Raccogli i log di Cisco AMP for Endpoints

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Cisco AMP for Endpoints in Google Security Operations utilizzando Google Cloud Storage. Il parser trasforma i log non elaborati in formato JSON in un formato strutturato conforme a UDM di Chronicle. Estrae i campi dagli oggetti JSON nidificati, li mappa allo schema UDM, identifica le categorie di eventi, assegna i livelli di gravità e, infine, genera un output di eventi unificato, segnalando gli avvisi di sicurezza quando vengono soddisfatte condizioni specifiche.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

Un'istanza Google SecOps
Progetto GCP con l'API Cloud Storage abilitata
Autorizzazioni per creare e gestire bucket GCS
Autorizzazioni per gestire le policy IAM nei bucket GCS
Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
Accesso con privilegi alla console Cisco AMP for Endpoints

Raccogliere le credenziali API di Cisco AMP for Endpoints

Accedi alla console di Cisco AMP for Endpoints.
Vai ad Account > Credenziali API.
Fai clic su Nuova credenziale API per creare una nuova chiave API e un nuovo ID client.
Fornisci i seguenti dettagli di configurazione:
- Nome applicazione: inserisci un nome (ad esempio, Chronicle SecOps Integration).
- Ambito: seleziona Sola lettura per il polling di base degli eventi.
Fai clic su Crea.
Copia e salva in una posizione sicura i seguenti dettagli:
- 3. ID client API
- Chiave API
- URL di base dell'API: a seconda della regione:
  - Stati Uniti: https://api.amp.cisco.com
  - UE: https://api.eu.amp.cisco.com
  - APJC: https://api.apjc.amp.cisco.com

Verifica le autorizzazioni

Per verificare che l'account disponga delle autorizzazioni richieste:

Accedi alla console Cisco AMP for Endpoints.
Vai ad Account > Credenziali API.
Se riesci a visualizzare la pagina Credenziali API e la credenziale appena creata è elencata, disponi delle autorizzazioni richieste.
Se non riesci a visualizzare questa opzione, contatta il tuo amministratore per concedere le autorizzazioni di accesso all'API.

Testare l'accesso API

Verifica le tue credenziali prima di procedere con l'integrazione:

# Replace with your actual credentials
AMP_CLIENT_ID="your-client-id"
AMP_API_KEY="your-api-key"
API_BASE="https://api.amp.cisco.com"

# Test API access
curl -v -u "${AMP_CLIENT_ID}:${AMP_API_KEY}" "${API_BASE}/v1/events?limit=1"

Creazione di un bucket Google Cloud Storage

Vai alla consoleGoogle Cloud .
Seleziona il tuo progetto o creane uno nuovo.
Nel menu di navigazione, vai a Cloud Storage > Bucket.
Fai clic su Crea bucket.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio `cisco-amp-logs`).
Tipo di località	Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
Località	Seleziona la posizione (ad esempio, `us-central1`).
Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
Controllo dell'accesso	Uniforme (consigliato)
Strumenti di protezione	(Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

Fai clic su Crea.

Crea un service account per la funzione Cloud Run

La funzione Cloud Run richiede un service account con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.

Crea service account

Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
Fai clic su Crea service account.
Fornisci i seguenti dettagli di configurazione:
- Nome del service account: inserisci cisco-amp-collector-sa.
- Descrizione service account: inserisci Service account for Cloud Run function to collect Cisco AMP for Endpoints logs.
Fai clic su Crea e continua.
Nella sezione Concedi a questo service account l'accesso al progetto, aggiungi i seguenti ruoli:
1. Fai clic su Seleziona un ruolo.
2. Cerca e seleziona Amministratore oggetti di archiviazione.
3. Fai clic su + Aggiungi un altro ruolo.
4. Cerca e seleziona Cloud Run Invoker.
5. Fai clic su + Aggiungi un altro ruolo.
6. Cerca e seleziona Invoker di Cloud Functions.
Fai clic su Continua.
Fai clic su Fine.

Questi ruoli sono necessari per:

Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al service account (cisco-amp-collector-sa) le autorizzazioni di scrittura sul bucket GCS:

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: inserisci l'email del service account (ad es. cisco-amp-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Assegna i ruoli: seleziona Storage Object Admin.
Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

Nella console GCP, vai a Pub/Sub > Argomenti.
Fai clic su Crea argomento.
Fornisci i seguenti dettagli di configurazione:
- ID argomento: inserisci cisco-amp-events-trigger.
- Lascia le altre impostazioni sui valori predefiniti.
Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run verrà attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API Cisco AMP for Endpoints e scriverli in GCS.

Nella console GCP, vai a Cloud Run.
Fai clic su Crea servizio.
Seleziona Funzione (usa un editor in linea per creare una funzione).

Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome servizio	`cisco-amp-events-collector`
Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio `us-central1`)
Runtime	Seleziona Python 3.12 o versioni successive

Nella sezione Trigger (facoltativo):
1. Fai clic su + Aggiungi trigger.
2. Seleziona Cloud Pub/Sub.
3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento Pub/Sub (cisco-amp-events-trigger).
4. Fai clic su Salva.
Nella sezione Autenticazione:
- Seleziona Richiedi autenticazione.
- Seleziona Identity and Access Management (IAM).

Scorri fino a Container, networking, sicurezza ed espandi la sezione.
Vai alla scheda Sicurezza:
- Service account: seleziona il service account (cisco-amp-collector-sa).

Vai alla scheda Container:

Fai clic su Variabili e secret.

Fai clic su + Aggiungi variabile per ogni variabile di ambiente:

Nome variabile	Valore di esempio	Descrizione
`GCS_BUCKET`	`cisco-amp-logs`	Nome bucket GCS
`GCS_PREFIX`	`cisco-amp-events/`	Prefisso per i file di log
`STATE_KEY`	`cisco-amp-events/state.json`	Percorso file di stato
`API_BASE`	`https://api.amp.cisco.com`	URL di base dell'API
`AMP_CLIENT_ID`	`your-client-id`	ID client API
`AMP_API_KEY`	`your-api-key`	Chiave API
`PAGE_SIZE`	`500`	Record per pagina
`MAX_PAGES`	`10`	Numero massimo di pagine da recuperare

Nella sezione Variabili e secret, scorri fino a Richieste:
- Timeout richiesta: inserisci 600 secondi (10 minuti).
Vai alla scheda Impostazioni:
- Nella sezione Risorse:
  - Memoria: seleziona 512 MiB o un valore superiore.
  - CPU: seleziona 1.
Nella sezione Scalabilità della revisione:
- Numero minimo di istanze: inserisci 0.
- Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto).
Fai clic su Crea.
Attendi la creazione del servizio (1-2 minuti).
Dopo aver creato il servizio, si aprirà automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

Inserisci main nel campo Entry point (Punto di ingresso).

Nell'editor di codice incorporato, crea due file:

Primo file: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time
import base64

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'cisco-amp-events/')
STATE_KEY = os.environ.get('STATE_KEY', 'cisco-amp-events/state.json')
API_BASE = os.environ.get('API_BASE')
AMP_CLIENT_ID = os.environ.get('AMP_CLIENT_ID')
AMP_API_KEY = os.environ.get('AMP_API_KEY')
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '500'))
MAX_PAGES = int(os.environ.get('MAX_PAGES', '10'))

def parse_datetime(value: str) -> datetime:
    """Parse ISO datetime string to datetime object."""
    if value.endswith("Z"):
        value = value[:-1] + "+00:00"
    return datetime.fromisoformat(value)

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Cisco AMP events and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, API_BASE, AMP_CLIENT_ID, AMP_API_KEY]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        # Determine time window
        now = datetime.now(timezone.utc)
        last_time = None

        if isinstance(state, dict) and state.get("last_event_time"):
            try:
                last_time = parse_datetime(state["last_event_time"])
                # Overlap by 2 minutes to catch any delayed events
                last_time = last_time - timedelta(minutes=2)
            except Exception as e:
                print(f"Warning: Could not parse last_event_time: {e}")

        if last_time is None:
            last_time = now - timedelta(days=1)

        print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")

        # Fetch logs
        records, newest_event_time = fetch_logs(
            api_base=API_BASE,
            client_id=AMP_CLIENT_ID,
            api_key=AMP_API_KEY,
            start_time=last_time,
            page_size=PAGE_SIZE,
            max_pages=MAX_PAGES,
        )

        if not records:
            print("No new log records found.")
            save_state(bucket, STATE_KEY, now.isoformat())
            return

        # Write to GCS as NDJSON
        timestamp = now.strftime('%Y%m%d_%H%M%S')
        object_key = f"{GCS_PREFIX}cisco_amp_events_{timestamp}.ndjson"
        blob = bucket.blob(object_key)

        ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
        blob.upload_from_string(ndjson, content_type='application/x-ndjson')

        print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

        # Update state with newest event time
        if newest_event_time:
            save_state(bucket, STATE_KEY, newest_event_time)
        else:
            save_state(bucket, STATE_KEY, now.isoformat())

        print(f"Successfully processed {len(records)} records")

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f"Warning: Could not load state: {e}")

    return {}

def save_state(bucket, key, last_event_time_iso: str):
    """Save the last event timestamp to GCS state file."""
    try:
        state = {'last_event_time': last_event_time_iso}
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
        print(f"Saved state: last_event_time={last_event_time_iso}")
    except Exception as e:
        print(f"Warning: Could not save state: {e}")

def fetch_logs(api_base: str, client_id: str, api_key: str, start_time: datetime, page_size: int, max_pages: int):
    """
    Fetch logs from Cisco AMP for Endpoints API with pagination and rate limiting.

    Args:
        api_base: API base URL
        client_id: API client ID
        api_key: API key
        start_time: Start time for log query
        page_size: Number of records per page
        max_pages: Maximum total pages to fetch

    Returns:
        Tuple of (records list, newest_event_time ISO string)
    """
    # Clean up base URL
    base_url = api_base.rstrip('/')

    endpoint = f"{base_url}/v1/events"

    # Create Basic Auth header
    auth_string = f"{client_id}:{api_key}"
    auth_bytes = auth_string.encode('utf-8')
    auth_b64 = base64.b64encode(auth_bytes).decode('utf-8')

    headers = {
        'Authorization': f'Basic {auth_b64}',
        'Accept': 'application/json',
        'User-Agent': 'GoogleSecOps-CiscoAMPCollector/1.0'
    }

    records = []
    newest_time = None
    page_num = 0
    backoff = 1.0

    # Build initial URL with start_date parameter
    start_date_str = start_time.isoformat() + 'Z' if not start_time.isoformat().endswith('Z') else start_time.isoformat()
    next_url = f"{endpoint}?limit={page_size}&start_date={start_date_str}"

    while next_url and page_num < max_pages:
        page_num += 1

        try:
            response = http.request('GET', next_url, headers=headers)

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f"Rate limited (429). Retrying after {retry_after}s...")
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status != 200:
                print(f"HTTP Error: {response.status}")
                response_text = response.data.decode('utf-8')
                print(f"Response body: {response_text[:256]}")
                return [], None

            data = json.loads(response.data.decode('utf-8'))

            # Extract events from response
            page_results = data.get('data', [])

            if not page_results:
                print(f"No more results (empty page)")
                break

            print(f"Page {page_num}: Retrieved {len(page_results)} events")
            records.extend(page_results)

            # Track newest event time
            for event in page_results:
                try:
                    event_time = event.get('date')
                    if event_time:
                        if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                            newest_time = event_time
                except Exception as e:
                    print(f"Warning: Could not parse event time: {e}")

            # Check for next page URL in metadata
            next_url = data.get('metadata', {}).get('links', {}).get('next')

            if not next_url:
                print("No more pages (no next URL)")
                break

        except Exception as e:
            print(f"Error fetching logs: {e}")
            return [], None

    print(f"Retrieved {len(records)} total records from {page_num} pages")
    return records, newest_time

Secondo file: requirements.txt::

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.
Attendi il completamento del deployment (2-3 minuti).

Crea job Cloud Scheduler

Cloud Scheduler pubblica messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

Nella console di GCP, vai a Cloud Scheduler.
Fai clic su Crea job.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome	`cisco-amp-events-collector-hourly`
Regione	Seleziona la stessa regione della funzione Cloud Run
Frequenza	`0 * * * *` (ogni ora, all'ora)
Fuso orario	Seleziona il fuso orario (UTC consigliato)
Tipo di target	Pub/Sub
Argomento	Seleziona l'argomento Pub/Sub (`cisco-amp-events-trigger`)
Corpo del messaggio	`{}` (oggetto JSON vuoto)

Fai clic su Crea.

Opzioni di frequenza di pianificazione

Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

Frequenza	Espressione cron	Caso d'uso
Ogni 5 minuti	`/5 * * *`	Volume elevato, bassa latenza
Ogni 15 minuti	`/15 * * *`	Volume medio
Ogni ora	`0 * * * *`	Standard (consigliato)
Ogni 6 ore	`0 /6 * *`	Volume basso, elaborazione batch
Ogni giorno	`0 0 * * *`	Raccolta dei dati storici

Testare l'integrazione

Nella console Cloud Scheduler, trova il job.
Fai clic su Forza esecuzione per attivare il job manualmente.
Aspetta alcuni secondi.
Vai a Cloud Run > Servizi.
Fai clic sul nome della funzione (cisco-amp-events-collector).
Fai clic sulla scheda Log.

Verifica che la funzione sia stata eseguita correttamente. Cerca quanto segue:

Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote X records to gs://cisco-amp-logs/cisco-amp-events/cisco_amp_events_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla cartella del prefisso (cisco-amp-events/).
Verifica che sia stato creato un nuovo file .ndjson con il timestamp corrente.

Se visualizzi errori nei log:

HTTP 401: controlla le credenziali API nelle variabili di ambiente
HTTP 403: verifica che l'account disponga delle autorizzazioni richieste
HTTP 429: limitazione della frequenza: la funzione riproverà automaticamente con backoff
Variabili di ambiente mancanti: controlla che tutte le variabili richieste siano impostate

Recuperare il service account Google SecOps

Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.

Recuperare l'email del service account

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Cisco AMP for Endpoints logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Cisco AMP come Tipo di log.
Fai clic su Ottieni service account. Viene visualizzata un'email del service account univoca, ad esempio:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Concedi le autorizzazioni IAM al service account Google SecOps

Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: incolla l'email del service account Google SecOps.
- Assegna i ruoli: seleziona Visualizzatore oggetti Storage.
Fai clic su Salva.

Configura un feed in Google SecOps per importare i log di Cisco AMP for Endpoints

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Cisco AMP for Endpoints logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Cisco AMP come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:
```
gs://cisco-amp-logs/cisco-amp-events/
```
  - Sostituisci:
    - cisco-amp-logs: il nome del bucket GCS.
    - cisco-amp-events/: il percorso del prefisso/della cartella in cui sono archiviati i log.
Nota: includi sempre la barra finale (/) alla fine dell'URI.
- Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:
  - Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
  - Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.
  - Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.
    
    Nota :se selezioni un'opzione di eliminazione, il service account deve disporre del ruolo Storage Object Admin anziché di Storage Object Viewer. Aggiorna le autorizzazioni IAM di conseguenza.
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Funzione logica
attivo	read_only_udm.principal.asset.active	Mappato direttamente da computer.active
connector_guid	read_only_udm.principal.asset.uuid	Mappato direttamente da computer.connector_guid
data	read_only_udm.metadata.event_timestamp.seconds	Mappato direttamente dalla data dopo la conversione in timestamp
Rilevamento	read_only_udm.security_result.threat_name	Mappato direttamente dal rilevamento
detection_id	read_only_udm.security_result.detection_fields.value	Mappato direttamente da detection_id
disposizione	read_only_udm.security_result.description	Mappato direttamente da file.disposition
error.error_code	read_only_udm.security_result.detection_fields.value	Mappato direttamente da error.error_code
error.description	read_only_udm.security_result.detection_fields.value	Mappato direttamente da error.description
event_type	read_only_udm.metadata.product_event_type	Mappato direttamente da event_type
event_type_id	read_only_udm.metadata.product_log_id	Mappato direttamente da event_type_id
external_ip	read_only_udm.principal.asset.external_ip	Mappato direttamente da computer.external_ip
file.file_name	read_only_udm.target.file.names	Mappato direttamente dal file file_name
file.file_path	read_only_udm.target.file.full_path	Mappato direttamente da file.file_path
file.identity.md5	read_only_udm.security_result.about.file.md5	Mappato direttamente da file.identity.md5
file.identity.md5	read_only_udm.target.file.md5	Mappato direttamente da file.identity.md5
file.identity.sha1	read_only_udm.security_result.about.file.sha1	Mappato direttamente da file.identity.sha1
file.identity.sha1	read_only_udm.target.file.sha1	Mappato direttamente da file.identity.sha1
file.identity.sha256	read_only_udm.security_result.about.file.sha256	Mappato direttamente da file.identity.sha256
file.identity.sha256	read_only_udm.target.file.sha256	Mappato direttamente da file.identity.sha256
file.parent.disposition	read_only_udm.target.resource.attribute.labels.value	Mappato direttamente da file.parent.disposition
file.parent.file_name	read_only_udm.target.resource.attribute.labels.value	Mappato direttamente da file.parent.file_name
file.parent.identity.md5	read_only_udm.target.resource.attribute.labels.value	Mappato direttamente da file.parent.identity.md5
file.parent.identity.sha1	read_only_udm.target.resource.attribute.labels.value	Mappato direttamente da file.parent.identity.sha1
file.parent.identity.sha256	read_only_udm.target.resource.attribute.labels.value	Mappato direttamente da file.parent.identity.sha256
file.parent.process_id	read_only_udm.security_result.about.process.parent_process.pid	Mappato direttamente da file.parent.process_id
file.parent.process_id	read_only_udm.target.process.parent_process.pid	Mappato direttamente da file.parent.process_id
nome host	read_only_udm.principal.asset.hostname	Mappato direttamente da computer.hostname
nome host	read_only_udm.target.hostname	Mappato direttamente da computer.hostname
nome host	read_only_udm.target.asset.hostname	Mappato direttamente da computer.hostname
ip	read_only_udm.principal.asset.ip	Mappato direttamente da computer.network_addresses.ip
ip	read_only_udm.principal.ip	Mappato direttamente da computer.network_addresses.ip
ip	read_only_udm.security_result.about.ip	Mappato direttamente da computer.network_addresses.ip
mac	read_only_udm.principal.mac	Mappato direttamente da computer.network_addresses.mac
mac	read_only_udm.security_result.about.mac	Mappato direttamente da computer.network_addresses.mac
gravità	read_only_udm.security_result.severity	Mappato dalla gravità in base alla seguente logica: - "Media" -> "MEDIA" - "Alta" o "Critica" -> "ALTA" - "Bassa" -> "BASSA" - Altrimenti -> "UNKNOWN_SEVERITY"
timestamp	read_only_udm.metadata.event_timestamp.seconds	Mappato direttamente dal timestamp
utente	read_only_udm.security_result.about.user.user_display_name	Mappato direttamente da computer.user
utente	read_only_udm.target.user.user_display_name	Mappato direttamente da computer.user
vulnerabilities.cve	read_only_udm.extensions.vulns.vulnerabilities.cve_id	Mappato direttamente da vulnerabilities.cve
vulnerabilities.name	read_only_udm.extensions.vulns.vulnerabilities.name	Mappato direttamente da vulnerabilities.name
vulnerabilities.score	read_only_udm.extensions.vulns.vulnerabilities.cvss_base_score	Mappato direttamente da vulnerabilities.score dopo la conversione in float
vulnerabilities.url	read_only_udm.extensions.vulns.vulnerabilities.vendor_knowledge_base_article_id	Mappato direttamente da vulnerabilities.url
vulnerabilities.version	read_only_udm.extensions.vulns.vulnerabilities.cvss_version	Mappato direttamente da vulnerabilities.version
is_alert		Impostato su true se event_type è uno dei seguenti: "Threat Detected" (Minaccia rilevata), "Exploit Prevention" (Prevenzione degli exploit), "Executed malware" (Malware eseguito), "Potential Dropper Infection" (Potenziale infezione da dropper), "Multiple Infected Files" (Più file infetti), "Vulnerable Application Detected" (Applicazione vulnerabile rilevata) o se security_result.severity è "HIGH" (ALTA)
is_significant		Impostato su true se event_type è uno dei seguenti: "Threat Detected" (Minaccia rilevata), "Exploit Prevention" (Prevenzione degli exploit), "Executed malware" (Malware eseguito), "Potential Dropper Infection" (Potenziale infezione da dropper), "Multiple Infected Files" (Più file infetti), "Vulnerable Application Detected" (Applicazione vulnerabile rilevata) o se security_result.severity è "HIGH" (ALTA)
read_only_udm.metadata.event_type		Determinato in base ai valori di event_type e security_result.severity. - Se event_type è uno dei seguenti: "Executed malware", "Threat Detected", "Potential Dropper Infection", "Cloud Recall Detection", "Malicious Activity Detection", "Exploit Prevention", "Multiple Infected Files", "Cloud IOC", "System Process Protection", "Vulnerable Application Detected", "Threat Quarantined", "Execution Blocked", "Cloud Recall Quarantine Successful", "Cloud Recall Restore from Quarantine Failed", "Cloud Recall Quarantine Attempt Failed", "Quarantine Failure", il tipo di evento è impostato su "SCAN_FILE". - Se security_result.severity è "HIGH", il tipo di evento è impostato su "SCAN_FILE". - Se sia has_principal che has_target sono true, il tipo di evento è impostato su "SCAN_UNCATEGORIZED". - In caso contrario, il tipo di evento è impostato su "GENERIC_EVENT".
read_only_udm.metadata.log_type		Impostato su "CISCO_AMP"
read_only_udm.metadata.vendor_name		Impostato su "CISCO_AMP"
read_only_udm.security_result.about.file.full_path		Mappato direttamente da file.file_path
read_only_udm.security_result.about.hostname		Mappato direttamente da computer.hostname
read_only_udm.security_result.about.user.user_display_name		Mappato direttamente da computer.user
read_only_udm.security_result.detection_fields.key		Imposta "ID rilevamento" per detection_id, "Codice errore" per error.error_code, "Descrizione errore" per error.description, "Disposizione principale" per file.parent.disposition, "Nome file principale" per file.parent.file_name, "MD5 principale" per file.parent.identity.md5, "SHA1 principale" per file.parent.identity.sha1 e "SHA256 principale" per file.parent.identity.sha256
read_only_udm.security_result.summary		Impostato su event_type se event_type è uno dei seguenti: "Threat Detected" (Minaccia rilevata), "Exploit Prevention" (Prevenzione degli exploit), "Executed malware" (Malware eseguito), "Potential Dropper Infection" (Potenziale infezione da dropper), "Multiple Infected Files" (Più file infetti), "Vulnerable Application Detected" (Applicazione vulnerabile rilevata) o se security_result.severity è "HIGH" (ALTA)
read_only_udm.target.asset.ip		Mappato direttamente da computer.network_addresses.ip
read_only_udm.target.resource.attribute.labels.key		Imposta "Disposizione principale" per file.parent.disposition, "Nome file principale" per file.parent.file_name, "MD5 principale" per file.parent.identity.md5, "SHA1 principale" per file.parent.identity.sha1 e "SHA256 principale" per file.parent.identity.sha256
timestamp.seconds		Mappato direttamente dalla data dopo la conversione in timestamp

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.