Mengumpulkan log Censys
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Censys ke Google Security Operations menggunakan Google Cloud Storage V2.
Censys menyediakan pengelolaan permukaan serangan dan kecerdasan internet yang komprehensif melalui API-nya. Integrasi ini memungkinkan Anda mengumpulkan peristiwa penemuan host, peristiwa risiko, dan perubahan aset dari Censys ASM serta meneruskannya ke Google SecOps untuk dianalisis dan dipantau.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Project GCP dengan Cloud Storage API diaktifkan
- Izin untuk membuat dan mengelola bucket GCS
- Izin untuk mengelola kebijakan IAM di bucket GCS
- Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
- Akses istimewa ke Censys ASM
Mengumpulkan kredensial Censys API
- Login ke Konsol ASM Censys di app.censys.io.
- Buka Integrations di bagian atas halaman.
- Salin dan simpan API Key dan Organization ID Anda.
- Perhatikan URL Dasar API:
https://api.platform.censys.io
Membuat bucket Google Cloud Storage
- Buka Google Cloud Console.
- Pilih project Anda atau buat project baru.
- Di menu navigasi, buka Cloud Storage > Buckets.
- Klik Create bucket.
Berikan detail konfigurasi berikut:
Setelan Nilai Beri nama bucket Anda Masukkan nama yang unik secara global (misalnya, censys-logs)Location type Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region) Lokasi Pilih lokasi (misalnya, us-central1)Kelas penyimpanan Standar (direkomendasikan untuk log yang sering diakses) Access control Seragam (direkomendasikan) Alat perlindungan Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi Klik Buat.
Buat akun layanan untuk Cloud Run Function
Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS.
Membuat akun layanan
- Di GCP Console, buka IAM & Admin > Service Accounts.
- Klik Create Service Account.
- Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan
censys-data-collector-sa. - Deskripsi akun layanan: Masukkan
Service account for Cloud Run function to collect Censys logs.
- Nama akun layanan: Masukkan
- Klik Create and Continue.
- Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
- Klik Pilih peran.
- Telusuri dan pilih Storage Object Admin.
- Klik + Add another role.
- Telusuri dan pilih Cloud Run Invoker.
- Klik + Add another role.
- Telusuri dan pilih Cloud Functions Invoker.
- Klik Lanjutkan.
- Klik Selesai.
Peran ini diperlukan untuk:
- Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
- Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
- Cloud Functions Invoker: Mengizinkan pemanggilan fungsi
Memberikan izin IAM pada bucket GCS
Beri akun layanan izin tulis di bucket GCS:
- Buka Cloud Storage > Buckets.
- Klik nama bucket Anda.
- Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya,
censys-data-collector-sa@PROJECT_ID.iam.gserviceaccount.com). - Tetapkan peran: Pilih Storage Object Admin.
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya,
- Klik Simpan.
Membuat topik Pub/Sub
Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.
- Di GCP Console, buka Pub/Sub > Topics.
- Klik Create topic.
- Berikan detail konfigurasi berikut:
- ID Topik: Masukkan
censys-data-trigger. - Biarkan setelan lainnya tetap default.
- ID Topik: Masukkan
- Klik Buat.
Membuat fungsi Cloud Run untuk mengumpulkan log
Fungsi Cloud Run dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log dari Censys ASM API dan menuliskannya ke GCS.
- Di GCP Console, buka Cloud Run.
- Klik Create service.
- Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:
Setelan Nilai Nama layanan censys-data-collectorWilayah Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)Runtime Pilih Python 3.12 atau yang lebih baru Di bagian Pemicu (opsional):
- Klik + Tambahkan pemicu.
- Pilih Cloud Pub/Sub.
- Di Select a Cloud Pub/Sub topic, pilih topik Pub/Sub (
censys-data-trigger). - Klik Simpan.
Di bagian Authentication:
- Pilih Wajibkan autentikasi.
- Periksa Identity and Access Management (IAM).
- Scroll ke bawah dan luaskan Containers, Networking, Security.
- Buka tab Security:
- Akun layanan: Pilih akun layanan (
censys-data-collector-sa).
- Akun layanan: Pilih akun layanan (
Buka tab Containers:
- Klik Variables & Secrets.
Klik + Tambahkan variabel untuk setiap variabel lingkungan:
Nama Variabel Nilai Contoh GCS_BUCKETcensys-logsGCS_PREFIXcensys/STATE_KEYcensys/state.jsonCENSYS_API_KEYyour-censys-api-keyCENSYS_ORG_IDyour-organization-idAPI_BASEhttps://api.platform.censys.io
Scroll ke bawah di tab Variables & Secrets ke Requests:
- Waktu tunggu permintaan: Masukkan
600detik (10 menit).
- Waktu tunggu permintaan: Masukkan
Buka tab Setelan di Penampung:
- Di bagian Materi:
- Memori: Pilih 512 MiB atau yang lebih tinggi.
- CPU: Pilih 1.
- Klik Selesai.
- Di bagian Materi:
Scroll ke Lingkungan eksekusi:
- Pilih Default (direkomendasikan).
Di bagian Penskalaan revisi:
- Jumlah minimum instance: Masukkan
0. - Jumlah maksimum instance: Masukkan
100(atau sesuaikan berdasarkan perkiraan beban).
- Jumlah minimum instance: Masukkan
Klik Buat.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.
Menambahkan kode fungsi
- Masukkan main di Function entry point
Di editor kode inline, buat dua file:
- File pertama: main.py:
import functions_framework from google.cloud import storage import json import urllib3 import gzip import os from datetime import datetime, timedelta, timezone from typing import Dict, List, Any, Optional from urllib.parse import urlencode # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=30.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch logs from Censys ASM API and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') prefix = os.environ.get('GCS_PREFIX', 'censys/') state_key = os.environ.get('STATE_KEY', 'censys/state.json') censys_api_key = os.environ.get('CENSYS_API_KEY') censys_org_id = os.environ.get('CENSYS_ORG_ID') api_base = os.environ.get('API_BASE', 'https://api.platform.censys.io') if not all([bucket_name, censys_api_key, censys_org_id]): print('Error: Missing required environment variables') return try: collector = CensysCollector( bucket_name=bucket_name, prefix=prefix, state_key=state_key, api_key=censys_api_key, org_id=censys_org_id, api_base=api_base ) # Get last collection time last_collection_time = collector.get_last_collection_time() current_time = datetime.now(timezone.utc) print(f'Collecting events since {last_collection_time}') # Collect different types of events logbook_events = collector.collect_logbook_events() risk_events = collector.collect_risks_events() # Save events to GCS collector.save_events_to_gcs(logbook_events, 'logbook') collector.save_events_to_gcs(risk_events, 'risks') # Update state collector.save_collection_time(current_time) print(f'Successfully processed {len(logbook_events)} logbook events and {len(risk_events)} risk events') except Exception as e: print(f'Error processing logs: {str(e)}') raise class CensysCollector: def __init__(self, bucket_name: str, prefix: str, state_key: str, api_key: str, org_id: str, api_base: str): self.bucket_name = bucket_name self.prefix = prefix self.state_key = state_key self.headers = { 'Authorization': f'Bearer {api_key}', 'X-Organization-ID': org_id, 'Content-Type': 'application/json' } self.api_base = api_base self.bucket = storage_client.bucket(bucket_name) def get_last_collection_time(self) -> Optional[datetime]: """Get the last collection timestamp from GCS state file.""" try: blob = self.bucket.blob(self.state_key) if blob.exists(): state_data = blob.download_as_text() state = json.loads(state_data) return datetime.fromisoformat(state.get('last_collection_time', '2024-01-01T00:00:00Z')) except Exception as e: print(f'No state file found or error reading state: {e}') return datetime.now(timezone.utc) - timedelta(hours=1) def save_collection_time(self, collection_time: datetime): """Save the current collection timestamp to GCS state file.""" state = {'last_collection_time': collection_time.strftime('%Y-%m-%dT%H:%M:%SZ')} blob = self.bucket.blob(self.state_key) blob.upload_from_string( json.dumps(state), content_type='application/json' ) def collect_logbook_events(self, cursor: str = None) -> List[Dict[str, Any]]: """Collect logbook events from Censys ASM API using cursor-based pagination.""" events = [] url = f"{self.api_base}/v3/logbook" params = {} if cursor: params['cursor'] = cursor try: query_string = urlencode(params) if params else '' full_url = f"{url}?{query_string}" if query_string else url response = http.request('GET', full_url, headers=self.headers) # Handle rate limiting with exponential backoff if response.status == 429: retry_after = int(response.headers.get('Retry-After', '60')) print(f'Rate limited (429). Retrying after {retry_after}s...') import time time.sleep(retry_after) return self.collect_logbook_events(cursor) if response.status != 200: print(f'API request failed with status {response.status}: {response.data}') return [] data = json.loads(response.data.decode('utf-8')) events.extend(data.get('logbook_entries', [])) # Handle cursor-based pagination next_cursor = data.get('next_cursor') if next_cursor: events.extend(self.collect_logbook_events(next_cursor)) print(f'Collected {len(events)} logbook events') return events except Exception as e: print(f'Error collecting logbook events: {e}') return [] def collect_risks_events(self) -> List[Dict[str, Any]]: """Collect risk events from Censys ASM API.""" events = [] url = f"{self.api_base}/v3/risks" try: response = http.request('GET', url, headers=self.headers) # Handle rate limiting with exponential backoff if response.status == 429: retry_after = int(response.headers.get('Retry-After', '60')) print(f'Rate limited (429). Retrying after {retry_after}s...') import time time.sleep(retry_after) return self.collect_risks_events() if response.status != 200: print(f'API request failed with status {response.status}: {response.data}') return [] data = json.loads(response.data.decode('utf-8')) events.extend(data.get('risks', [])) print(f'Collected {len(events)} risk events') return events except Exception as e: print(f'Error collecting risk events: {e}') return [] def save_events_to_gcs(self, events: List[Dict[str, Any]], event_type: str): """Save events to GCS in compressed NDJSON format.""" if not events: return timestamp = datetime.now(timezone.utc).strftime('%Y%m%d_%H%M%S') filename = f"{self.prefix}{event_type}_{timestamp}.json.gz" try: # Convert events to newline-delimited JSON ndjson_content = '\n'.join(json.dumps(event, separators=(',', ':')) for event in events) # Compress with gzip gz_bytes = gzip.compress(ndjson_content.encode('utf-8')) blob = self.bucket.blob(filename) blob.upload_from_string( gz_bytes, content_type='application/gzip' ) print(f'Saved {len(events)} {event_type} events to {filename}') except Exception as e: print(f'Error saving {event_type} events to GCS: {e}') raise- File kedua: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).
Buat tugas Cloud Scheduler
Cloud Scheduler memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.
- Di GCP Console, buka Cloud Scheduler.
- Klik Create Job.
Berikan detail konfigurasi berikut:
Setelan Nilai Nama censys-data-collector-hourlyWilayah Pilih region yang sama dengan fungsi Cloud Run Frekuensi 0 * * * *(setiap jam, tepat pada waktunya)Zona waktu Pilih zona waktu (UTC direkomendasikan) Jenis target Pub/Sub Topik Pilih topik Pub/Sub ( censys-data-trigger)Isi pesan {}(objek JSON kosong)Klik Buat.
Opsi frekuensi jadwal
Pilih frekuensi berdasarkan volume log dan persyaratan latensi:
Frekuensi Ekspresi Cron Kasus Penggunaan Setiap 5 menit */5 * * * *Volume tinggi, latensi rendah Setiap 15 menit */15 * * * *Volume sedang Setiap jam 0 * * * *Standar (direkomendasikan) Setiap 6 jam 0 */6 * * *Volume rendah, pemrosesan batch Harian 0 0 * * *Pengumpulan data historis
Menguji integrasi
- Di konsol Cloud Scheduler, temukan tugas Anda.
- Klik Force run untuk memicu tugas secara manual.
- Tunggu beberapa detik.
- Buka Cloud Run > Services.
- Klik nama fungsi Anda (
censys-data-collector). - Klik tab Logs.
Pastikan fungsi berhasil dieksekusi. Cari hal berikut:
Collecting events since YYYY-MM-DDTHH:MM:SS+00:00 Collected X logbook events Collected X risk events Saved X logbook events to censys/logbook_YYYYMMDD_HHMMSS.json.gz Saved X risks events to censys/risks_YYYYMMDD_HHMMSS.json.gz Successfully processed X logbook events and X risk eventsBuka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka folder awalan (
censys/).Pastikan file
.json.gzbaru dibuat dengan stempel waktu saat ini.
Jika Anda melihat error dalam log:
- HTTP 401: Periksa kredensial API di variabel lingkungan
- HTTP 403: Pastikan akun memiliki izin yang diperlukan
- HTTP 429: Pembatasan kecepatan - fungsi akan otomatis mencoba lagi dengan penundaan
- Variabel lingkungan tidak ada: Periksa apakah semua variabel yang diperlukan telah ditetapkan
Mengambil akun layanan Google SecOps
Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.
Dapatkan email akun layanan
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
Censys logs). - Pilih Google Cloud Storage V2 sebagai Source type.
- Pilih CENSYS sebagai Jenis log.
- Klik Get Service Account.
Email akun layanan yang unik akan ditampilkan, misalnya:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comSalin alamat email ini untuk digunakan di langkah berikutnya.
Memberikan izin IAM ke akun layanan Google SecOps
Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.
- Buka Cloud Storage > Buckets.
- Klik nama bucket Anda.
- Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps.
- Tetapkan peran: Pilih Storage Object Viewer.
- Klik Simpan.
Mengonfigurasi feed di Google SecOps untuk menyerap log Censys
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
Censys logs). - Pilih Google Cloud Storage V2 sebagai Source type.
- Pilih CENSYS sebagai Jenis log.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
gs://censys-logs/censys/Ganti:
censys-logs: Nama bucket GCS Anda.censys/: Awalan/jalur folder opsional tempat log disimpan (biarkan kosong untuk root).
Contoh:
- Bucket root:
gs://censys-logs/ - Dengan awalan:
gs://censys-logs/censys/
- Bucket root:
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
- Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
- Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
Namespace aset: Namespace aset.
Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Tabel pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| assetId | read_only_udm.principal.asset.hostname | Jika kolom assetId bukan alamat IP, kolom tersebut dipetakan ke principal.asset.hostname. |
| assetId | read_only_udm.principal.asset.ip | Jika kolom assetId adalah alamat IP, kolom tersebut dipetakan ke principal.asset.ip. |
| assetId | read_only_udm.principal.hostname | Jika kolom assetId bukan alamat IP, kolom tersebut dipetakan ke principal.hostname. |
| assetId | read_only_udm.principal.ip | Jika kolom assetId adalah alamat IP, kolom tersebut dipetakan ke principal.ip. |
| associatedAt | read_only_udm.security_result.detection_fields.value | Kolom associatedAt dipetakan ke security_result.detection_fields.value. |
| autonomousSystem.asn | read_only_udm.additional.fields.value.string_value | Kolom autonomousSystem.asn dikonversi menjadi string dan dipetakan ke additional.fields.value.string_value dengan kunci "autonomousSystem_asn". |
| autonomousSystem.bgpPrefix | read_only_udm.additional.fields.value.string_value | Kolom autonomousSystem.bgpPrefix dipetakan ke additional.fields.value.string_value dengan kunci "autonomousSystem_bgpPrefix". |
| banner | read_only_udm.principal.resource.attribute.labels.value | Kolom banner dipetakan ke principal.resource.attribute.labels.value dengan kunci "banner". |
| cloud | read_only_udm.metadata.vendor_name | Kolom cloud dipetakan ke metadata.vendor_name. |
| comments.refUrl | read_only_udm.network.http.referral_url | Kolom comments.refUrl dipetakan ke network.http.referral_url. |
| data.cve | read_only_udm.additional.fields.value.string_value | Kolom data.cve dipetakan ke additional.fields.value.string_value dengan kunci "data_cve". |
| data.cvss | read_only_udm.additional.fields.value.string_value | Kolom data.cvss dipetakan ke additional.fields.value.string_value dengan kunci "data_cvss". |
| data.ipAddress | read_only_udm.principal.asset.ip | Jika kolom data.ipAddress tidak sama dengan kolom assetId, kolom tersebut dipetakan ke principal.asset.ip. |
| data.ipAddress | read_only_udm.principal.ip | Jika kolom data.ipAddress tidak sama dengan kolom assetId, kolom tersebut dipetakan ke principal.ip. |
| data.location.city | read_only_udm.principal.location.city | Jika kolom location.city kosong, kolom data.location.city dipetakan ke principal.location.city. |
| data.location.countryCode | read_only_udm.principal.location.country_or_region | Jika kolom location.country kosong, kolom data.location.countryCode dipetakan ke principal.location.country_or_region. |
| data.location.latitude | read_only_udm.principal.location.region_coordinates.latitude | Jika kolom location.coordinates.latitude dan location.geoCoordinates.latitude kosong, kolom data.location.latitude akan dikonversi menjadi float dan dipetakan ke principal.location.region_coordinates.latitude. |
| data.location.longitude | read_only_udm.principal.location.region_coordinates.longitude | Jika kolom location.coordinates.longitude dan location.geoCoordinates.longitude kosong, kolom data.location.longitude akan dikonversi menjadi float dan dipetakan ke principal.location.region_coordinates.longitude. |
| data.location.province | read_only_udm.principal.location.state | Jika kolom location.province kosong, kolom data.location.province dipetakan ke principal.location.state. |
| data.mailServers | read_only_udm.additional.fields.value.list_value.values.string_value | Setiap elemen dalam array data.mailServers dipetakan ke entri additional.fields terpisah dengan kunci "Mail Servers" dan value.list_value.values.string_value ditetapkan ke nilai elemen. |
| data.names.forwardDns[].name | read_only_udm.network.dns.questions.name | Setiap elemen dalam array data.names.forwardDns dipetakan ke entri network.dns.questions terpisah dengan kolom name disetel ke kolom name elemen. |
| data.nameServers | read_only_udm.additional.fields.value.list_value.values.string_value | Setiap elemen dalam array data.nameServers dipetakan ke entri additional.fields terpisah dengan kunci "Name nameServers" dan value.list_value.values.string_value ditetapkan ke nilai elemen. |
| data.protocols[].transportProtocol | read_only_udm.network.ip_protocol | Jika kolom data.protocols[].transportProtocol adalah salah satu dari TCP, EIGRP, ESP, ETHERIP, GRE, ICMP, IGMP, IP6IN4, PIM, UDP, atau VRRP, kolom tersebut dipetakan ke network.ip_protocol. |
| data.protocols[].transportProtocol | read_only_udm.principal.resource.attribute.labels.value | Kolom data.protocols[].transportProtocol dipetakan ke principal.resource.attribute.labels.value dengan kunci "data_protocols {index}". |
| http.request.headers[].key, http.request.headers[].value.headers.0 | read_only_udm.network.http.user_agent | Jika kolom http.request.headers[].key adalah "User-Agent", kolom http.request.headers[].value.headers.0 yang sesuai dipetakan ke network.http.user_agent. |
| http.request.headers[].key, http.request.headers[].value.headers.0 | read_only_udm.network.http.parsed_user_agent | Jika kolom http.request.headers[].key adalah "User-Agent", kolom http.request.headers[].value.headers.0 yang sesuai akan diuraikan sebagai string agen pengguna dan dipetakan ke network.http.parsed_user_agent. |
| http.request.headers[].key, http.request.headers[].value.headers.0 | read_only_udm.principal.resource.attribute.labels.key, read_only_udm.principal.resource.attribute.labels.value | Untuk setiap elemen dalam array http.request.headers, kolom key dipetakan ke principal.resource.attribute.labels.key dan kolom value.headers.0 dipetakan ke principal.resource.attribute.labels.value. |
| http.request.uri | read_only_udm.principal.asset.hostname | Bagian nama host dari kolom http.request.uri diekstrak dan dipetakan ke principal.asset.hostname. |
| http.request.uri | read_only_udm.principal.hostname | Bagian nama host dari kolom http.request.uri diekstrak dan dipetakan ke principal.hostname. |
| http.response.body | read_only_udm.principal.resource.attribute.labels.value | Kolom http.response.body dipetakan ke principal.resource.attribute.labels.value dengan kunci "http_response_body". |
| http.response.headers[].key, http.response.headers[].value.headers.0 | read_only_udm.target.hostname | Jika kolom http.response.headers[].key adalah "Server", kolom http.response.headers[].value.headers.0 yang sesuai dipetakan ke target.hostname. |
| http.response.headers[].key, http.response.headers[].value.headers.0 | read_only_udm.principal.resource.attribute.labels.key, read_only_udm.principal.resource.attribute.labels.value | Untuk setiap elemen dalam array http.response.headers, kolom key dipetakan ke principal.resource.attribute.labels.key dan kolom value.headers.0 dipetakan ke principal.resource.attribute.labels.value. |
| http.response.statusCode | read_only_udm.network.http.response_code | Kolom http.response.statusCode dikonversi menjadi bilangan bulat dan dipetakan ke network.http.response_code. |
| ip | read_only_udm.target.asset.ip | Kolom ip dipetakan ke target.asset.ip. |
| ip | read_only_udm.target.ip | Kolom ip dipetakan ke target.ip. |
| isSeed | read_only_udm.additional.fields.value.string_value | Kolom isSeed dikonversi menjadi string dan dipetakan ke additional.fields.value.string_value dengan kunci "isSeed". |
| location.city | read_only_udm.principal.location.city | Kolom location.city dipetakan ke principal.location.city. |
| location.continent | read_only_udm.additional.fields.value.string_value | Kolom location.continent dipetakan ke additional.fields.value.string_value dengan kunci "location_continent". |
| location.coordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | Kolom location.coordinates.latitude dikonversi menjadi float dan dipetakan ke principal.location.region_coordinates.latitude. |
| location.coordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | Kolom location.coordinates.longitude dikonversi menjadi float dan dipetakan ke principal.location.region_coordinates.longitude. |
| location.country | read_only_udm.principal.location.country_or_region | Kolom location.country dipetakan ke principal.location.country_or_region. |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | Jika kolom location.coordinates.latitude kosong, kolom location.geoCoordinates.latitude dikonversi menjadi float dan dipetakan ke principal.location.region_coordinates.latitude. |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | Jika kolom location.coordinates.longitude kosong, kolom location.geoCoordinates.longitude akan dikonversi menjadi float dan dipetakan ke principal.location.region_coordinates.longitude. |
| location.postalCode | read_only_udm.additional.fields.value.string_value | Kolom location.postalCode dipetakan ke additional.fields.value.string_value dengan kunci "Postal code". |
| location.province | read_only_udm.principal.location.state | Kolom location.province dipetakan ke principal.location.state. |
| operasi | read_only_udm.security_result.action_details | Kolom operasi dipetakan ke security_result.action_details. |
| perspectiveId | read_only_udm.principal.group.product_object_id | Kolom perspectiveId dipetakan ke principal.group.product_object_id. |
| port | read_only_udm.principal.port | Kolom port dikonversi menjadi bilangan bulat dan dipetakan ke principal.port. |
| risks[].severity, risks[].title | read_only_udm.security_result.category_details | Kolom risks[].severity digabungkan dengan kolom risks[].title dan dipetakan ke security_result.category_details. |
| serviceName | read_only_udm.network.application_protocol | Jika kolom serviceName adalah "HTTP" atau "HTTPS", kolom tersebut dipetakan ke network.application_protocol. |
| sourceIp | read_only_udm.principal.asset.ip | Kolom sourceIp dipetakan ke principal.asset.ip. |
| sourceIp | read_only_udm.principal.ip | Kolom sourceIp dipetakan ke principal.ip. |
| timestamp | read_only_udm.metadata.event_timestamp | Kolom stempel waktu diuraikan sebagai stempel waktu dan dipetakan ke metadata.event_timestamp. |
| transportFingerprint.id | read_only_udm.metadata.product_log_id | Kolom transportFingerprint.id dikonversi menjadi string dan dipetakan ke metadata.product_log_id. |
| transportFingerprint.raw | read_only_udm.additional.fields.value.string_value | Kolom transportFingerprint.raw dipetakan ke additional.fields.value.string_value dengan kunci "transportFingerprint_raw". |
| jenis | read_only_udm.metadata.product_event_type | Kolom jenis dipetakan ke metadata.product_event_type. |
| - | read_only_udm.metadata.product_name | Nilai "CENSYS_ASM" ditetapkan ke metadata.product_name. |
| - | read_only_udm.metadata.vendor_name | Nilai "CENSYS" ditetapkan ke metadata.vendor_name. |
| - | read_only_udm.metadata.event_type | Jenis peristiwa ditentukan berdasarkan ada tidaknya kolom tertentu: NETWORK_CONNECTION jika has_princ_machine_id dan has_target_machine bernilai benar dan has_network_flow bernilai salah, NETWORK_DNS jika has_network_flow bernilai benar, STATUS_UPDATE jika has_princ_machine_id bernilai benar, dan GENERIC_EVENT jika tidak. |
Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.