Collecter les journaux Censys

Ce document explique comment ingérer des journaux Censys dans Google Security Operations à l'aide de Google Cloud Storage V2.

Censys fournit une gestion complète de la surface d'attaque et des renseignements sur Internet via son API. Cette intégration vous permet de collecter les événements de découverte d'hôtes, les événements à risque et les modifications d'assets à partir de Censys ASM, puis de les transférer vers Google SecOps pour analyse et surveillance.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

• Une instance Google SecOps
• Un projet GCP avec l'API Cloud Storage activée
• Autorisations pour créer et gérer des buckets GCS
• Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
• Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
• Accès privilégié à Censys ASM

Collecter les identifiants de l'API Censys

1. Connectez-vous à la console Censys ASM sur app.censys.io.
2. Accédez à Intégrations en haut de la page.
3. Copiez et enregistrez votre clé API et votre ID d'organisation.
4. Notez l'URL de base de l'API : https://api.platform.censys.io

Créer un bucket Google Cloud Storage

1. Accédez à la console Google Cloud.
2. Sélectionnez votre projet ou créez-en un.
3. Dans le menu de navigation, accédez à Cloud Storage> Buckets.
4. Cliquez sur Créer un bucket.

5. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nommer votre bucket	Saisissez un nom unique (par exemple, censys-logs).
   Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
   Emplacement	Sélectionnez l'emplacement (par exemple, us-central1).
   Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
   Access control (Contrôle des accès)	Uniforme (recommandé)
   Outils de protection	Facultatif : Activer la gestion des versions des objets ou la règle de conservation

6. Cliquez sur Créer.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS.

Créer un compte de service

1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
2. Cliquez sur Créer un compte de service.
3. Fournissez les informations de configuration suivantes :
   • Nom du compte de service : saisissez censys-data-collector-sa.
   • Description du compte de service : saisissez Service account for Cloud Run function to collect Censys logs.
4. Cliquez sur Créer et continuer.
5. Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
   1. Cliquez sur Sélectionner un rôle.
   2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
   3. Cliquez sur + Ajouter un autre rôle.
   4. Recherchez et sélectionnez Demandeur Cloud Run.
   5. Cliquez sur + Ajouter un autre rôle.
   6. Recherchez et sélectionnez Demandeur Cloud Functions.
6. Cliquez sur Continuer.
7. Cliquez sur OK.

Ces rôles sont requis pour :

• Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
• Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
• Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom du bucket.
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, censys-data-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

1. Dans la console GCP, accédez à Pub/Sub > Sujets.
2. Cliquez sur Create topic (Créer un sujet).
3. Fournissez les informations de configuration suivantes :
   • ID du sujet : saisissez censys-data-trigger.
   • Conservez les valeurs par défaut des autres paramètres.
4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run est déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API Censys ASM et les écrire dans GCS.

1. Dans la console GCP, accédez à Cloud Run.
2. Cliquez sur Créer un service.
3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

4. Dans la section Configurer, fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom du service	censys-data-collector
   Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
   Runtime (durée d'exécution)	Sélectionnez Python 3.12 ou version ultérieure.

5. Dans la section Déclencheur (facultatif) :

   1. Cliquez sur + Ajouter un déclencheur.
   2. Sélectionnez Cloud Pub/Sub.
   3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet Pub/Sub (censys-data-trigger).
   4. Cliquez sur Enregistrer.

6. Dans la section Authentification :

   • Sélectionnez Exiger l'authentification.
   • Consultez Identity and Access Management (IAM).

1. Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.
2. Accédez à l'onglet Sécurité :
   • Compte de service : sélectionnez le compte de service (censys-data-collector-sa).

3. Accédez à l'onglet Conteneurs :

   1. Cliquez sur Variables et secrets.

   2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

      Nom de la variable	Exemple de valeur
      GCS_BUCKET	censys-logs
      GCS_PREFIX	censys/
      STATE_KEY	censys/state.json
      CENSYS_API_KEY	your-censys-api-key
      CENSYS_ORG_ID	your-organization-id
      API_BASE	https://api.platform.censys.io

4. Dans l'onglet Variables et secrets, faites défiler la page jusqu'à Requêtes :

   • Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).

5. Accédez à l'onglet Paramètres dans Conteneurs :

   • Dans la section Ressources :
     • Mémoire : sélectionnez 512 Mio ou plus.
     • CPU : sélectionnez 1.
   • Cliquez sur OK.

6. Faites défiler la page jusqu'à Environnement d'exécution :

   • Sélectionnez Par défaut (recommandé).

7. Dans la section Scaling de révision :

   • Nombre minimal d'instances : saisissez 0.
   • Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).

8. Cliquez sur Créer.

9. Attendez que le service soit créé (1 à 2 minutes).

10. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

1. Saisissez main dans Point d'entrée de la fonction.

2. Dans l'éditeur de code intégré, créez deux fichiers :

   • Premier fichier : main.py:

   import functions_framework
   from google.cloud import storage
   import json
   import urllib3
   import gzip
   import os
   from datetime import datetime, timedelta, timezone
   from typing import Dict, List, Any, Optional
   from urllib.parse import urlencode
   
   # Initialize HTTP client with timeouts
   http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=5.0, read=30.0),
       retries=False,
   )
   
   # Initialize Storage client
   storage_client = storage.Client()
   
   @functions_framework.cloud_event
   def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch logs from Censys ASM API and write to GCS.
   
       Args:
           cloud_event: CloudEvent object containing Pub/Sub message
       """
   
       # Get environment variables
       bucket_name = os.environ.get('GCS_BUCKET')
       prefix = os.environ.get('GCS_PREFIX', 'censys/')
       state_key = os.environ.get('STATE_KEY', 'censys/state.json')
       censys_api_key = os.environ.get('CENSYS_API_KEY')
       censys_org_id = os.environ.get('CENSYS_ORG_ID')
       api_base = os.environ.get('API_BASE', 'https://api.platform.censys.io')
   
       if not all([bucket_name, censys_api_key, censys_org_id]):
           print('Error: Missing required environment variables')
           return
   
       try:
           collector = CensysCollector(
               bucket_name=bucket_name,
               prefix=prefix,
               state_key=state_key,
               api_key=censys_api_key,
               org_id=censys_org_id,
               api_base=api_base
           )
   
           # Get last collection time
           last_collection_time = collector.get_last_collection_time()
           current_time = datetime.now(timezone.utc)
   
           print(f'Collecting events since {last_collection_time}')
   
           # Collect different types of events
           logbook_events = collector.collect_logbook_events()
           risk_events = collector.collect_risks_events()
   
           # Save events to GCS
           collector.save_events_to_gcs(logbook_events, 'logbook')
           collector.save_events_to_gcs(risk_events, 'risks')
   
           # Update state
           collector.save_collection_time(current_time)
   
           print(f'Successfully processed {len(logbook_events)} logbook events and {len(risk_events)} risk events')
   
       except Exception as e:
           print(f'Error processing logs: {str(e)}')
           raise
   
   class CensysCollector:
       def __init__(self, bucket_name: str, prefix: str, state_key: str, 
                    api_key: str, org_id: str, api_base: str):
           self.bucket_name = bucket_name
           self.prefix = prefix
           self.state_key = state_key
           self.headers = {
               'Authorization': f'Bearer {api_key}',
               'X-Organization-ID': org_id,
               'Content-Type': 'application/json'
           }
           self.api_base = api_base
           self.bucket = storage_client.bucket(bucket_name)
   
       def get_last_collection_time(self) -> Optional[datetime]:
           """Get the last collection timestamp from GCS state file."""
           try:
               blob = self.bucket.blob(self.state_key)
               if blob.exists():
                   state_data = blob.download_as_text()
                   state = json.loads(state_data)
                   return datetime.fromisoformat(state.get('last_collection_time', '2024-01-01T00:00:00Z'))
           except Exception as e:
               print(f'No state file found or error reading state: {e}')
           return datetime.now(timezone.utc) - timedelta(hours=1)
   
       def save_collection_time(self, collection_time: datetime):
           """Save the current collection timestamp to GCS state file."""
           state = {'last_collection_time': collection_time.strftime('%Y-%m-%dT%H:%M:%SZ')}
           blob = self.bucket.blob(self.state_key)
           blob.upload_from_string(
               json.dumps(state),
               content_type='application/json'
           )
   
       def collect_logbook_events(self, cursor: str = None) -> List[Dict[str, Any]]:
           """Collect logbook events from Censys ASM API using cursor-based pagination."""
           events = []
           url = f"{self.api_base}/v3/logbook"
   
           params = {}
           if cursor:
               params['cursor'] = cursor
   
           try:
               query_string = urlencode(params) if params else ''
               full_url = f"{url}?{query_string}" if query_string else url
   
               response = http.request('GET', full_url, headers=self.headers)
   
               # Handle rate limiting with exponential backoff
               if response.status == 429:
                   retry_after = int(response.headers.get('Retry-After', '60'))
                   print(f'Rate limited (429). Retrying after {retry_after}s...')
                   import time
                   time.sleep(retry_after)
                   return self.collect_logbook_events(cursor)
   
               if response.status != 200:
                   print(f'API request failed with status {response.status}: {response.data}')
                   return []
   
               data = json.loads(response.data.decode('utf-8'))
               events.extend(data.get('logbook_entries', []))
   
               # Handle cursor-based pagination
               next_cursor = data.get('next_cursor')
               if next_cursor:
                   events.extend(self.collect_logbook_events(next_cursor))
   
               print(f'Collected {len(events)} logbook events')
               return events
   
           except Exception as e:
               print(f'Error collecting logbook events: {e}')
               return []
   
       def collect_risks_events(self) -> List[Dict[str, Any]]:
           """Collect risk events from Censys ASM API."""
           events = []
           url = f"{self.api_base}/v3/risks"
   
           try:
               response = http.request('GET', url, headers=self.headers)
   
               # Handle rate limiting with exponential backoff
               if response.status == 429:
                   retry_after = int(response.headers.get('Retry-After', '60'))
                   print(f'Rate limited (429). Retrying after {retry_after}s...')
                   import time
                   time.sleep(retry_after)
                   return self.collect_risks_events()
   
               if response.status != 200:
                   print(f'API request failed with status {response.status}: {response.data}')
                   return []
   
               data = json.loads(response.data.decode('utf-8'))
               events.extend(data.get('risks', []))
   
               print(f'Collected {len(events)} risk events')
               return events
   
           except Exception as e:
               print(f'Error collecting risk events: {e}')
               return []
   
       def save_events_to_gcs(self, events: List[Dict[str, Any]], event_type: str):
           """Save events to GCS in compressed NDJSON format."""
           if not events:
               return
   
           timestamp = datetime.now(timezone.utc).strftime('%Y%m%d_%H%M%S')
           filename = f"{self.prefix}{event_type}_{timestamp}.json.gz"
   
           try:
               # Convert events to newline-delimited JSON
               ndjson_content = '\n'.join(json.dumps(event, separators=(',', ':')) for event in events)
   
               # Compress with gzip
               gz_bytes = gzip.compress(ndjson_content.encode('utf-8'))
   
               blob = self.bucket.blob(filename)
               blob.upload_from_string(
                   gz_bytes,
                   content_type='application/gzip'
               )
   
               print(f'Saved {len(events)} {event_type} events to {filename}')
   
           except Exception as e:
               print(f'Error saving {event_type} events to GCS: {e}')
               raise
   

   • Deuxième fichier : requirements.txt:

   functions-framework==3.*
   google-cloud-storage==2.*
   urllib3>=2.0.0
   

3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

1. Dans la console GCP, accédez à Cloud Scheduler.
2. Cliquez sur Créer une tâche.

3. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom	censys-data-collector-hourly
   Région	Sélectionnez la même région que la fonction Cloud Run.
   Fréquence	0 * * * * (toutes les heures)
   Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
   Type de cible	Pub/Sub
   Topic	Sélectionnez le sujet Pub/Sub (censys-data-trigger).
   Corps du message	{} (objet JSON vide)

4. Cliquez sur Créer.

Options de fréquence de planification

• Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

  Fréquence	Expression Cron	Cas d'utilisation
  Toutes les 5 minutes	*/5 * * * *	Volume élevé, faible latence
  Toutes les 15 minutes	*/15 * * * *	Volume moyen
  Toutes les heures	0 * * * *	Standard (recommandé)
  Toutes les 6 heures	0 */6 * * *	Traitement par lot à faible volume
  Tous les jours	0 0 * * *	Collecte de données historiques

Tester l'intégration

1. Dans la console Cloud Scheduler, recherchez votre job.
2. Cliquez sur Exécuter de force pour déclencher le job manuellement.
3. Patientez pendant quelques secondes.
4. Accédez à Cloud Run > Services.
5. Cliquez sur le nom de votre fonction (censys-data-collector).
6. Cliquez sur l'onglet Journaux.

7. Vérifiez que la fonction s'est exécutée correctement. Recherchez les éléments suivants :

   Collecting events since YYYY-MM-DDTHH:MM:SS+00:00
   Collected X logbook events
   Collected X risk events
   Saved X logbook events to censys/logbook_YYYYMMDD_HHMMSS.json.gz
   Saved X risks events to censys/risks_YYYYMMDD_HHMMSS.json.gz
   Successfully processed X logbook events and X risk events
   

8. Accédez à Cloud Storage > Buckets.

9. Cliquez sur le nom du bucket.

10. Accédez au dossier de préfixe (censys/).

11. Vérifiez que de nouveaux fichiers .json.gz ont été créés avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

• HTTP 401 : vérifiez les identifiants de l'API dans les variables d'environnement
• HTTP 403 : vérifiez que le compte dispose des autorisations requises.
• HTTP 429 : limitation du débit. La fonction effectuera automatiquement une nouvelle tentative avec un intervalle de temps.
• Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Cliquez sur Configurer un flux unique.
4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Censys logs).
5. Sélectionnez Google Cloud Storage V2 comme Type de source.
6. Sélectionnez CENSYS comme type de journal.
7. Cliquez sur Obtenir un compte de service.

8. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

9. Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom du bucket.
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
   • Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
6. Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux Censys

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Cliquez sur Configurer un flux unique.
4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Censys logs).
5. Sélectionnez Google Cloud Storage V2 comme Type de source.
6. Sélectionnez CENSYS comme type de journal.
7. Cliquez sur Suivant.

8. Spécifiez les valeurs des paramètres d'entrée suivants :

   • URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :

     gs://censys-logs/censys/
     

     • Remplacez :

       • censys-logs : nom de votre bucket GCS.
       • censys/ : préfixe/chemin d'accès au dossier facultatif où les journaux sont stockés (laisser vide pour la racine).

     • Exemples :

       • Bucket racine : gs://censys-logs/
       • Avec préfixe : gs://censys-logs/censys/

   • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

     • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
     • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.

     • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

   • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

   • Espace de noms de l'élément : espace de noms de l'élément.

   • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

9. Cliquez sur Suivant.

10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
assetId	read_only_udm.principal.asset.hostname	Si le champ assetId n'est pas une adresse IP, il est mappé sur principal.asset.hostname.
assetId	read_only_udm.principal.asset.ip	Si le champ assetId est une adresse IP, il est mappé sur principal.asset.ip.
assetId	read_only_udm.principal.hostname	Si le champ assetId n'est pas une adresse IP, il est mappé à principal.hostname.
assetId	read_only_udm.principal.ip	Si le champ "assetId" est une adresse IP, il est mappé sur "principal.ip".
associatedAt	read_only_udm.security_result.detection_fields.value	Le champ "associatedAt" est mappé sur security_result.detection_fields.value.
autonomousSystem.asn	read_only_udm.additional.fields.value.string_value	Le champ "autonomousSystem.asn" est converti en chaîne et mappé sur "additional.fields.value.string_value" avec la clé "autonomousSystem_asn".
autonomousSystem.bgpPrefix	read_only_udm.additional.fields.value.string_value	Le champ autonomousSystem.bgpPrefix est mappé sur additional.fields.value.string_value avec la clé "autonomousSystem_bgpPrefix".
bannière	read_only_udm.principal.resource.attribute.labels.value	Le champ de bannière est mappé sur principal.resource.attribute.labels.value avec la clé "banner".
cloud	read_only_udm.metadata.vendor_name	Le champ "cloud" est mappé sur metadata.vendor_name.
comments.refUrl	read_only_udm.network.http.referral_url	Le champ "comments.refUrl" est mappé sur "network.http.referral_url".
data.cve	read_only_udm.additional.fields.value.string_value	Le champ "data.cve" est mappé sur "additional.fields.value.string_value" avec la clé "data_cve".
data.cvss	read_only_udm.additional.fields.value.string_value	Le champ "data.cvss" est mappé sur "additional.fields.value.string_value" avec la clé "data_cvss".
data.ipAddress	read_only_udm.principal.asset.ip	Si le champ "data.ipAddress" n'est pas égal au champ "assetId", il est mappé sur "principal.asset.ip".
data.ipAddress	read_only_udm.principal.ip	Si le champ "data.ipAddress" n'est pas égal au champ "assetId", il est mappé à "principal.ip".
data.location.city	read_only_udm.principal.location.city	Si le champ "location.city" est vide, le champ "data.location.city" est mappé sur "principal.location.city".
data.location.countryCode	read_only_udm.principal.location.country_or_region	Si le champ "location.country" est vide, le champ "data.location.countryCode" est mappé sur "principal.location.country_or_region".
data.location.latitude	read_only_udm.principal.location.region_coordinates.latitude	Si les champs location.coordinates.latitude et location.geoCoordinates.latitude sont vides, le champ data.location.latitude est converti en float et mappé sur principal.location.region_coordinates.latitude.
data.location.longitude	read_only_udm.principal.location.region_coordinates.longitude	Si les champs location.coordinates.longitude et location.geoCoordinates.longitude sont vides, le champ data.location.longitude est converti en float et mappé sur principal.location.region_coordinates.longitude.
data.location.province	read_only_udm.principal.location.state	Si le champ "location.province" est vide, le champ "data.location.province" est mappé sur "principal.location.state".
data.mailServers	read_only_udm.additional.fields.value.list_value.values.string_value	Chaque élément du tableau data.mailServers est mappé à une entrée additional.fields distincte avec la clé "Mail Servers" et la valeur value.list_value.values.string_value définie sur la valeur de l'élément.
data.names.forwardDns[].name	read_only_udm.network.dns.questions.name	Chaque élément du tableau data.names.forwardDns est mappé à une entrée network.dns.questions distincte, avec le champ "name" défini sur le champ "name" de l'élément.
data.nameServers	read_only_udm.additional.fields.value.list_value.values.string_value	Chaque élément du tableau data.nameServers est mappé à une entrée additional.fields distincte avec la clé "Name nameServers" et la valeur value.list_value.values.string_value définie sur la valeur de l'élément.
data.protocols[].transportProtocol	read_only_udm.network.ip_protocol	Si le champ data.protocols[].transportProtocol est l'un des suivants : TCP, EIGRP, ESP, ETHERIP, GRE, ICMP, IGMP, IP6IN4, PIM, UDP ou VRRP, il est mappé à network.ip_protocol.
data.protocols[].transportProtocol	read_only_udm.principal.resource.attribute.labels.value	Le champ data.protocols[].transportProtocol est mappé sur principal.resource.attribute.labels.value avec la clé "data_protocols {index}".
http.request.headers[].key, http.request.headers[].value.headers.0	read_only_udm.network.http.user_agent	Si le champ http.request.headers[].key est "User-Agent", le champ http.request.headers[].value.headers.0 correspondant est mappé sur network.http.user_agent.
http.request.headers[].key, http.request.headers[].value.headers.0	read_only_udm.network.http.parsed_user_agent	Si le champ http.request.headers[].key est "User-Agent", le champ http.request.headers[].value.headers.0 correspondant est analysé en tant que chaîne d'agent utilisateur et mappé sur network.http.parsed_user_agent.
http.request.headers[].key, http.request.headers[].value.headers.0	read_only_udm.principal.resource.attribute.labels.key, read_only_udm.principal.resource.attribute.labels.value	Pour chaque élément du tableau http.request.headers, le champ "key" est mappé sur principal.resource.attribute.labels.key et le champ value.headers.0 est mappé sur principal.resource.attribute.labels.value.
http.request.uri	read_only_udm.principal.asset.hostname	La partie nom d'hôte du champ http.request.uri est extraite et mappée à principal.asset.hostname.
http.request.uri	read_only_udm.principal.hostname	La partie nom d'hôte du champ http.request.uri est extraite et mappée à principal.hostname.
http.response.body	read_only_udm.principal.resource.attribute.labels.value	Le champ http.response.body est mappé sur principal.resource.attribute.labels.value avec la clé "http_response_body".
http.response.headers[].key, http.response.headers[].value.headers.0	read_only_udm.target.hostname	Si le champ http.response.headers[].key est défini sur "Server", le champ http.response.headers[].value.headers.0 correspondant est mappé sur target.hostname.
http.response.headers[].key, http.response.headers[].value.headers.0	read_only_udm.principal.resource.attribute.labels.key, read_only_udm.principal.resource.attribute.labels.value	Pour chaque élément du tableau http.response.headers, le champ "key" est mappé sur principal.resource.attribute.labels.key et le champ "value.headers.0" est mappé sur principal.resource.attribute.labels.value.
http.response.statusCode	read_only_udm.network.http.response_code	Le champ "http.response.statusCode" est converti en entier et mappé à "network.http.response_code".
ip	read_only_udm.target.asset.ip	Le champ "ip" est mappé à "target.asset.ip".
ip	read_only_udm.target.ip	Le champ "ip" est mappé à "target.ip".
isSeed	read_only_udm.additional.fields.value.string_value	Le champ "isSeed" est converti en chaîne et mappé sur additional.fields.value.string_value avec la clé "isSeed".
location.city	read_only_udm.principal.location.city	Le champ "location.city" est mappé sur "principal.location.city".
location.continent	read_only_udm.additional.fields.value.string_value	Le champ location.continent est mappé sur additional.fields.value.string_value avec la clé "location_continent".
location.coordinates.latitude	read_only_udm.principal.location.region_coordinates.latitude	Le champ "location.coordinates.latitude" est converti en float et mappé sur "principal.location.region_coordinates.latitude".
location.coordinates.longitude	read_only_udm.principal.location.region_coordinates.longitude	Le champ "location.coordinates.longitude" est converti en float et mappé sur "principal.location.region_coordinates.longitude".
location.country	read_only_udm.principal.location.country_or_region	Le champ "location.country" est mappé sur "principal.location.country_or_region".
location.geoCoordinates.latitude	read_only_udm.principal.location.region_coordinates.latitude	Si le champ location.coordinates.latitude est vide, le champ location.geoCoordinates.latitude est converti en float et mappé sur principal.location.region_coordinates.latitude.
location.geoCoordinates.longitude	read_only_udm.principal.location.region_coordinates.longitude	Si le champ "location.coordinates.longitude" est vide, le champ "location.geoCoordinates.longitude" est converti en float et mappé sur "principal.location.region_coordinates.longitude".
location.postalCode	read_only_udm.additional.fields.value.string_value	Le champ location.postalCode est mappé sur additional.fields.value.string_value avec la clé "Postal code".
location.province	read_only_udm.principal.location.state	Le champ "location.province" est mappé sur "principal.location.state".
opération	read_only_udm.security_result.action_details	Le champ "operation" est mappé sur security_result.action_details.
perspectiveId	read_only_udm.principal.group.product_object_id	Le champ perspectiveId est mappé à principal.group.product_object_id.
port	read_only_udm.principal.port	Le champ de port est converti en entier et mappé à principal.port.
risks[].severity, risks[].title	read_only_udm.security_result.category_details	Le champ risks[].severity est concaténé avec le champ risks[].title et mappé sur security_result.category_details.
serviceName	read_only_udm.network.application_protocol	Si le champ serviceName est défini sur "HTTP" ou "HTTPS", il est mappé sur network.application_protocol.
sourceIp	read_only_udm.principal.asset.ip	Le champ "sourceIp" est mappé à "principal.asset.ip".
sourceIp	read_only_udm.principal.ip	Le champ sourceIp est mappé à principal.ip.
timestamp	read_only_udm.metadata.event_timestamp	Le champ d'horodatage est analysé en tant qu'horodatage et mappé à metadata.event_timestamp.
transportFingerprint.id	read_only_udm.metadata.product_log_id	Le champ transportFingerprint.id est converti en chaîne et mappé à metadata.product_log_id.
transportFingerprint.raw	read_only_udm.additional.fields.value.string_value	Le champ transportFingerprint.raw est mappé sur additional.fields.value.string_value avec la clé "transportFingerprint_raw".
type	read_only_udm.metadata.product_event_type	Le champ "type" est mappé sur metadata.product_event_type.
-	read_only_udm.metadata.product_name	La valeur "CENSYS_ASM" est attribuée à metadata.product_name.
-	read_only_udm.metadata.vendor_name	La valeur "CENSYS" est attribuée à metadata.vendor_name.
-	read_only_udm.metadata.event_type	Le type d'événement est déterminé en fonction de la présence de champs spécifiques : NETWORK_CONNECTION si has_princ_machine_id et has_target_machine sont définis sur "true" et has_network_flow sur "false", NETWORK_DNS si has_network_flow est défini sur "true", STATUS_UPDATE si has_princ_machine_id est défini sur "true", et GENERIC_EVENT dans le cas contraire.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.