crear una función).

4. En la sección Configurar, proporciona los siguientes detalles de configuración:

   Configuración	Valor
   Nombre del servicio	censys-data-collector
   Región	Selecciona la región que coincida con tu bucket de GCS (por ejemplo, us-central1).
   Tiempo de ejecución	Selecciona Python 3.12 o una versión posterior.

5. En la sección Activador (opcional), haz lo siguiente:

   1. Haz clic en + Agregar activador.
   2. Selecciona Cloud Pub/Sub.
   3. En Selecciona un tema de Cloud Pub/Sub, elige el tema de Pub/Sub (censys-data-trigger).
   4. Haz clic en Guardar.

6. En la sección Autenticación, haz lo siguiente:

   • Selecciona Solicitar autenticación.
   • Verifica Identity and Access Management (IAM).

1. Desplázate hacia abajo y expande Contenedores, redes y seguridad.
2. Ve a la pestaña Seguridad:
   • Cuenta de servicio: Selecciona la cuenta de servicio (censys-data-collector-sa).

3. Ve a la pestaña Contenedores:

   1. Haz clic en Variables y secretos.

   2. Haz clic en + Agregar variable para cada variable de entorno:

      Nombre de la variable	Valor de ejemplo
      GCS_BUCKET	censys-logs
      GCS_PREFIX	censys/
      STATE_KEY	censys/state.json
      CENSYS_API_KEY	your-censys-api-key
      CENSYS_ORG_ID	your-organization-id
      API_BASE	https://api.platform.censys.io

4. En la pestaña Variables y Secrets, desplázate hacia abajo hasta Requests:

   • Tiempo de espera de la solicitud: Ingresa 600 segundos (10 minutos).

5. Ve a la pestaña Configuración en Contenedores:

   • En la sección Recursos, haz lo siguiente:
     • Memoria: Selecciona 512 MiB o más.
     • CPU: Selecciona 1.
   • Haz clic en Listo.

6. Desplázate hasta Entorno de ejecución:

   • Selecciona Predeterminado (recomendado).

7. En la sección Ajuste de escala de revisión, haz lo siguiente:

   • Cantidad mínima de instancias: Ingresa 0.
   • Cantidad máxima de instancias: Ingresa 100 (o ajusta según la carga esperada).

8. Haz clic en Crear.

9. Espera a que se cree el servicio (de 1 a 2 minutos).

10. Después de crear el servicio, se abrirá automáticamente el editor de código intercalado.

Agregar el código de función

1. Ingresa main en Punto de entrada de la función.

2. En el editor de código intercalado, crea dos archivos:

   • Primer archivo: main.py:

   import functions_framework
   from google.cloud import storage
   import json
   import urllib3
   import gzip
   import os
   from datetime import datetime, timedelta, timezone
   from typing import Dict, List, Any, Optional
   from urllib.parse import urlencode
   
   # Initialize HTTP client with timeouts
   http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=5.0, read=30.0),
       retries=False,
   )
   
   # Initialize Storage client
   storage_client = storage.Client()
   
   @functions_framework.cloud_event
   def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch logs from Censys ASM API and write to GCS.
   
       Args:
           cloud_event: CloudEvent object containing Pub/Sub message
       """
   
       # Get environment variables
       bucket_name = os.environ.get('GCS_BUCKET')
       prefix = os.environ.get('GCS_PREFIX', 'censys/')
       state_key = os.environ.get('STATE_KEY', 'censys/state.json')
       censys_api_key = os.environ.get('CENSYS_API_KEY')
       censys_org_id = os.environ.get('CENSYS_ORG_ID')
       api_base = os.environ.get('API_BASE', 'https://api.platform.censys.io')
   
       if not all([bucket_name, censys_api_key, censys_org_id]):
           print('Error: Missing required environment variables')
           return
   
       try:
           collector = CensysCollector(
               bucket_name=bucket_name,
               prefix=prefix,
               state_key=state_key,
               api_key=censys_api_key,
               org_id=censys_org_id,
               api_base=api_base
           )
   
           # Get last collection time
           last_collection_time = collector.get_last_collection_time()
           current_time = datetime.now(timezone.utc)
   
           print(f'Collecting events since {last_collection_time}')
   
           # Collect different types of events
           logbook_events = collector.collect_logbook_events()
           risk_events = collector.collect_risks_events()
   
           # Save events to GCS
           collector.save_events_to_gcs(logbook_events, 'logbook')
           collector.save_events_to_gcs(risk_events, 'risks')
   
           # Update state
           collector.save_collection_time(current_time)
   
           print(f'Successfully processed {len(logbook_events)} logbook events and {len(risk_events)} risk events')
   
       except Exception as e:
           print(f'Error processing logs: {str(e)}')
           raise
   
   class CensysCollector:
       def __init__(self, bucket_name: str, prefix: str, state_key: str, 
                    api_key: str, org_id: str, api_base: str):
           self.bucket_name = bucket_name
           self.prefix = prefix
           self.state_key = state_key
           self.headers = {
               'Authorization': f'Bearer {api_key}',
               'X-Organization-ID': org_id,
               'Content-Type': 'application/json'
           }
           self.api_base = api_base
           self.bucket = storage_client.bucket(bucket_name)
   
       def get_last_collection_time(self) -> Optional[datetime]:
           """Get the last collection timestamp from GCS state file."""
           try:
               blob = self.bucket.blob(self.state_key)
               if blob.exists():
                   state_data = blob.download_as_text()
                   state = json.loads(state_data)
                   return datetime.fromisoformat(state.get('last_collection_time', '2024-01-01T00:00:00Z'))
           except Exception as e:
               print(f'No state file found or error reading state: {e}')
           return datetime.now(timezone.utc) - timedelta(hours=1)
   
       def save_collection_time(self, collection_time: datetime):
           """Save the current collection timestamp to GCS state file."""
           state = {'last_collection_time': collection_time.strftime('%Y-%m-%dT%H:%M:%SZ')}
           blob = self.bucket.blob(self.state_key)
           blob.upload_from_string(
               json.dumps(state),
               content_type='application/json'
           )
   
       def collect_logbook_events(self, cursor: str = None) -> List[Dict[str, Any]]:
           """Collect logbook events from Censys ASM API using cursor-based pagination."""
           events = []
           url = f"{self.api_base}/v3/logbook"
   
           params = {}
           if cursor:
               params['cursor'] = cursor
   
           try:
               query_string = urlencode(params) if params else ''
               full_url = f"{url}?{query_string}" if query_string else url
   
               response = http.request('GET', full_url, headers=self.headers)
   
               # Handle rate limiting with exponential backoff
               if response.status == 429:
                   retry_after = int(response.headers.get('Retry-After', '60'))
                   print(f'Rate limited (429). Retrying after {retry_after}s...')
                   import time
                   time.sleep(retry_after)
                   return self.collect_logbook_events(cursor)
   
               if response.status != 200:
                   print(f'API request failed with status {response.status}: {response.data}')
                   return []
   
               data = json.loads(response.data.decode('utf-8'))
               events.extend(data.get('logbook_entries', []))
   
               # Handle cursor-based pagination
               next_cursor = data.get('next_cursor')
               if next_cursor:
                   events.extend(self.collect_logbook_events(next_cursor))
   
               print(f'Collected {len(events)} logbook events')
               return events
   
           except Exception as e:
               print(f'Error collecting logbook events: {e}')
               return []
   
       def collect_risks_events(self) -> List[Dict[str, Any]]:
           """Collect risk events from Censys ASM API."""
           events = []
           url = f"{self.api_base}/v3/risks"
   
           try:
               response = http.request('GET', url, headers=self.headers)
   
               # Handle rate limiting with exponential backoff
               if response.status == 429:
                   retry_after = int(response.headers.get('Retry-After', '60'))
                   print(f'Rate limited (429). Retrying after {retry_after}s...')
                   import time
                   time.sleep(retry_after)
                   return self.collect_risks_events()
   
               if response.status != 200:
                   print(f'API request failed with status {response.status}: {response.data}')
                   return []
   
               data = json.loads(response.data.decode('utf-8'))
               events.extend(data.get('risks', []))
   
               print(f'Collected {len(events)} risk events')
               return events
   
           except Exception as e:
               print(f'Error collecting risk events: {e}')
               return []
   
       def save_events_to_gcs(self, events: List[Dict[str, Any]], event_type: str):
           """Save events to GCS in compressed NDJSON format."""
           if not events:
               return
   
           timestamp = datetime.now(timezone.utc).strftime('%Y%m%d_%H%M%S')
           filename = f"{self.prefix}{event_type}_{timestamp}.json.gz"
   
           try:
               # Convert events to newline-delimited JSON
               ndjson_content = '\n'.join(json.dumps(event, separators=(',', ':')) for event in events)
   
               # Compress with gzip
               gz_bytes = gzip.compress(ndjson_content.encode('utf-8'))
   
               blob = self.bucket.blob(filename)
               blob.upload_from_string(
                   gz_bytes,
                   content_type='application/gzip'
               )
   
               print(f'Saved {len(events)} {event_type} events to {filename}')
   
           except Exception as e:
               print(f'Error saving {event_type} events to GCS: {e}')
               raise
   

   • Segundo archivo: requirements.txt:

   functions-framework==3.*
   google-cloud-storage==2.*
   urllib3>=2.0.0
   

3. Haz clic en Implementar para guardar y, luego, implementar la función.

4. Espera a que se complete la implementación (de 2 a 3 minutos).

Crea un trabajo de Cloud Scheduler

Cloud Scheduler publica mensajes en el tema de Pub/Sub a intervalos regulares, lo que activa la función de Cloud Run.

1. En GCP Console, ve a Cloud Scheduler.
2. Haz clic en Crear trabajo.

3. Proporciona los siguientes detalles de configuración:

   Configuración	Valor
   Nombre	censys-data-collector-hourly
   Región	Selecciona la misma región que la función de Cloud Run
   Frecuencia	0 * * * * (cada hora, en punto)
   Zona horaria	Selecciona la zona horaria (se recomienda UTC)
   Tipo de orientación	Pub/Sub
   Tema	Selecciona el tema de Pub/Sub (censys-data-trigger).
   Cuerpo del mensaje	{} (objeto JSON vacío)

4. Haz clic en Crear.

Opciones de frecuencia de programación

• Elige la frecuencia según los requisitos de latencia y volumen de registros:

  Frecuencia	Expresión cron	Caso de uso
  Cada 5 minutos	*/5 * * * *	Alto volumen y baja latencia
  Cada 15 minutos	*/15 * * * *	Volumen medio
  Cada 1 hora	0 * * * *	Estándar (opción recomendada)
  Cada 6 horas	0 */6 * * *	Procesamiento por lotes y volumen bajo
  Diario	0 0 * * *	Recopilación de datos históricos

Prueba la integración

1. En la consola de Cloud Scheduler, busca tu trabajo.
2. Haz clic en Forzar ejecución para activar el trabajo de forma manual.
3. Espera unos segundos.
4. Ve a Cloud Run > Servicios.
5. Haz clic en el nombre de tu función (censys-data-collector).
6. Haz clic en la pestaña Registros.

7. Verifica que la función se haya ejecutado correctamente. Busca lo siguiente:

   Collecting events since YYYY-MM-DDTHH:MM:SS+00:00
   Collected X logbook events
   Collected X risk events
   Saved X logbook events to censys/logbook_YYYYMMDD_HHMMSS.json.gz
   Saved X risks events to censys/risks_YYYYMMDD_HHMMSS.json.gz
   Successfully processed X logbook events and X risk events
   

8. Ve a Cloud Storage > Buckets.

9. Haz clic en el nombre del bucket.

10. Navega a la carpeta del prefijo (censys/).

11. Verifica que se hayan creado archivos .json.gz nuevos con la marca de tiempo actual.

Si ves errores en los registros, haz lo siguiente:

• HTTP 401: Verifica las credenciales de la API en las variables de entorno
• HTTP 403: Verifica que la cuenta tenga los permisos necesarios
• HTTP 429: Limitación de frecuencia. La función volverá a intentarlo automáticamente con una espera exponencial.
• Faltan variables de entorno: Verifica que estén configuradas todas las variables requeridas.

Recupera la cuenta de servicio de Google SecOps

Las Operaciones de seguridad de Google usan una cuenta de servicio única para leer datos de tu bucket de GCS. Debes otorgar acceso a tu bucket a esta cuenta de servicio.

Obtén el correo electrónico de la cuenta de servicio

1. Ve a Configuración de SIEM > Feeds.
2. Haz clic en Agregar feed nuevo.
3. Haz clic en Configura un feed único.
4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Censys logs).
5. Selecciona Google Cloud Storage V2 como el Tipo de fuente.
6. Selecciona CENSYS como el Tipo de registro.
7. Haz clic en Obtener cuenta de servicio.

8. Se mostrará un correo electrónico único de la cuenta de servicio, por ejemplo:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

9. Copia esta dirección de correo electrónico para usarla en el siguiente paso.

Otorga permisos de IAM a la cuenta de servicio de Google SecOps

La cuenta de servicio de Google SecOps necesita el rol de visualizador de objetos de almacenamiento en tu bucket de GCS.

1. Ve a Cloud Storage > Buckets.
2. Haz clic en el nombre del bucket.
3. Ve a la pestaña Permisos.
4. Haz clic en Otorgar acceso.
5. Proporciona los siguientes detalles de configuración:
   • Agregar principales: Pega el correo electrónico de la cuenta de servicio de Google SecOps.
   • Asignar roles: Selecciona Visualizador de objetos de Storage.
6. Haz clic en Guardar.

Configura un feed en Google SecOps para transferir registros de Censys

1. Ve a Configuración de SIEM > Feeds.
2. Haz clic en Agregar feed nuevo.
3. Haz clic en Configura un feed único.
4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Censys logs).
5. Selecciona Google Cloud Storage V2 como el Tipo de fuente.
6. Selecciona CENSYS como el Tipo de registro.
7. Haz clic en Siguiente.

8. Especifica valores para los siguientes parámetros de entrada:

   • URL del bucket de almacenamiento: Ingresa el URI del bucket de GCS con la ruta de acceso del prefijo:

     gs://censys-logs/censys/
     

     • Reemplaza lo siguiente:

       • censys-logs: Es el nombre de tu bucket de GCS.
       • censys/: Es el prefijo o la ruta de carpeta opcionales en los que se almacenan los registros (déjalo vacío para la raíz).

     • Ejemplos:

       • Bucket raíz: gs://censys-logs/
       • Con prefijo: gs://censys-logs/censys/

   • Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:

     • Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
     • Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.

     • Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.

   • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.

   • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

   • Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.

9. Haz clic en Siguiente.

10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
assetId	read_only_udm.principal.asset.hostname	Si el campo assetId no es una dirección IP, se asigna a principal.asset.hostname.
assetId	read_only_udm.principal.asset.ip	Si el campo assetId es una dirección IP, se asigna a principal.asset.ip.
assetId	read_only_udm.principal.hostname	Si el campo assetId no es una dirección IP, se asigna a principal.hostname.
assetId	read_only_udm.principal.ip	Si el campo assetId es una dirección IP, se asigna a principal.ip.
associatedAt	read_only_udm.security_result.detection_fields.value	El campo associatedAt se asigna a security_result.detection_fields.value.
autonomousSystem.asn	read_only_udm.additional.fields.value.string_value	El campo autonomousSystem.asn se convierte en una cadena y se asigna a additional.fields.value.string_value con la clave "autonomousSystem_asn".
autonomousSystem.bgpPrefix	read_only_udm.additional.fields.value.string_value	El campo autonomousSystem.bgpPrefix se asigna a additional.fields.value.string_value con la clave "autonomousSystem_bgpPrefix".
banner	read_only_udm.principal.resource.attribute.labels.value	El campo del banner se asigna a principal.resource.attribute.labels.value con la clave "banner".
nube	read_only_udm.metadata.vendor_name	El campo de nube se asigna a metadata.vendor_name.
comments.refUrl	read_only_udm.network.http.referral_url	El campo comments.refUrl se asigna a network.http.referral_url.
data.cve	read_only_udm.additional.fields.value.string_value	El campo data.cve se asigna a additional.fields.value.string_value con la clave "data_cve".
data.cvss	read_only_udm.additional.fields.value.string_value	El campo data.cvss se asigna a additional.fields.value.string_value con la clave "data_cvss".
data.ipAddress	read_only_udm.principal.asset.ip	Si el campo data.ipAddress no es igual al campo assetId, se asigna a principal.asset.ip.
data.ipAddress	read_only_udm.principal.ip	Si el campo data.ipAddress no es igual al campo assetId, se asigna a principal.ip.
data.location.city	read_only_udm.principal.location.city	Si el campo location.city está vacío, el campo data.location.city se asigna a principal.location.city.
data.location.countryCode	read_only_udm.principal.location.country_or_region	Si el campo location.country está vacío, el campo data.location.countryCode se asigna a principal.location.country_or_region.
data.location.latitude	read_only_udm.principal.location.region_coordinates.latitude	Si los campos location.coordinates.latitude y location.geoCoordinates.latitude están vacíos, el campo data.location.latitude se convierte en un número de punto flotante y se asigna a principal.location.region_coordinates.latitude.
data.location.longitude	read_only_udm.principal.location.region_coordinates.longitude	Si los campos location.coordinates.longitude y location.geoCoordinates.longitude están vacíos, el campo data.location.longitude se convierte en un número de punto flotante y se asigna a principal.location.region_coordinates.longitude.
data.location.province	read_only_udm.principal.location.state	Si el campo location.province está vacío, el campo data.location.province se asigna a principal.location.state.
data.mailServers	read_only_udm.additional.fields.value.list_value.values.string_value	Cada elemento del array data.mailServers se asigna a una entrada adicional.fields independiente con la clave "Servidores de correo" y el valor value.list_value.values.string_value establecido en el valor del elemento.
data.names.forwardDns[].name	read_only_udm.network.dns.questions.name	Cada elemento del array data.names.forwardDns se asigna a una entrada network.dns.questions independiente con el campo name establecido en el campo name del elemento.
data.nameServers	read_only_udm.additional.fields.value.list_value.values.string_value	Cada elemento del array data.nameServers se asigna a una entrada adicional.fields independiente con la clave "Name nameServers" y el valor value.list_value.values.string_value establecido en el valor del elemento.
data.protocols[].transportProtocol	read_only_udm.network.ip_protocol	Si el campo data.protocols[].transportProtocol es uno de los siguientes: TCP, EIGRP, ESP, ETHERIP, GRE, ICMP, IGMP, IP6IN4, PIM, UDP o VRRP, se asigna a network.ip_protocol.
data.protocols[].transportProtocol	read_only_udm.principal.resource.attribute.labels.value	El campo data.protocols[].transportProtocol se asigna a principal.resource.attribute.labels.value con la clave "data_protocols {index}".
http.request.headers[].key, http.request.headers[].value.headers.0	read_only_udm.network.http.user_agent	Si el campo http.request.headers[].key es "User-Agent", el campo http.request.headers[].value.headers.0 correspondiente se asigna a network.http.user_agent.
http.request.headers[].key, http.request.headers[].value.headers.0	read_only_udm.network.http.parsed_user_agent	Si el campo http.request.headers[].key es "User-Agent", el campo http.request.headers[].value.headers.0 correspondiente se analiza como una cadena de usuario-agente y se asigna a network.http.parsed_user_agent.
http.request.headers[].key, http.request.headers[].value.headers.0	read_only_udm.principal.resource.attribute.labels.key, read_only_udm.principal.resource.attribute.labels.value	Para cada elemento del array http.request.headers, el campo key se asigna a principal.resource.attribute.labels.key y el campo value.headers.0 se asigna a principal.resource.attribute.labels.value.
http.request.uri	read_only_udm.principal.asset.hostname	La parte del nombre de host del campo http.request.uri se extrae y se asigna a principal.asset.hostname.
http.request.uri	read_only_udm.principal.hostname	La parte del nombre de host del campo http.request.uri se extrae y se asigna a principal.hostname.
http.response.body	read_only_udm.principal.resource.attribute.labels.value	El campo http.response.body se asigna a principal.resource.attribute.labels.value con la clave "http_response_body".
http.response.headers[].key, http.response.headers[].value.headers.0	read_only_udm.target.hostname	Si el campo http.response.headers[].key es "Server", el campo http.response.headers[].value.headers.0 correspondiente se asigna a target.hostname.
http.response.headers[].key, http.response.headers[].value.headers.0	read_only_udm.principal.resource.attribute.labels.key, read_only_udm.principal.resource.attribute.labels.value	Para cada elemento del array http.response.headers, el campo key se asigna a principal.resource.attribute.labels.key y el campo value.headers.0 se asigna a principal.resource.attribute.labels.value.
http.response.statusCode	read_only_udm.network.http.response_code	El campo http.response.statusCode se convierte en un número entero y se asigna a network.http.response_code.
ip	read_only_udm.target.asset.ip	El campo ip se asigna a target.asset.ip.
ip	read_only_udm.target.ip	El campo ip se asigna a target.ip.
isSeed	read_only_udm.additional.fields.value.string_value	El campo isSeed se convierte en una cadena y se asigna a additional.fields.value.string_value con la clave "isSeed".
location.city	read_only_udm.principal.location.city	El campo location.city se asigna a principal.location.city.
location.continent	read_only_udm.additional.fields.value.string_value	El campo location.continent se asigna a additional.fields.value.string_value con la clave "location_continent".
location.coordinates.latitude	read_only_udm.principal.location.region_coordinates.latitude	El campo location.coordinates.latitude se convierte en un número de punto flotante y se asigna a principal.location.region_coordinates.latitude.
location.coordinates.longitude	read_only_udm.principal.location.region_coordinates.longitude	El campo location.coordinates.longitude se convierte en un número de punto flotante y se asigna a principal.location.region_coordinates.longitude.
location.country	read_only_udm.principal.location.country_or_region	El campo location.country se asigna a principal.location.country_or_region.
location.geoCoordinates.latitude	read_only_udm.principal.location.region_coordinates.latitude	Si el campo location.coordinates.latitude está vacío, el campo location.geoCoordinates.latitude se convierte en un número de punto flotante y se asigna a principal.location.region_coordinates.latitude.
location.geoCoordinates.longitude	read_only_udm.principal.location.region_coordinates.longitude	Si el campo location.coordinates.longitude está vacío, el campo location.geoCoordinates.longitude se convierte en un número de punto flotante y se asigna a principal.location.region_coordinates.longitude.
location.postalCode	read_only_udm.additional.fields.value.string_value	El campo location.postalCode se asigna a additional.fields.value.string_value con la clave "Código postal".
location.province	read_only_udm.principal.location.state	El campo location.province se asigna a principal.location.state.
operación	read_only_udm.security_result.action_details	El campo de operación se asigna a security_result.action_details.
perspectiveId	read_only_udm.principal.group.product_object_id	El campo perspectiveId se asigna a principal.group.product_object_id.
puerto	read_only_udm.principal.port	El campo de puerto se convierte en un número entero y se asigna a principal.port.
risks[].severity, risks[].title	read_only_udm.security_result.category_details	El campo risks[].severity se concatena con el campo risks[].title y se asigna a security_result.category_details.
serviceName	read_only_udm.network.application_protocol	Si el campo serviceName es "HTTP" o "HTTPS", se asigna a network.application_protocol.
sourceIp	read_only_udm.principal.asset.ip	El campo sourceIp se asigna a principal.asset.ip.
sourceIp	read_only_udm.principal.ip	El campo sourceIp se asigna a principal.ip.
timestamp	read_only_udm.metadata.event_timestamp	El campo de marca de tiempo se analiza como una marca de tiempo y se asigna a metadata.event_timestamp.
transportFingerprint.id	read_only_udm.metadata.product_log_id	El campo transportFingerprint.id se convierte en una cadena y se asigna a metadata.product_log_id.
transportFingerprint.raw	read_only_udm.additional.fields.value.string_value	El campo transportFingerprint.raw se asigna a additional.fields.value.string_value con la clave "transportFingerprint_raw".
tipo	read_only_udm.metadata.product_event_type	El campo type se asigna a metadata.product_event_type.
-	read_only_udm.metadata.product_name	El valor "CENSYS_ASM" se asigna a metadata.product_name.
-	read_only_udm.metadata.vendor_name	El valor "CENSYS" se asigna a metadata.vendor_name.
-	read_only_udm.metadata.event_type	El tipo de evento se determina según la presencia de campos específicos: NETWORK_CONNECTION si has_princ_machine_id y has_target_machine son verdaderos y has_network_flow es falso, NETWORK_DNS si has_network_flow es verdadero, STATUS_UPDATE si has_princ_machine_id es verdadero y GENERIC_EVENT en otros casos.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.