Recopila registros de Cisco AMP para Endpoints

Se admite en los siguientes sistemas operativos:

En este documento, se explica cómo transferir registros de Cisco AMP para Endpoints a las Operaciones de seguridad de Google con Google Cloud Storage. El analizador transforma los registros sin procesar con formato JSON en un formato estructurado que cumple con el UDM de Chronicle. Extrae campos de objetos JSON anidados, los asigna al esquema de UDM, identifica categorías de eventos, asigna niveles de gravedad y, en última instancia, genera un resultado de eventos unificado, que marca alertas de seguridad cuando se cumplen condiciones específicas.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Proyecto de GCP con la API de Cloud Storage habilitada
  • Permisos para crear y administrar buckets de GCS
  • Permisos para administrar políticas de IAM en buckets de GCS
  • Permisos para crear servicios de Cloud Run, temas de Pub/Sub y trabajos de Cloud Scheduler
  • Acceso con privilegios a la consola de Cisco AMP para Endpoints

Recopila credenciales de la API de Cisco AMP para Endpoints

  1. Accede a la consola de Cisco AMP for Endpoints.
  2. Ve a Accounts > API Credentials.
  3. Haz clic en New API Credential para crear una nueva clave de API y un ID de cliente.
  4. Proporciona los siguientes detalles de configuración:
    • Nombre de la aplicación: Ingresa un nombre (por ejemplo, Chronicle SecOps Integration).
    • Alcance: Selecciona Solo lectura para la sondeo básico de eventos.
  5. Haz clic en Crear.
  6. Copia y guarda en una ubicación segura los siguientes detalles:
    • ID de cliente de 3API
    • Clave de API
    • URL base de la API: Según tu región:
      • EE.UU.: https://api.amp.cisco.com
      • UE: https://api.eu.amp.cisco.com
      • APJC: https://api.apjc.amp.cisco.com

Verifica los permisos

Para verificar que la cuenta tenga los permisos necesarios, sigue estos pasos:

  1. Accede a la consola de Cisco AMP for Endpoints.
  2. Ve a Accounts > API Credentials.
  3. Si puedes ver la página Credenciales de API y aparece la credencial que acabas de crear, tienes los permisos necesarios.
  4. Si no ves esta opción, comunícate con tu administrador para que te otorgue permisos de acceso a la API.

Prueba el acceso a la API

  • Prueba tus credenciales antes de continuar con la integración:

    # Replace with your actual credentials
AMP_CLIENT_ID="your-client-id"
AMP_API_KEY="your-api-key"
API_BASE="https://api.amp.cisco.com"

# Test API access
curl -v -u "${AMP_CLIENT_ID}:${AMP_API_KEY}" "${API_BASE}/v1/events?limit=1"

Crea un bucket de Google Cloud Storage

  1. Ve a la consola deGoogle Cloud .
  2. Selecciona tu proyecto o crea uno nuevo.
  3. En el menú de navegación, ve a Cloud Storage > Buckets.
  4. Haz clic en Crear bucket.

  5. Proporciona los siguientes detalles de configuración:

    Configuración Valor
    Asigna un nombre a tu bucket Ingresa un nombre global único (por ejemplo, cisco-amp-logs).
    Tipo de ubicación Elige según tus necesidades (región, birregional, multirregional)
    Ubicación Selecciona la ubicación (por ejemplo, us-central1).
    Clase de almacenamiento Estándar (recomendado para los registros a los que se accede con frecuencia)
    Control de acceso Uniforme (recomendado)
    Herramientas de protección Opcional: Habilita el control de versiones de objetos o la política de retención

  6. Haz clic en Crear.

Crea una cuenta de servicio para la Cloud Run Function

La Cloud Run Function necesita una cuenta de servicio con permisos para escribir en el bucket de GCS y ser invocada por Pub/Sub.

Crear cuenta de servicio

  1. En GCP Console, ve a IAM y administración > Cuentas de servicio.
  2. Haz clic en Crear cuenta de servicio.
  3. Proporciona los siguientes detalles de configuración:
    • Nombre de la cuenta de servicio: Ingresa cisco-amp-collector-sa.
    • Descripción de la cuenta de servicio: Ingresa Service account for Cloud Run function to collect Cisco AMP for Endpoints logs.
  4. Haz clic en Crear y continuar.
  5. En la sección Otorga a esta cuenta de servicio acceso al proyecto, agrega los siguientes roles:
    1. Haz clic en Selecciona un rol.
    2. Busca y selecciona Administrador de objetos de almacenamiento.
    3. Haz clic en + Agregar otra función.
    4. Busca y selecciona Invocador de Cloud Run.
    5. Haz clic en + Agregar otra función.
    6. Busca y selecciona Cloud Functions Invoker.
  6. Haz clic en Continuar.
  7. Haz clic en Listo.

Estos roles son necesarios para las siguientes acciones:

  • Administrador de objetos de almacenamiento: Escribe registros en el bucket de GCS y administra archivos de estado
  • Invocador de Cloud Run: Permite que Pub/Sub invoque la función
  • Cloud Functions Invoker: Permite la invocación de funciones

Otorga permisos de IAM en el bucket de GCS

Otorga permisos de escritura a la cuenta de servicio (cisco-amp-collector-sa) en el bucket de GCS:

  1. Ve a Cloud Storage > Buckets.
  2. Haz clic en el nombre de tu bucket.
  3. Ve a la pestaña Permisos.
  4. Haz clic en Otorgar acceso.
  5. Proporciona los siguientes detalles de configuración:
    • Agregar principales: Ingresa el correo electrónico de la cuenta de servicio (por ejemplo, cisco-amp-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Asignar roles: Selecciona Administrador de objetos de Storage.
  6. Haz clic en Guardar.

Crear tema de Pub/Sub

Crea un tema de Pub/Sub en el que Cloud Scheduler publicará y al que se suscribirá la función de Cloud Run.

  1. En GCP Console, ve a Pub/Sub > Temas.
  2. Haz clic en Crear un tema.
  3. Proporciona los siguientes detalles de configuración:
    • ID del tema: Ingresa cisco-amp-events-trigger.
    • Deja el resto de la configuración con sus valores predeterminados.
  4. Haz clic en Crear.

Crea una función de Cloud Run para recopilar registros

La función de Cloud Run se activará con mensajes de Pub/Sub de Cloud Scheduler para recuperar registros de la API de Cisco AMP for Endpoints y escribirlos en GCS.

  1. En GCP Console, ve a Cloud Run.
  2. Haz clic en Crear servicio.
  3. Selecciona Función (usa un editor intercalado para crear una función).

  4. En la sección Configurar, proporciona los siguientes detalles de configuración:

    Configuración Valor
    Nombre del servicio cisco-amp-events-collector
    Región Selecciona la región que coincida con tu bucket de GCS (por ejemplo, us-central1).
    Tiempo de ejecución Selecciona Python 3.12 o una versión posterior.

  5. En la sección Activador (opcional), haz lo siguiente:

    1. Haz clic en + Agregar activador.
    2. Selecciona Cloud Pub/Sub.
    3. En Selecciona un tema de Cloud Pub/Sub, elige el tema de Pub/Sub (cisco-amp-events-trigger).
    4. Haz clic en Guardar.

  6. En la sección Autenticación, haz lo siguiente:

    • Selecciona Solicitar autenticación.
    • Selecciona Identity and Access Management (IAM).
  1. Desplázate hasta Contenedores, redes y seguridad y expándelo.
  2. Ve a la pestaña Seguridad:
    • Cuenta de servicio: Selecciona la cuenta de servicio (cisco-amp-collector-sa).

  3. Ve a la pestaña Contenedores:

    • Haz clic en Variables y secretos.

    • Haz clic en + Agregar variable para cada variable de entorno:

      Nombre de la variable Valor de ejemplo Descripción
      GCS_BUCKET cisco-amp-logs Nombre del bucket de GCS
      GCS_PREFIX cisco-amp-events/ Prefijo para los archivos de registro
      STATE_KEY cisco-amp-events/state.json Ruta de acceso al archivo de estado
      API_BASE https://api.amp.cisco.com URL base de la API
      AMP_CLIENT_ID your-client-id ID de cliente de la API
      AMP_API_KEY your-api-key Clave de API
      PAGE_SIZE 500 Registros por página
      MAX_PAGES 10 Cantidad máxima de páginas para recuperar

  4. En la sección Variables y Secrets, desplázate hasta Requests:

    • Tiempo de espera de la solicitud: Ingresa 600 segundos (10 minutos).

  5. Ve a la pestaña Configuración:

    • En la sección Recursos, haz lo siguiente:
      • Memoria: Selecciona 512 MiB o más.
      • CPU: Selecciona 1.

  6. En la sección Ajuste de escala de revisión, haz lo siguiente:

    • Cantidad mínima de instancias: Ingresa 0.
    • Cantidad máxima de instancias: Ingresa 100 (o ajusta según la carga esperada).

  7. Haz clic en Crear.

  8. Espera a que se cree el servicio (de 1 a 2 minutos).

  9. Después de crear el servicio, se abrirá automáticamente el editor de código intercalado.

Agregar el código de función

  1. Ingresa main en el campo Punto de entrada.

  2. En el editor de código intercalado, crea dos archivos:

    • Primer archivo: main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time
import base64

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'cisco-amp-events/')
STATE_KEY = os.environ.get('STATE_KEY', 'cisco-amp-events/state.json')
API_BASE = os.environ.get('API_BASE')
AMP_CLIENT_ID = os.environ.get('AMP_CLIENT_ID')
AMP_API_KEY = os.environ.get('AMP_API_KEY')
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '500'))
MAX_PAGES = int(os.environ.get('MAX_PAGES', '10'))

def parse_datetime(value: str) -> datetime:
    """Parse ISO datetime string to datetime object."""
    if value.endswith("Z"):
        value = value[:-1] + "+00:00"
    return datetime.fromisoformat(value)

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Cisco AMP events and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, API_BASE, AMP_CLIENT_ID, AMP_API_KEY]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        # Determine time window
        now = datetime.now(timezone.utc)
        last_time = None

        if isinstance(state, dict) and state.get("last_event_time"):
            try:
                last_time = parse_datetime(state["last_event_time"])
                # Overlap by 2 minutes to catch any delayed events
                last_time = last_time - timedelta(minutes=2)
            except Exception as e:
                print(f"Warning: Could not parse last_event_time: {e}")

        if last_time is None:
            last_time = now - timedelta(days=1)

        print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")

        # Fetch logs
        records, newest_event_time = fetch_logs(
            api_base=API_BASE,
            client_id=AMP_CLIENT_ID,
            api_key=AMP_API_KEY,
            start_time=last_time,
            page_size=PAGE_SIZE,
            max_pages=MAX_PAGES,
        )

        if not records:
            print("No new log records found.")
            save_state(bucket, STATE_KEY, now.isoformat())
            return

        # Write to GCS as NDJSON
        timestamp = now.strftime('%Y%m%d_%H%M%S')
        object_key = f"{GCS_PREFIX}cisco_amp_events_{timestamp}.ndjson"
        blob = bucket.blob(object_key)

        ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
        blob.upload_from_string(ndjson, content_type='application/x-ndjson')

        print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

        # Update state with newest event time
        if newest_event_time:
            save_state(bucket, STATE_KEY, newest_event_time)
        else:
            save_state(bucket, STATE_KEY, now.isoformat())

        print(f"Successfully processed {len(records)} records")

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f"Warning: Could not load state: {e}")

    return {}

def save_state(bucket, key, last_event_time_iso: str):
    """Save the last event timestamp to GCS state file."""
    try:
        state = {'last_event_time': last_event_time_iso}
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
        print(f"Saved state: last_event_time={last_event_time_iso}")
    except Exception as e:
        print(f"Warning: Could not save state: {e}")

def fetch_logs(api_base: str, client_id: str, api_key: str, start_time: datetime, page_size: int, max_pages: int):
    """
    Fetch logs from Cisco AMP for Endpoints API with pagination and rate limiting.

    Args:
        api_base: API base URL
        client_id: API client ID
        api_key: API key
        start_time: Start time for log query
        page_size: Number of records per page
        max_pages: Maximum total pages to fetch

    Returns:
        Tuple of (records list, newest_event_time ISO string)
    """
    # Clean up base URL
    base_url = api_base.rstrip('/')

    endpoint = f"{base_url}/v1/events"

    # Create Basic Auth header
    auth_string = f"{client_id}:{api_key}"
    auth_bytes = auth_string.encode('utf-8')
    auth_b64 = base64.b64encode(auth_bytes).decode('utf-8')

    headers = {
        'Authorization': f'Basic {auth_b64}',
        'Accept': 'application/json',
        'User-Agent': 'GoogleSecOps-CiscoAMPCollector/1.0'
    }

    records = []
    newest_time = None
    page_num = 0
    backoff = 1.0

    # Build initial URL with start_date parameter
    start_date_str = start_time.isoformat() + 'Z' if not start_time.isoformat().endswith('Z') else start_time.isoformat()
    next_url = f"{endpoint}?limit={page_size}&start_date={start_date_str}"

    while next_url and page_num < max_pages:
        page_num += 1

        try:
            response = http.request('GET', next_url, headers=headers)

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f"Rate limited (429). Retrying after {retry_after}s...")
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status != 200:
                print(f"HTTP Error: {response.status}")
                response_text = response.data.decode('utf-8')
                print(f"Response body: {response_text[:256]}")
                return [], None

            data = json.loads(response.data.decode('utf-8'))

            # Extract events from response
            page_results = data.get('data', [])

            if not page_results:
                print(f"No more results (empty page)")
                break

            print(f"Page {page_num}: Retrieved {len(page_results)} events")
            records.extend(page_results)

            # Track newest event time
            for event in page_results:
                try:
                    event_time = event.get('date')
                    if event_time:
                        if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                            newest_time = event_time
                except Exception as e:
                    print(f"Warning: Could not parse event time: {e}")

            # Check for next page URL in metadata
            next_url = data.get('metadata', {}).get('links', {}).get('next')

            if not next_url:
                print("No more pages (no next URL)")
                break

        except Exception as e:
            print(f"Error fetching logs: {e}")
            return [], None

    print(f"Retrieved {len(records)} total records from {page_num} pages")
    return records, newest_time
    • Segundo archivo: requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Haz clic en Implementar para guardar y, luego, implementar la función.

  4. Espera a que se complete la implementación (de 2 a 3 minutos).

Crea un trabajo de Cloud Scheduler

Cloud Scheduler publica mensajes en el tema de Pub/Sub a intervalos regulares, lo que activa la función de Cloud Run.

  1. En GCP Console, ve a Cloud Scheduler.
  2. Haz clic en Crear trabajo.

  3. Proporciona los siguientes detalles de configuración:

    Configuración Valor
    Nombre cisco-amp-events-collector-hourly
    Región Selecciona la misma región que la función de Cloud Run
    Frecuencia 0 * * * * (cada hora, en punto)
    Zona horaria Selecciona la zona horaria (se recomienda UTC)
    Tipo de orientación Pub/Sub
    Tema Selecciona el tema de Pub/Sub (cisco-amp-events-trigger).
    Cuerpo del mensaje {} (objeto JSON vacío)

  4. Haz clic en Crear.

Opciones de frecuencia de programación

  • Elige la frecuencia según los requisitos de latencia y volumen de registros:

    Frecuencia Expresión cron Caso de uso
    Cada 5 minutos */5 * * * * Alto volumen y baja latencia
    Cada 15 minutos */15 * * * * Volumen medio
    Cada 1 hora 0 * * * * Estándar (opción recomendada)
    Cada 6 horas 0 */6 * * * Procesamiento por lotes y volumen bajo
    Diario 0 0 * * * Recopilación de datos históricos

Prueba la integración

  1. En la consola de Cloud Scheduler, busca tu trabajo.
  2. Haz clic en Forzar ejecución para activar el trabajo de forma manual.
  3. Espera unos segundos.
  4. Ve a Cloud Run > Servicios.
  5. Haz clic en el nombre de tu función (cisco-amp-events-collector).
  6. Haz clic en la pestaña Registros.

  7. Verifica que la función se haya ejecutado correctamente. Busca lo siguiente:

    Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote X records to gs://cisco-amp-logs/cisco-amp-events/cisco_amp_events_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

  8. Ve a Cloud Storage > Buckets.

  9. Haz clic en el nombre de tu bucket.

  10. Navega a la carpeta del prefijo (cisco-amp-events/).

  11. Verifica que se haya creado un archivo .ndjson nuevo con la marca de tiempo actual.

Si ves errores en los registros, haz lo siguiente:

  • HTTP 401: Verifica las credenciales de la API en las variables de entorno
  • HTTP 403: Verifica que la cuenta tenga los permisos necesarios
  • HTTP 429: Limitación de frecuencia. La función volverá a intentarlo automáticamente con una espera exponencial.
  • Faltan variables de entorno: Verifica que estén configuradas todas las variables requeridas.

Recupera la cuenta de servicio de Google SecOps

Las Operaciones de seguridad de Google usan una cuenta de servicio única para leer datos de tu bucket de GCS. Debes otorgar acceso a tu bucket a esta cuenta de servicio.

Obtén el correo electrónico de la cuenta de servicio

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. Haz clic en Configura un feed único.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Cisco AMP for Endpoints logs).
  5. Selecciona Google Cloud Storage V2 como el Tipo de fuente.
  6. Selecciona Cisco AMP como el Tipo de registro.

  7. Haz clic en Obtener cuenta de servicio. Se muestra un correo electrónico único de la cuenta de servicio, por ejemplo:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copia esta dirección de correo electrónico para usarla en el siguiente paso.

Otorga permisos de IAM a la cuenta de servicio de Google SecOps

La cuenta de servicio de Google SecOps necesita el rol de visualizador de objetos de almacenamiento en tu bucket de GCS.

  1. Ve a Cloud Storage > Buckets.
  2. Haz clic en el nombre de tu bucket.
  3. Ve a la pestaña Permisos.
  4. Haz clic en Otorgar acceso.
  5. Proporciona los siguientes detalles de configuración:
    • Agregar principales: Pega el correo electrónico de la cuenta de servicio de Google SecOps.
    • Asignar roles: Selecciona Visualizador de objetos de Storage.
  6. Haz clic en Guardar.

Configura un feed en Google SecOps para transferir registros de Cisco AMP for Endpoints

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. Haz clic en Configura un feed único.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Cisco AMP for Endpoints logs).
  5. Selecciona Google Cloud Storage V2 como el Tipo de fuente.
  6. Selecciona Cisco AMP como el Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URL del bucket de almacenamiento: Ingresa el URI del bucket de GCS con la ruta de acceso del prefijo:

      gs://cisco-amp-logs/cisco-amp-events/
      • Reemplaza:
        • cisco-amp-logs: Es el nombre de tu bucket de GCS.
        • cisco-amp-events/: Es el prefijo o la ruta de acceso a la carpeta en la que se almacenan los registros.

    • Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:

      • Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
      • Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.

      • Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.

    • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
activo read_only_udm.principal.asset.active Se asigna directamente desde computer.active.
connector_guid read_only_udm.principal.asset.uuid Se asigna directamente desde computer.connector_guid.
fecha read_only_udm.metadata.event_timestamp.seconds Se asigna directamente a partir de la fecha después de convertirla en una marca de tiempo.
clave activa read_only_udm.security_result.threat_name Se asigna directamente desde la detección
detection_id read_only_udm.security_result.detection_fields.value Se asigna directamente desde detection_id
disposition read_only_udm.security_result.description Se asigna directamente desde file.disposition
error.error_code read_only_udm.security_result.detection_fields.value Se asigna directamente desde error.error_code
error.description read_only_udm.security_result.detection_fields.value Se asigna directamente desde error.description
event_type read_only_udm.metadata.product_event_type Se asigna directamente desde event_type
event_type_id read_only_udm.metadata.product_log_id Se asigna directamente desde event_type_id
external_ip read_only_udm.principal.asset.external_ip Se asigna directamente desde computer.external_ip.
file.file_name read_only_udm.target.file.names Se asigna directamente desde file.file_name
file.file_path read_only_udm.target.file.full_path Se asigna directamente desde file.file_path
file.identity.md5 read_only_udm.security_result.about.file.md5 Se asigna directamente desde file.identity.md5
file.identity.md5 read_only_udm.target.file.md5 Se asigna directamente desde file.identity.md5
file.identity.sha1 read_only_udm.security_result.about.file.sha1 Se asigna directamente desde file.identity.sha1
file.identity.sha1 read_only_udm.target.file.sha1 Se asigna directamente desde file.identity.sha1
file.identity.sha256 read_only_udm.security_result.about.file.sha256 Se asigna directamente desde file.identity.sha256
file.identity.sha256 read_only_udm.target.file.sha256 Se asigna directamente desde file.identity.sha256
file.parent.disposition read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde file.parent.disposition
file.parent.file_name read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde file.parent.file_name.
file.parent.identity.md5 read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde file.parent.identity.md5
file.parent.identity.sha1 read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde file.parent.identity.sha1.
file.parent.identity.sha256 read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde file.parent.identity.sha256
file.parent.process_id read_only_udm.security_result.about.process.parent_process.pid Se asigna directamente desde file.parent.process_id.
file.parent.process_id read_only_udm.target.process.parent_process.pid Se asigna directamente desde file.parent.process_id.
Nombre de host read_only_udm.principal.asset.hostname Se asigna directamente desde computer.hostname.
Nombre de host read_only_udm.target.hostname Se asigna directamente desde computer.hostname.
Nombre de host read_only_udm.target.asset.hostname Se asigna directamente desde computer.hostname.
ip read_only_udm.principal.asset.ip Se asigna directamente desde computer.network_addresses.ip.
ip read_only_udm.principal.ip Se asigna directamente desde computer.network_addresses.ip.
ip read_only_udm.security_result.about.ip Se asigna directamente desde computer.network_addresses.ip.
mac read_only_udm.principal.mac Se asigna directamente desde computer.network_addresses.mac
mac read_only_udm.security_result.about.mac Se asigna directamente desde computer.network_addresses.mac
gravedad, read_only_udm.security_result.severity Se asigna a partir de la gravedad según la siguiente lógica: - "Medium" -> "MEDIUM" - "High" o "Critical" -> "HIGH" - "Low" -> "LOW" - De lo contrario -> "UNKNOWN_SEVERITY"
timestamp read_only_udm.metadata.event_timestamp.seconds Se asignó directamente desde la marca de tiempo
usuario read_only_udm.security_result.about.user.user_display_name Se asigna directamente desde computer.user.
usuario read_only_udm.target.user.user_display_name Se asigna directamente desde computer.user.
vulnerabilities.cve read_only_udm.extensions.vulns.vulnerabilities.cve_id Se asigna directamente desde vulnerabilities.cve
vulnerabilities.name read_only_udm.extensions.vulns.vulnerabilities.name Se asigna directamente desde vulnerabilities.name
vulnerabilities.score read_only_udm.extensions.vulns.vulnerabilities.cvss_base_score Se asigna directamente desde vulnerabilities.score después de convertirlo en un número de punto flotante.
vulnerabilities.url read_only_udm.extensions.vulns.vulnerabilities.vendor_knowledge_base_article_id Se asigna directamente desde vulnerabilities.url
vulnerabilities.version read_only_udm.extensions.vulns.vulnerabilities.cvss_version Se asigna directamente desde vulnerabilities.version
is_alert Se establece como verdadero si event_type es uno de los siguientes: "Threat Detected", "Exploit Prevention", "Executed malware", "Potential Dropper Infection", "Multiple Infected Files", "Vulnerable Application Detected" o si security_result.severity es "HIGH".
is_significant Se establece como verdadero si event_type es uno de los siguientes: "Threat Detected", "Exploit Prevention", "Executed malware", "Potential Dropper Infection", "Multiple Infected Files", "Vulnerable Application Detected" o si security_result.severity es "HIGH".
read_only_udm.metadata.event_type Se determina según los valores de event_type y security_result.severity. - Si event_type es uno de los siguientes: "Executed malware", "Threat Detected", "Potential Dropper Infection", "Cloud Recall Detection", "Malicious Activity Detection", "Exploit Prevention", "Multiple Infected Files", "Cloud IOC", "System Process Protection", "Vulnerable Application Detected", "Threat Quarantined", "Execution Blocked", "Cloud Recall Quarantine Successful", "Cloud Recall Restore from Quarantine Failed", "Cloud Recall Quarantine Attempt Failed", "Quarantine Failure", entonces el tipo de evento se establece como "SCAN_FILE". - Si security_result.severity es "HIGH", el tipo de evento se establece en "SCAN_FILE". - Si has_principal y has_target son verdaderos, el tipo de evento se establece como "SCAN_UNCATEGORIZED". - De lo contrario, el tipo de evento se establece en "GENERIC_EVENT".
read_only_udm.metadata.log_type Se establece en "CISCO_AMP".
read_only_udm.metadata.vendor_name Se establece en "CISCO_AMP".
read_only_udm.security_result.about.file.full_path Se asigna directamente desde file.file_path
read_only_udm.security_result.about.hostname Se asigna directamente desde computer.hostname.
read_only_udm.security_result.about.user.user_display_name Se asigna directamente desde computer.user.
read_only_udm.security_result.detection_fields.key Se establece en "ID de detección" para detection_id, "Código de error" para error.error_code, "Descripción del error" para error.description, "Disposición principal" para file.parent.disposition, "Nombre del archivo principal" para file.parent.file_name, "MD5 principal" para file.parent.identity.md5, "SHA1 principal" para file.parent.identity.sha1 y "SHA256 principal" para file.parent.identity.sha256.
read_only_udm.security_result.summary Se establece en event_type si event_type es uno de los siguientes: "Threat Detected", "Exploit Prevention", "Executed malware", "Potential Dropper Infection", "Multiple Infected Files", "Vulnerable Application Detected" o si security_result.severity es "HIGH".
read_only_udm.target.asset.ip Se asigna directamente desde computer.network_addresses.ip.
read_only_udm.target.resource.attribute.labels.key Se establece en "Parent Disposition" para file.parent.disposition, "Parent File Name" para file.parent.file_name, "Parent MD5" para file.parent.identity.md5, "Parent SHA1" para file.parent.identity.sha1 y "Parent SHA256" para file.parent.identity.sha256.
timestamp.seconds Se asigna directamente a partir de la fecha después de convertirla en una marca de tiempo.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.