Coletar registros de logon único (SSO) da Delinea

Compatível com:

Este documento explica como ingerir registros de logon único (SSO) da Delinea (antiga Centrify) no Google Security Operations usando o Google Cloud Storage. O analisador extrai os registros, processando os formatos JSON e syslog. Ele analisa pares de chave-valor, carimbos de data/hora e outros campos relevantes, mapeando-os para o modelo da UDM, com uma lógica específica para lidar com falhas de login, user agents, níveis de gravidade, mecanismos de autenticação e vários tipos de eventos. Ele prioriza "FailUserName" em vez de "NormalizedUser" para endereços de e-mail de destino em eventos de falha.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

  • Uma instância do Google SecOps
  • Um projeto do GCP com a API Cloud Storage ativada
  • Permissões para criar e gerenciar buckets do GCS
  • Permissões para gerenciar políticas do IAM em buckets do GCS
  • Permissões para criar funções do Cloud Run, tópicos do Pub/Sub e jobs do Cloud Scheduler
  • Acesso privilegiado ao locatário de SSO da Delinea (Centrify).

Coletar credenciais de SSO da Delinea (Centrify)

Criar um aplicativo cliente OAuth2

  1. Faça login no Delinea Admin Portal.
  2. Acesse Apps > Adicionar apps da Web.
  3. Clique na guia Personalizada.
  4. Pesquise Cliente OAuth2 e clique em Adicionar.
  5. Clique em Sim na caixa de diálogo Adicionar app da Web.
  6. Clique em Fechar na caixa de diálogo Adicionar apps da Web.
  7. Na página Configuração do aplicativo, configure o seguinte:
    • Guia Configurações:
      • ID do aplicativo: insira um identificador exclusivo (por exemplo, secops-oauth-client).
      • Nome do aplicativo: insira um nome descritivo (por exemplo, SecOps Data Export).
      • Descrição do aplicativo: insira uma descrição (por exemplo, OAuth client for exporting audit events to SecOps).
    • Seção Uso geral:
      • Tipo de ID do cliente: selecione Confidencial.
      • ID do cliente emitido: copie e salve esse valor.
      • Chave secreta do cliente emitida: copie e salve esse valor.
    • Guia Tokens:
      • Métodos de autenticação: selecione Credenciais do cliente.
      • Tipo de token: selecione JwtRS256.
    • Guia Escopo:
      • Adicione o escopo redrock/query com a descrição Query API Access.
  8. Clique em Salvar para criar o cliente OAuth.
  9. Copie e salve em um local seguro os seguintes detalhes:
    • URL do locatário: o URL do locatário do Centrify (por exemplo, https://yourtenant.my.centrify.com).
    • ID do cliente: da etapa 7.
    • Chave secreta do cliente: da etapa 7.
    • ID do aplicativo OAuth: na configuração do aplicativo.

Verifique as permissões

Para verificar se o cliente OAuth tem as permissões necessárias:

  1. Faça login no Delinea Admin Portal.
  2. Acesse Configurações (⚙️) > Recursos > Funções.
  3. Verifique se a função atribuída ao cliente OAuth inclui a permissão Relatório: eventos de auditoria: ver.

  4. Se a permissão estiver faltando, entre em contato com o administrador da Delinea para conceder a permissão necessária.

Testar o acesso à API

  • Teste suas credenciais antes de prosseguir com a integração:

    # Replace with your actual credentials
TENANT_URL="https://yourtenant.my.centrify.com"
CLIENT_ID="your-client-id"
CLIENT_SECRET="your-client-secret"
OAUTH_APP_ID="your-oauth-application-id"

# Get OAuth token
TOKEN=$(curl -s -X POST "${TENANT_URL}/oauth2/token/${OAUTH_APP_ID}" \
  -H "Authorization: Basic $(echo -n "${CLIENT_ID}:${CLIENT_SECRET}" | base64)" \
  -H "X-CENTRIFY-NATIVE-CLIENT: True" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=client_credentials&scope=redrock/query" | jq -r '.access_token')

# Test query API access
curl -v -X POST "${TENANT_URL}/Redrock/query" \
  -H "Authorization: Bearer ${TOKEN}" \
  -H "X-CENTRIFY-NATIVE-CLIENT: True" \
  -H "Content-Type: application/json" \
  -d '{"Script":"Select * from Event where WhenOccurred > datefunc('"'"'now'"'"', '"'"'-1'"'"') ORDER BY WhenOccurred ASC","args":{"PageNumber":1,"PageSize":10,"Limit":10,"Caching":-1}}'

Se for bem-sucedido, você vai receber uma resposta JSON com eventos de auditoria. Se você receber um erro 401 ou 403, verifique suas credenciais e permissões.

Criar um bucket do Google Cloud Storage

  1. Acesse o Console do Google Cloud.
  2. Selecione seu projeto ou crie um novo.
  3. No menu de navegação, acesse Cloud Storage > Buckets.
  4. Clique em Criar bucket.

  5. Informe os seguintes detalhes de configuração:

    Configuração Valor
    Nomeie seu bucket Insira um nome exclusivo globalmente, por exemplo, delinea-centrify-logs-bucket.
    Tipo de local Escolha com base nas suas necessidades (região, birregional, multirregional)
    Local Selecione o local (por exemplo, us-central1).
    Classe de armazenamento Padrão (recomendado para registros acessados com frequência)
    Controle de acesso Uniforme (recomendado)
    Ferramentas de proteção Opcional: ativar o controle de versões de objetos ou a política de retenção

  6. Clique em Criar.

Criar uma conta de serviço para a função do Cloud Run

A função do Cloud Run precisa de uma conta de serviço com permissões para gravar no bucket do GCS e ser invocada pelo Pub/Sub.

Criar conta de serviço

  1. No Console do GCP, acesse IAM e administrador > Contas de serviço.
  2. Clique em Criar conta de serviço.
  3. Informe os seguintes detalhes de configuração:
    • Nome da conta de serviço: insira delinea-sso-collector-sa.
    • Descrição da conta de serviço: insira Service account for Cloud Run function to collect Delinea SSO logs.
  4. Clique em Criar e continuar.
  5. Na seção Conceder acesso a essa conta de serviço ao projeto, adicione os seguintes papéis:
    1. Clique em Selecionar papel.
    2. Pesquise e selecione Administrador de objetos do Storage.
    3. Clique em + Adicionar outro papel.
    4. Pesquise e selecione Invocador do Cloud Run.
    5. Clique em + Adicionar outro papel.
    6. Pesquise e selecione Invocador do Cloud Functions.
  6. Clique em Continuar.
  7. Clique em Concluído.

Esses papéis são necessários para:

  • Administrador de objetos do Storage: grava registros em um bucket do GCS e gerencia arquivos de estado.
  • Invocador do Cloud Run: permite que o Pub/Sub invoque a função
  • Invocador do Cloud Functions: permite a invocação de funções

Conceder permissões do IAM no bucket do GCS

Conceda permissões de gravação à conta de serviço no bucket do GCS:

  1. Acesse Cloud Storage > Buckets.
  2. Clique no nome do bucket (por exemplo, delinea-centrify-logs-bucket).
  3. Acesse a guia Permissões.
  4. Clique em Conceder acesso.
  5. Informe os seguintes detalhes de configuração:
    • Adicionar principais: insira o e-mail da conta de serviço (por exemplo, delinea-sso-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Atribuir papéis: selecione Administrador de objetos do Storage.
  6. Clique em Salvar.

Criar tópico Pub/Sub

Crie um tópico do Pub/Sub em que o Cloud Scheduler vai publicar e a função do Cloud Run vai se inscrever.

  1. No Console do GCP, acesse Pub/Sub > Tópicos.
  2. Selecione Criar tópico.
  3. Informe os seguintes detalhes de configuração:
    • ID do tópico: insira delinea-sso-logs-trigger.
    • Não altere as outras configurações.
  4. Clique em Criar.

Criar uma função do Cloud Run para coletar registros

A função do Cloud Run é acionada por mensagens do Pub/Sub do Cloud Scheduler para buscar registros da API Delinea SSO e gravá-los no GCS.

  1. No console do GCP, acesse o Cloud Run.
  2. Clique em Criar serviço.
  3. Selecione Função (use um editor in-line para criar uma função).

  4. Na seção Configurar, forneça os seguintes detalhes de configuração:

    Configuração Valor
    Nome do serviço delinea-sso-log-export
    Região Selecione a região que corresponde ao seu bucket do GCS (por exemplo, us-central1).
    Ambiente de execução Selecione Python 3.12 ou uma versão mais recente.

  5. Na seção Acionador (opcional):

    1. Clique em + Adicionar gatilho.
    2. Selecione Cloud Pub/Sub.
    3. Em Selecionar um tópico do Cloud Pub/Sub, escolha o tópico do Pub/Sub delinea-sso-logs-trigger.
    4. Clique em Salvar.

  6. Na seção Autenticação:

    1. Selecione Exigir autenticação.
    2. Confira o Identity and Access Management (IAM).

  7. Role a tela para baixo e abra Contêineres, rede, segurança.

  8. Acesse a guia Segurança:

    • Conta de serviço: selecione a conta de serviço delinea-sso-collector-sa.

  9. Acesse a guia Contêineres:

    1. Clique em Variáveis e secrets.
    2. Clique em + Adicionar variável para cada variável de ambiente:
    Nome da variável Valor de exemplo Descrição
    GCS_BUCKET delinea-centrify-logs-bucket Nome do bucket do GCS
    GCS_PREFIX centrify-sso-logs Prefixo para arquivos de registro
    STATE_KEY centrify-sso-logs/state.json Caminho do arquivo de estado
    TENANT_URL https://yourtenant.my.centrify.com URL do locatário da Delinea
    CLIENT_ID your-client-id ID do cliente OAuth
    CLIENT_SECRET your-client-secret Chave secreta do cliente OAuth
    OAUTH_APP_ID your-oauth-application-id ID do aplicativo OAuth
    PAGE_SIZE 1000 Registros por página
    MAX_PAGES 10 Número máximo de páginas a serem buscadas

  10. Na seção Variáveis e secrets, role a tela para baixo até Solicitações:

    • Tempo limite da solicitação: insira 600 segundos (10 minutos).

  11. Acesse a guia Configurações:

    • Na seção Recursos:
      • Memória: selecione 512 MiB ou mais.
      • CPU: selecione 1.

  12. Na seção Escalonamento de revisão:

    • Número mínimo de instâncias: insira 0.
    • Número máximo de instâncias: insira 100 ou ajuste com base na carga esperada.

  13. Clique em Criar.

  14. Aguarde a criação do serviço (1 a 2 minutos).

  15. Depois que o serviço é criado, o editor de código inline é aberto automaticamente.

Adicionar código da função

  1. Insira main em Ponto de entrada da função.

  2. No editor de código em linha, crie dois arquivos:

    • Primeiro arquivo: main.py::
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time
import base64

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Delinea Centrify SSO audit events and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'centrify-sso-logs')
    state_key = os.environ.get('STATE_KEY', 'centrify-sso-logs/state.json')

    # Centrify API credentials
    tenant_url = os.environ.get('TENANT_URL')
    client_id = os.environ.get('CLIENT_ID')
    client_secret = os.environ.get('CLIENT_SECRET')
    oauth_app_id = os.environ.get('OAUTH_APP_ID')

    # Optional parameters
    page_size = int(os.environ.get('PAGE_SIZE', '1000'))
    max_pages = int(os.environ.get('MAX_PAGES', '10'))

    if not all([bucket_name, tenant_url, client_id, client_secret, oauth_app_id]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (last processed timestamp)
        state = load_state(bucket, state_key)
        last_timestamp = state.get('last_timestamp')

        print(f'Processing logs since {last_timestamp if last_timestamp else "24 hours ago"}')

        # Get OAuth access token
        access_token = get_oauth_token(tenant_url, client_id, client_secret, oauth_app_id)

        # Fetch audit events
        events = fetch_audit_events(tenant_url, access_token, last_timestamp, page_size, max_pages)

        if events:
            # Write events to GCS
            current_timestamp = datetime.now(timezone.utc)
            blob_name = f"{prefix}/centrify-sso-events-{current_timestamp.strftime('%Y%m%d_%H%M%S')}.json"
            blob = bucket.blob(blob_name)

            # Convert to JSONL format (one JSON object per line)
            jsonl_content = '\n'.join([json.dumps(event, default=str) for event in events])
            blob.upload_from_string(jsonl_content, content_type='application/x-ndjson')

            print(f'Wrote {len(events)} events to {blob_name}')

            # Update state with latest timestamp
            latest_timestamp = get_latest_event_timestamp(events)
            save_state(bucket, state_key, {'last_timestamp': latest_timestamp, 'updated_at': current_timestamp.isoformat() + 'Z'})

            print(f'Successfully processed {len(events)} events')
        else:
            print('No new events found')

    except Exception as e:
        print(f'Error processing Centrify SSO logs: {str(e)}')
        raise

def get_oauth_token(tenant_url, client_id, client_secret, oauth_app_id):
    """Get OAuth access token using client credentials flow."""
    credentials = f"{client_id}:{client_secret}"
    basic_auth = base64.b64encode(credentials.encode('utf-8')).decode('utf-8')

    token_url = f"{tenant_url}/oauth2/token/{oauth_app_id}"
    headers = {
        'Authorization': f'Basic {basic_auth}',
        'X-CENTRIFY-NATIVE-CLIENT': 'True',
        'Content-Type': 'application/x-www-form-urlencoded'
    }

    data = {
        'grant_type': 'client_credentials',
        'scope': 'redrock/query'
    }

    response = http.request('POST', token_url, headers=headers, fields=data)

    if response.status != 200:
        raise Exception(f"OAuth token request failed: {response.status} {response.data.decode('utf-8')}")

    token_data = json.loads(response.data.decode('utf-8'))
    return token_data['access_token']

def fetch_audit_events(tenant_url, access_token, last_timestamp, page_size, max_pages):
    """Fetch audit events from Centrify using the Redrock/query API with proper pagination."""
    query_url = f"{tenant_url}/Redrock/query"
    headers = {
        'Authorization': f'Bearer {access_token}',
        'X-CENTRIFY-NATIVE-CLIENT': 'True',
        'Content-Type': 'application/json'
    }

    # Build SQL query with timestamp filter
    if last_timestamp:
        sql_query = f"Select * from Event where WhenOccurred > '{last_timestamp}' ORDER BY WhenOccurred ASC"
    else:
        # First run - get events from last 24 hours
        sql_query = "Select * from Event where WhenOccurred > datefunc('now', '-1') ORDER BY WhenOccurred ASC"

    all_events = []
    page_num = 1
    backoff = 1.0

    while page_num <= max_pages:
        payload = {
            "Script": sql_query,
            "args": {
                "PageNumber": page_num,
                "PageSize": page_size,
                "Limit": page_size * max_pages,
                "Caching": -1
            }
        }

        try:
            response = http.request('POST', query_url, headers=headers, body=json.dumps(payload))

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f"Rate limited (429). Retrying after {retry_after}s...")
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status != 200:
                raise Exception(f"API query failed: {response.status} {response.data.decode('utf-8')}")

            response_data = json.loads(response.data.decode('utf-8'))

            if not response_data.get('success', False):
                raise Exception(f"API query failed: {response_data.get('Message', 'Unknown error')}")

            # Parse the response
            result = response_data.get('Result', {})
            columns = {col['Name']: i for i, col in enumerate(result.get('Columns', []))}
            raw_results = result.get('Results', [])

            if not raw_results:
                print(f"No more results on page {page_num}")
                break

            print(f"Page {page_num}: Retrieved {len(raw_results)} events")

            for raw_event in raw_results:
                event = {}
                row_data = raw_event.get('Row', {})

                # Map column names to values
                for col_name, col_index in columns.items():
                    if col_name in row_data and row_data[col_name] is not None:
                        event[col_name] = row_data[col_name]

                # Add metadata
                event['_source'] = 'centrify_sso'
                event['_collected_at'] = datetime.now(timezone.utc).isoformat() + 'Z'

                all_events.append(event)

            # Check if we've reached the end
            if len(raw_results) < page_size:
                print(f"Reached last page (page {page_num} returned {len(raw_results)} < {page_size})")
                break

            page_num += 1

        except Exception as e:
            print(f"Error fetching page {page_num}: {e}")
            raise

    print(f"Retrieved {len(all_events)} total events from {page_num} pages")
    return all_events

def get_latest_event_timestamp(events):
    """Get the latest timestamp from the events for state tracking."""
    if not events:
        return datetime.now(timezone.utc).isoformat() + 'Z'

    latest = None
    for event in events:
        when_occurred = event.get('WhenOccurred')
        if when_occurred:
            if latest is None or when_occurred > latest:
                latest = when_occurred

    return latest or datetime.now(timezone.utc).isoformat() + 'Z'

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')
    • Segundo arquivo: requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Clique em Implantar para salvar e implantar a função.

  4. Aguarde a conclusão da implantação (2 a 3 minutos).

Criar o job do Cloud Scheduler

O Cloud Scheduler publica mensagens no tópico do Pub/Sub em intervalos regulares, acionando a função do Cloud Run.

  1. No Console do GCP, acesse o Cloud Scheduler.
  2. Clique em Criar job.

  3. Informe os seguintes detalhes de configuração:

    Configuração Valor
    Nome delinea-sso-log-export-hourly
    Região Selecione a mesma região da função do Cloud Run
    Frequência 0 * * * * (a cada hora, na hora)
    Fuso horário Selecione o fuso horário (UTC recomendado)
    Tipo de destino Pub/Sub
    Tópico Selecione o tópico do Pub/Sub delinea-sso-logs-trigger
    Corpo da mensagem {} (objeto JSON vazio)

  4. Clique em Criar.

Opções de frequência de programação

  • Escolha a frequência com base no volume de registros e nos requisitos de latência:

    Frequência Expressão Cron Caso de uso
    A cada 5 minutos */5 * * * * Alto volume e baixa latência
    A cada 15 minutos */15 * * * * Volume médio
    A cada hora 0 * * * * Padrão (recomendado)
    A cada 6 horas 0 */6 * * * Baixo volume, processamento em lote
    Diário 0 0 * * * Coleta de dados históricos

Testar a integração

  1. No console do Cloud Scheduler, encontre seu job (por exemplo, delinea-sso-log-export-hourly).
  2. Clique em Executar à força para acionar o job manualmente.
  3. Aguarde alguns segundos.
  4. Acesse Cloud Run > Serviços.
  5. Clique no nome da função delinea-sso-log-export.
  6. Clique na guia Registros.

  7. Verifique se a função foi executada com sucesso. Procure o seguinte:

    Processing logs since YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote X events to centrify-sso-logs/centrify-sso-events_YYYYMMDD_HHMMSS.json
Successfully processed X events

  8. Acesse Cloud Storage > Buckets.

  9. Clique no nome do bucket (por exemplo, delinea-centrify-logs-bucket).

  10. Navegue até a pasta de prefixo centrify-sso-logs/.

  11. Verifique se um novo arquivo .json foi criado com o carimbo de data/hora atual.

Se você encontrar erros nos registros:

  • HTTP 401: verifique as credenciais da API nas variáveis de ambiente (CLIENT_ID, CLIENT_SECRET, OAUTH_APP_ID)
  • HTTP 403: verifique se o cliente OAuth tem a permissão Relatório: eventos de auditoria: visualizar.
  • HTTP 429: limitação de taxa. A função vai tentar novamente automaticamente com espera.
  • Variáveis de ambiente ausentes: verifique se todas as variáveis necessárias estão definidas na configuração da função do Cloud Run.

Recuperar a conta de serviço do Google SecOps

O Google SecOps usa uma conta de serviço exclusiva para ler dados do seu bucket do GCS. Você precisa conceder a essa conta de serviço acesso ao seu bucket.

Receber o e-mail da conta de serviço

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Delinea Centrify SSO logs).
  5. Selecione Google Cloud Storage V2 como o Tipo de origem.
  6. Selecione Centrify como o Tipo de registro.

  7. Clique em Receber conta de serviço. Um e-mail exclusivo da conta de serviço será exibido, por exemplo:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copie esse endereço de e-mail para usar na próxima etapa.

Conceder permissões do IAM à conta de serviço do Google SecOps

A conta de serviço do Google SecOps precisa do papel de Leitor de objetos do Storage no seu bucket do GCS.

  1. Acesse Cloud Storage > Buckets.
  2. Clique no nome do bucket (por exemplo, delinea-centrify-logs-bucket).
  3. Acesse a guia Permissões.
  4. Clique em Conceder acesso.
  5. Informe os seguintes detalhes de configuração:
    • Adicionar participantes: cole o e-mail da conta de serviço do Google SecOps.
    • Atribuir papéis: selecione Leitor de objetos do Storage.

  6. Clique em Salvar.

Configurar um feed no Google SecOps para ingerir registros de SSO da Delinea (Centrify)

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Delinea Centrify SSO logs).
  5. Selecione Google Cloud Storage V2 como o Tipo de origem.
  6. Selecione Centrify como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URL do bucket de armazenamento: insira o URI do bucket do GCS com o caminho do prefixo:

      gs://delinea-centrify-logs-bucket/centrify-sso-logs/

      • Substitua:

        • delinea-centrify-logs-bucket: o nome do bucket do GCS.
        • centrify-sso-logs: prefixo/caminho da pasta opcional onde os registros são armazenados (deixe em branco para a raiz).

      • Exemplos:

        • Bucket raiz: gs://company-logs/
        • Com prefixo: gs://company-logs/centrify-sso-logs/
        • Com subpasta: gs://company-logs/delinea/sso/

    • Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência:

      • Nunca: nunca exclui arquivos após as transferências (recomendado para testes).
      • Excluir arquivos transferidos: exclui os arquivos após a transferência bem-sucedida.

      • Excluir arquivos transferidos e diretórios vazios: exclui arquivos e diretórios vazios após a transferência bem-sucedida.

    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

    • Namespace do recurso: o namespace do recurso.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.

  9. Clique em Próxima.

  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
AccountID security_result.detection_fields.value O valor de AccountID do registro bruto é atribuído a um objeto security_result.detection_fields com a chave "ID da conta".
ApplicationName target.application O valor de "ApplicationName" do registro bruto é atribuído ao campo "target.application".
AuthorityFQDN target.asset.network_domain O valor de AuthorityFQDN do registro bruto é atribuído ao campo target.asset.network_domain.
AuthorityID target.asset.asset_id O valor de AuthorityID do registro bruto é atribuído ao campo target.asset.asset_id, com o prefixo "AuthorityID:".
AzDeploymentId security_result.detection_fields.value O valor de AzDeploymentId do registro bruto é atribuído a um objeto security_result.detection_fields com a chave: AzDeploymentId.
AzRoleId additional.fields.value.string_value O valor de AzRoleId do registro bruto é atribuído a um objeto additional.fields com a chave: AzRoleId.
AzRoleName target.user.attribute.roles.name O valor de AzRoleName do registro bruto é atribuído ao campo target.user.attribute.roles.name.
ComputerFQDN principal.asset.network_domain O valor de ComputerFQDN do registro bruto é atribuído ao campo principal.asset.network_domain.
ComputerID principal.asset.asset_id O valor de ComputerID do registro bruto é atribuído ao campo "principal.asset.asset_id", com o prefixo "ComputerId:".
ComputerName about.hostname O valor de ComputerName do registro bruto é atribuído ao campo about.hostname.
CredentialId security_result.detection_fields.value O valor de CredentialId do registro bruto é atribuído a um objeto security_result.detection_fields com a chave: ID da credencial.
DirectoryServiceName security_result.detection_fields.value O valor de DirectoryServiceName do registro bruto é atribuído a um objeto security_result.detection_fields com a chave "Nome do serviço de diretório".
DirectoryServiceNameLocalized security_result.detection_fields.value O valor de DirectoryServiceNameLocalized do registro bruto é atribuído a um objeto security_result.detection_fields com a chave: Nome do serviço de diretório localizado.
DirectoryServiceUuid security_result.detection_fields.value O valor de DirectoryServiceUuid do registro bruto é atribuído a um objeto security_result.detection_fields com a chave: Directory Service Uuid.
EventMessage security_result.summary O valor de EventMessage do registro bruto é atribuído ao campo security_result.summary.
EventType metadata.product_event_type O valor de EventType do log bruto é atribuído ao campo metadata.product_event_type. Também é usado para determinar o metadata.event_type.
FailReason security_result.summary O valor de FailReason do registro bruto é atribuído ao campo security_result.summary quando presente.
FailUserName target.user.email_addresses O valor de FailUserName do registro bruto é atribuído ao campo target.user.email_addresses quando presente.
FromIPAddress principal.ip O valor de FromIPAddress do registro bruto é atribuído ao campo principal.ip.
ID security_result.detection_fields.value O valor do ID do registro bruto é atribuído a um objeto security_result.detection_fields com a chave: ID.
InternalTrackingID metadata.product_log_id O valor de InternalTrackingID do registro bruto é atribuído ao campo metadata.product_log_id.
JumpType additional.fields.value.string_value O valor de JumpType do registro bruto é atribuído a um objeto additional.fields com a chave "Jump Type".
NormalizedUser target.user.email_addresses O valor de NormalizedUser do registro bruto é atribuído ao campo target.user.email_addresses.
OperationMode additional.fields.value.string_value O valor de "OperationMode" do registro bruto é atribuído a um objeto "additional.fields" com a chave "Operation Mode".
ProxyId security_result.detection_fields.value O valor de ProxyId do registro bruto é atribuído a um objeto security_result.detection_fields com a chave "Proxy Id".
RequestUserAgent network.http.user_agent O valor de RequestUserAgent do registro bruto é atribuído ao campo network.http.user_agent.
SessionGuid network.session_id O valor de SessionGuid do registro bruto é atribuído ao campo "network.session_id".
Locatário additional.fields.value.string_value O valor de "Tenant" do registro bruto é atribuído a um objeto "additional.fields" com a chave "Tenant".
ThreadType additional.fields.value.string_value O valor de "ThreadType" do registro bruto é atribuído a um objeto "additional.fields" com a chave "Thread Type".
UserType principal.user.attribute.roles.name O valor de UserType do registro bruto é atribuído ao campo "principal.user.attribute.roles.name".
WhenOccurred metadata.event_timestamp O valor de "WhenOccurred" do log bruto é analisado e atribuído ao campo "metadata.event_timestamp". Esse campo também preenche o campo de carimbo de data/hora de nível superior.
Valor fixado no código metadata.product_name "SSO".
Valor fixado no código metadata.event_type Determinado pelo campo "EventType". O padrão é STATUS_UPDATE se EventType não estiver presente ou não corresponder a nenhum critério específico. Pode ser USER_LOGIN, USER_CREATION, USER_RESOURCE_ACCESS, USER_LOGOUT ou USER_CHANGE_PASSWORD.
Valor fixado no código metadata.vendor_name "CENTRIFY_SSO".
Valor fixado no código metadata.product_version "SSO".
Valor fixado no código metadata.log_type "Centrify".
Extraído do campo de mensagem network.session_id Se o campo de mensagem contiver um ID de sessão, ele será extraído e usado. Caso contrário, o padrão é "1".
Extraído do campo "Host" principal.hostname Extraído do campo "host", se disponível, que vem do cabeçalho do syslog.
Extraído do campo "pid" principal.process.pid Extraído do campo "pid", se disponível, que vem do cabeçalho do syslog.
UserGuid ou extraído da mensagem target.user.userid Se UserGuid estiver presente, o valor dele será usado. Caso contrário, se o campo de mensagem contiver um ID de usuário, ele será extraído e usado.
Determinado por "Level" e "FailReason" security_result.action Definido como "ALLOW" se o nível for "Info" e "BLOCK" se FailReason estiver presente.
Determinado por FailReason security_result.category Definido como "AUTH_VIOLATION" se FailReason estiver presente.
Determinado pelo campo "Nível" security_result.severity Determinado pelo campo "Nível". Definido como "INFORMATIONAL" se o nível for "Info", "MEDIUM" se o nível for "Warning" e "ERROR" se o nível for "Error".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.