Mengumpulkan log Cisco AMP for Endpoints

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Cisco AMP for Endpoints ke Google Security Operations menggunakan Google Cloud Storage. Parser mengubah log berformat JSON mentah menjadi format terstruktur yang sesuai dengan UDM Chronicle. Alat ini mengekstrak kolom dari objek JSON bertingkat, memetakannya ke skema UDM, mengidentifikasi kategori peristiwa, menetapkan tingkat keparahan, dan pada akhirnya menghasilkan output peristiwa terpadu, yang menandai peringatan keamanan saat kondisi tertentu terpenuhi.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Project GCP dengan Cloud Storage API yang diaktifkan
Izin untuk membuat dan mengelola bucket GCS
Izin untuk mengelola kebijakan IAM di bucket GCS
Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
Akses istimewa ke konsol Cisco AMP for Endpoints

Mengumpulkan kredensial Cisco AMP for Endpoints API

Login ke konsol Cisco AMP for Endpoints.
Buka Accounts > API Credentials.
Klik New API Credential untuk membuat kunci API dan ID klien baru.
Berikan detail konfigurasi berikut:
- Nama Aplikasi: Masukkan nama (misalnya, Chronicle SecOps Integration).
- Cakupan: Pilih Hanya baca untuk polling peristiwa dasar.
Klik Buat.
Salin dan simpan detail berikut di lokasi yang aman:
- Client ID 3API
- Kunci API
- URL Dasar API: Bergantung pada wilayah Anda:
  - Amerika Serikat: https://api.amp.cisco.com
  - Uni Eropa: https://api.eu.amp.cisco.com
  - APJC: https://api.apjc.amp.cisco.com

Verifikasi izin

Untuk memverifikasi bahwa akun memiliki izin yang diperlukan:

Login ke konsol Cisco AMP for Endpoints.
Buka Accounts > API Credentials.
Jika Anda dapat melihat halaman API Credentials dan kredensial yang baru dibuat tercantum, Anda memiliki izin yang diperlukan.
Jika Anda tidak dapat melihat opsi ini, hubungi administrator Anda untuk memberikan izin akses API.

Menguji akses API

Uji kredensial Anda sebelum melanjutkan integrasi:

# Replace with your actual credentials
AMP_CLIENT_ID="your-client-id"
AMP_API_KEY="your-api-key"
API_BASE="https://api.amp.cisco.com"

# Test API access
curl -v -u "${AMP_CLIENT_ID}:${AMP_API_KEY}" "${API_BASE}/v1/events?limit=1"

Membuat bucket Google Cloud Storage

Buka Google Cloud console.
Pilih project Anda atau buat project baru.
Di menu navigasi, buka Cloud Storage > Buckets.
Klik Create bucket.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Beri nama bucket Anda	Masukkan nama yang unik secara global (misalnya, `cisco-amp-logs`)
Location type	Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
Lokasi	Pilih lokasi (misalnya, `us-central1`)
Kelas penyimpanan	Standar (direkomendasikan untuk log yang sering diakses)
Access control	Seragam (direkomendasikan)
Alat perlindungan	Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

Klik Buat.

Buat akun layanan untuk Cloud Run Function

Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.

Membuat akun layanan

Di GCP Console, buka IAM & Admin > Service Accounts.
Klik Create Service Account.
Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan cisco-amp-collector-sa.
- Deskripsi akun layanan: Masukkan Service account for Cloud Run function to collect Cisco AMP for Endpoints logs.
Klik Create and Continue.
Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
1. Klik Pilih peran.
2. Telusuri dan pilih Storage Object Admin.
3. Klik + Add another role.
4. Telusuri dan pilih Cloud Run Invoker.
5. Klik + Add another role.
6. Telusuri dan pilih Cloud Functions Invoker.
Klik Lanjutkan.
Klik Selesai.

Peran ini diperlukan untuk:

Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
Cloud Functions Invoker: Mengizinkan pemanggilan fungsi

Memberikan izin IAM pada bucket GCS

Beri akun layanan (cisco-amp-collector-sa) izin tulis di bucket GCS:

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya, cisco-amp-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Tetapkan peran: Pilih Storage Object Admin.
Klik Simpan.

Membuat topik Pub/Sub

Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.

Di GCP Console, buka Pub/Sub > Topics.
Klik Create topic.
Berikan detail konfigurasi berikut:
- ID Topik: Masukkan cisco-amp-events-trigger.
- Biarkan setelan lainnya tetap default.
Klik Buat.

Membuat fungsi Cloud Run untuk mengumpulkan log

Fungsi Cloud Run akan dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log dari Cisco AMP for Endpoints API dan menuliskannya ke GCS.

Di GCP Console, buka Cloud Run.
Klik Create service.
Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:

Setelan Nilai

Nama layanan cisco-amp-events-collector

Wilayah Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)

Runtime Pilih Python 3.12 atau yang lebih baru
Di bagian Pemicu (opsional):
1. Klik + Tambahkan pemicu.
2. Pilih Cloud Pub/Sub.
3. Di Select a Cloud Pub/Sub topic, pilih topik Pub/Sub (cisco-amp-events-trigger).
4. Klik Simpan.
Di bagian Authentication:
- Pilih Wajibkan autentikasi.
- Pilih Identity and Access Management (IAM).

Setelan	Nilai
Nama layanan	`cisco-amp-events-collector`
Wilayah	Pilih region yang cocok dengan bucket GCS Anda (misalnya, `us-central1`)
Runtime	Pilih Python 3.12 atau yang lebih baru

Scroll ke dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih akun layanan (cisco-amp-collector-sa).

Buka tab Containers:

Klik Variables & Secrets.

Klik + Tambahkan variabel untuk setiap variabel lingkungan:

Nama Variabel	Nilai Contoh	Deskripsi
`GCS_BUCKET`	`cisco-amp-logs`	Nama bucket GCS
`GCS_PREFIX`	`cisco-amp-events/`	Awalan untuk file log
`STATE_KEY`	`cisco-amp-events/state.json`	Jalur file status
`API_BASE`	`https://api.amp.cisco.com`	URL dasar API
`AMP_CLIENT_ID`	`your-client-id`	ID klien API
`AMP_API_KEY`	`your-api-key`	Kunci API
`PAGE_SIZE`	`500`	Data per halaman
`MAX_PAGES`	`10`	Jumlah maksimum halaman yang akan diambil

Di bagian Variabel & Secret, scroll ke Permintaan:
- Waktu tunggu permintaan: Masukkan 600 detik (10 menit).
Buka tab Setelan:
- Di bagian Materi:
  - Memori: Pilih 512 MiB atau yang lebih tinggi.
  - CPU: Pilih 1.
Di bagian Penskalaan revisi:
- Jumlah minimum instance: Masukkan 0.
- Jumlah maksimum instance: Masukkan 100 (atau sesuaikan berdasarkan perkiraan beban).
Klik Buat.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.

Menambahkan kode fungsi

Masukkan main di kolom Entry point.

Di editor kode inline, buat dua file:

File pertama: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time
import base64

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'cisco-amp-events/')
STATE_KEY = os.environ.get('STATE_KEY', 'cisco-amp-events/state.json')
API_BASE = os.environ.get('API_BASE')
AMP_CLIENT_ID = os.environ.get('AMP_CLIENT_ID')
AMP_API_KEY = os.environ.get('AMP_API_KEY')
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '500'))
MAX_PAGES = int(os.environ.get('MAX_PAGES', '10'))

def parse_datetime(value: str) -> datetime:
    """Parse ISO datetime string to datetime object."""
    if value.endswith("Z"):
        value = value[:-1] + "+00:00"
    return datetime.fromisoformat(value)

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Cisco AMP events and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, API_BASE, AMP_CLIENT_ID, AMP_API_KEY]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        # Determine time window
        now = datetime.now(timezone.utc)
        last_time = None

        if isinstance(state, dict) and state.get("last_event_time"):
            try:
                last_time = parse_datetime(state["last_event_time"])
                # Overlap by 2 minutes to catch any delayed events
                last_time = last_time - timedelta(minutes=2)
            except Exception as e:
                print(f"Warning: Could not parse last_event_time: {e}")

        if last_time is None:
            last_time = now - timedelta(days=1)

        print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")

        # Fetch logs
        records, newest_event_time = fetch_logs(
            api_base=API_BASE,
            client_id=AMP_CLIENT_ID,
            api_key=AMP_API_KEY,
            start_time=last_time,
            page_size=PAGE_SIZE,
            max_pages=MAX_PAGES,
        )

        if not records:
            print("No new log records found.")
            save_state(bucket, STATE_KEY, now.isoformat())
            return

        # Write to GCS as NDJSON
        timestamp = now.strftime('%Y%m%d_%H%M%S')
        object_key = f"{GCS_PREFIX}cisco_amp_events_{timestamp}.ndjson"
        blob = bucket.blob(object_key)

        ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
        blob.upload_from_string(ndjson, content_type='application/x-ndjson')

        print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

        # Update state with newest event time
        if newest_event_time:
            save_state(bucket, STATE_KEY, newest_event_time)
        else:
            save_state(bucket, STATE_KEY, now.isoformat())

        print(f"Successfully processed {len(records)} records")

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f"Warning: Could not load state: {e}")

    return {}

def save_state(bucket, key, last_event_time_iso: str):
    """Save the last event timestamp to GCS state file."""
    try:
        state = {'last_event_time': last_event_time_iso}
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
        print(f"Saved state: last_event_time={last_event_time_iso}")
    except Exception as e:
        print(f"Warning: Could not save state: {e}")

def fetch_logs(api_base: str, client_id: str, api_key: str, start_time: datetime, page_size: int, max_pages: int):
    """
    Fetch logs from Cisco AMP for Endpoints API with pagination and rate limiting.

    Args:
        api_base: API base URL
        client_id: API client ID
        api_key: API key
        start_time: Start time for log query
        page_size: Number of records per page
        max_pages: Maximum total pages to fetch

    Returns:
        Tuple of (records list, newest_event_time ISO string)
    """
    # Clean up base URL
    base_url = api_base.rstrip('/')

    endpoint = f"{base_url}/v1/events"

    # Create Basic Auth header
    auth_string = f"{client_id}:{api_key}"
    auth_bytes = auth_string.encode('utf-8')
    auth_b64 = base64.b64encode(auth_bytes).decode('utf-8')

    headers = {
        'Authorization': f'Basic {auth_b64}',
        'Accept': 'application/json',
        'User-Agent': 'GoogleSecOps-CiscoAMPCollector/1.0'
    }

    records = []
    newest_time = None
    page_num = 0
    backoff = 1.0

    # Build initial URL with start_date parameter
    start_date_str = start_time.isoformat() + 'Z' if not start_time.isoformat().endswith('Z') else start_time.isoformat()
    next_url = f"{endpoint}?limit={page_size}&start_date={start_date_str}"

    while next_url and page_num < max_pages:
        page_num += 1

        try:
            response = http.request('GET', next_url, headers=headers)

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f"Rate limited (429). Retrying after {retry_after}s...")
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status != 200:
                print(f"HTTP Error: {response.status}")
                response_text = response.data.decode('utf-8')
                print(f"Response body: {response_text[:256]}")
                return [], None

            data = json.loads(response.data.decode('utf-8'))

            # Extract events from response
            page_results = data.get('data', [])

            if not page_results:
                print(f"No more results (empty page)")
                break

            print(f"Page {page_num}: Retrieved {len(page_results)} events")
            records.extend(page_results)

            # Track newest event time
            for event in page_results:
                try:
                    event_time = event.get('date')
                    if event_time:
                        if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                            newest_time = event_time
                except Exception as e:
                    print(f"Warning: Could not parse event time: {e}")

            # Check for next page URL in metadata
            next_url = data.get('metadata', {}).get('links', {}).get('next')

            if not next_url:
                print("No more pages (no next URL)")
                break

        except Exception as e:
            print(f"Error fetching logs: {e}")
            return [], None

    print(f"Retrieved {len(records)} total records from {page_num} pages")
    return records, newest_time

File kedua: requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).

Buat tugas Cloud Scheduler

Cloud Scheduler memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.

Di GCP Console, buka Cloud Scheduler.
Klik Create Job.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Nama	`cisco-amp-events-collector-hourly`
Wilayah	Pilih region yang sama dengan fungsi Cloud Run
Frekuensi	`0 * * * *` (setiap jam, tepat pada waktunya)
Zona waktu	Pilih zona waktu (UTC direkomendasikan)
Jenis target	Pub/Sub
Topik	Pilih topik Pub/Sub (`cisco-amp-events-trigger`)
Isi pesan	`{}` (objek JSON kosong)

Klik Buat.

Opsi frekuensi jadwal

Pilih frekuensi berdasarkan volume log dan persyaratan latensi:

Frekuensi	Ekspresi Cron	Kasus Penggunaan
Setiap 5 menit	`/5 * * *`	Volume tinggi, latensi rendah
Setiap 15 menit	`/15 * * *`	Volume sedang
Setiap jam	`0 * * * *`	Standar (direkomendasikan)
Setiap 6 jam	`0 /6 * *`	Volume rendah, pemrosesan batch
Harian	`0 0 * * *`	Pengumpulan data historis

Menguji integrasi

Di konsol Cloud Scheduler, temukan tugas Anda.
Klik Force run untuk memicu tugas secara manual.
Tunggu beberapa detik.
Buka Cloud Run > Services.
Klik nama fungsi Anda (cisco-amp-events-collector).
Klik tab Logs.

Pastikan fungsi berhasil dieksekusi. Cari hal berikut:

Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote X records to gs://cisco-amp-logs/cisco-amp-events/cisco_amp_events_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka folder awalan (cisco-amp-events/).
Pastikan file .ndjson baru dibuat dengan stempel waktu saat ini.

Jika Anda melihat error dalam log:

HTTP 401: Periksa kredensial API di variabel lingkungan
HTTP 403: Pastikan akun memiliki izin yang diperlukan
HTTP 429: Pembatasan kecepatan - fungsi akan otomatis mencoba lagi dengan penundaan
Variabel lingkungan tidak ada: Periksa apakah semua variabel yang diperlukan telah ditetapkan

Mengambil akun layanan Google SecOps

Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.

Dapatkan email akun layanan

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Cisco AMP for Endpoints logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Cisco AMP sebagai Jenis log.
Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Salin alamat email ini untuk digunakan di langkah berikutnya.

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps.
- Tetapkan peran: Pilih Storage Object Viewer.
Klik Simpan.

Mengonfigurasi feed di Google SecOps untuk menyerap log Cisco AMP for Endpoints

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Cisco AMP for Endpoints logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Cisco AMP sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
```
gs://cisco-amp-logs/cisco-amp-events/
```
  - Ganti:
    - cisco-amp-logs: Nama bucket GCS Anda.
    - cisco-amp-events/: Jalur folder/awalan tempat log disimpan.
Catatan: Selalu sertakan garis miring (/) di akhir URI.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
  - Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
  - Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
    
    Catatan: Jika Anda memilih opsi penghapusan, akun layanan harus memiliki peran Storage Object Admin, bukan Storage Object Viewer. Perbarui izin IAM yang sesuai.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
aktif	read_only_udm.principal.asset.active	Dipetakan langsung dari computer.active
connector_guid	read_only_udm.principal.asset.uuid	Dipetakan langsung dari computer.connector_guid
tanggal	read_only_udm.metadata.event_timestamp.seconds	Dipetakan langsung dari tanggal setelah dikonversi ke stempel waktu
deteksi	read_only_udm.security_result.threat_name	Dipetakan langsung dari deteksi
detection_id	read_only_udm.security_result.detection_fields.value	Dipetakan langsung dari detection_id
disposisi	read_only_udm.security_result.description	Dipetakan langsung dari file.disposition
error.error_code	read_only_udm.security_result.detection_fields.value	Dipetakan langsung dari error.error_code
error.description	read_only_udm.security_result.detection_fields.value	Dipetakan langsung dari error.description
event_type	read_only_udm.metadata.product_event_type	Dipetakan langsung dari event_type
event_type_id	read_only_udm.metadata.product_log_id	Dipetakan langsung dari event_type_id
external_ip	read_only_udm.principal.asset.external_ip	Dipetakan langsung dari computer.external_ip
file.file_name	read_only_udm.target.file.names	Dipetakan langsung dari file.file_name
file.file_path	read_only_udm.target.file.full_path	Dipetakan langsung dari file.file_path
file.identity.md5	read_only_udm.security_result.about.file.md5	Dipetakan langsung dari file.identity.md5
file.identity.md5	read_only_udm.target.file.md5	Dipetakan langsung dari file.identity.md5
file.identity.sha1	read_only_udm.security_result.about.file.sha1	Dipetakan langsung dari file.identity.sha1
file.identity.sha1	read_only_udm.target.file.sha1	Dipetakan langsung dari file.identity.sha1
file.identity.sha256	read_only_udm.security_result.about.file.sha256	Dipetakan langsung dari file.identity.sha256
file.identity.sha256	read_only_udm.target.file.sha256	Dipetakan langsung dari file.identity.sha256
file.parent.disposition	read_only_udm.target.resource.attribute.labels.value	Dipetakan langsung dari file.parent.disposition
file.parent.file_name	read_only_udm.target.resource.attribute.labels.value	Dipetakan langsung dari file.parent.file_name
file.parent.identity.md5	read_only_udm.target.resource.attribute.labels.value	Dipetakan langsung dari file.parent.identity.md5
file.parent.identity.sha1	read_only_udm.target.resource.attribute.labels.value	Dipetakan langsung dari file.parent.identity.sha1
file.parent.identity.sha256	read_only_udm.target.resource.attribute.labels.value	Dipetakan langsung dari file.parent.identity.sha256
file.parent.process_id	read_only_udm.security_result.about.process.parent_process.pid	Dipetakan langsung dari file.parent.process_id
file.parent.process_id	read_only_udm.target.process.parent_process.pid	Dipetakan langsung dari file.parent.process_id
hostname	read_only_udm.principal.asset.hostname	Dipetakan langsung dari computer.hostname
hostname	read_only_udm.target.hostname	Dipetakan langsung dari computer.hostname
hostname	read_only_udm.target.asset.hostname	Dipetakan langsung dari computer.hostname
ip	read_only_udm.principal.asset.ip	Dipetakan langsung dari computer.network_addresses.ip
ip	read_only_udm.principal.ip	Dipetakan langsung dari computer.network_addresses.ip
ip	read_only_udm.security_result.about.ip	Dipetakan langsung dari computer.network_addresses.ip
mac	read_only_udm.principal.mac	Dipetakan langsung dari computer.network_addresses.mac
mac	read_only_udm.security_result.about.mac	Dipetakan langsung dari computer.network_addresses.mac
tingkat keseriusan,	read_only_udm.security_result.severity	Dipetakan dari tingkat keparahan berdasarkan logika berikut: - "Medium" -> "MEDIUM" - "High" atau "Critical" -> "HIGH" - "Low" -> "LOW" - Lainnya -> "UNKNOWN_SEVERITY"
timestamp	read_only_udm.metadata.event_timestamp.seconds	Dipetakan langsung dari stempel waktu
pengguna	read_only_udm.security_result.about.user.user_display_name	Dipetakan langsung dari computer.user
pengguna	read_only_udm.target.user.user_display_name	Dipetakan langsung dari computer.user
vulnerabilities.cve	read_only_udm.extensions.vulns.vulnerabilities.cve_id	Dipetakan langsung dari vulnerabilities.cve
vulnerabilities.name	read_only_udm.extensions.vulns.vulnerabilities.name	Dipetakan langsung dari vulnerabilities.name
vulnerabilities.score	read_only_udm.extensions.vulns.vulnerabilities.cvss_base_score	Dipetakan langsung dari vulnerabilities.score setelah dikonversi menjadi float
vulnerabilities.url	read_only_udm.extensions.vulns.vulnerabilities.vendor_knowledge_base_article_id	Dipetakan langsung dari vulnerabilities.url
vulnerabilities.version	read_only_udm.extensions.vulns.vulnerabilities.cvss_version	Dipetakan langsung dari vulnerabilities.version
is_alert		Disetel ke benar (true) jika event_type adalah salah satu dari berikut: "Threat Detected", "Exploit Prevention", "Executed malware", "Potential Dropper Infection", "Multiple Infected Files", "Vulnerable Application Detected" atau jika security_result.severity adalah "HIGH"
is_significant		Disetel ke benar (true) jika event_type adalah salah satu dari berikut: "Threat Detected", "Exploit Prevention", "Executed malware", "Potential Dropper Infection", "Multiple Infected Files", "Vulnerable Application Detected" atau jika security_result.severity adalah "HIGH"
read_only_udm.metadata.event_type		Ditentukan berdasarkan nilai event_type dan security_result.severity. - Jika event_type adalah salah satu dari berikut ini: "Executed malware", "Threat Detected", "Potential Dropper Infection", "Cloud Recall Detection", "Malicious Activity Detection", "Exploit Prevention", "Multiple Infected Files", "Cloud IOC", "System Process Protection", "Vulnerable Application Detected", "Threat Quarantined", "Execution Blocked", "Cloud Recall Quarantine Successful", "Cloud Recall Restore from Quarantine Failed", "Cloud Recall Quarantine Attempt Failed", "Quarantine Failure", maka jenis peristiwa akan disetel ke "SCAN_FILE". - Jika security_result.severity adalah "HIGH", maka jenis peristiwa ditetapkan ke "SCAN_FILE". - Jika has_principal dan has_target bernilai benar (true), jenis acara ditetapkan ke "SCAN_UNCATEGORIZED". - Jika tidak, jenis peristiwa ditetapkan ke "GENERIC_EVENT".
read_only_udm.metadata.log_type		Ditetapkan ke "CISCO_AMP"
read_only_udm.metadata.vendor_name		Ditetapkan ke "CISCO_AMP"
read_only_udm.security_result.about.file.full_path		Dipetakan langsung dari file.file_path
read_only_udm.security_result.about.hostname		Dipetakan langsung dari computer.hostname
read_only_udm.security_result.about.user.user_display_name		Dipetakan langsung dari computer.user
read_only_udm.security_result.detection_fields.key		Tetapkan ke "ID Deteksi" untuk detection_id, "Kode Error" untuk error.error_code, "Deskripsi Error" untuk error.description, "Disposisi Induk" untuk file.parent.disposition, "Nama File Induk" untuk file.parent.file_name, "MD5 Induk" untuk file.parent.identity.md5, "SHA1 Induk" untuk file.parent.identity.sha1, dan "SHA256 Induk" untuk file.parent.identity.sha256
read_only_udm.security_result.summary		Disetel ke event_type jika event_type adalah salah satu dari berikut ini: "Threat Detected", "Exploit Prevention", "Executed malware", "Potential Dropper Infection", "Multiple Infected Files", "Vulnerable Application Detected", atau jika security_result.severity adalah "HIGH"
read_only_udm.target.asset.ip		Dipetakan langsung dari computer.network_addresses.ip
read_only_udm.target.resource.attribute.labels.key		Tetapkan ke "Parent Disposition" untuk file.parent.disposition, "Parent File Name" untuk file.parent.file_name, "Parent MD5" untuk file.parent.identity.md5, "Parent SHA1" untuk file.parent.identity.sha1, dan "Parent SHA256" untuk file.parent.identity.sha256
timestamp.seconds		Dipetakan langsung dari tanggal setelah dikonversi ke stempel waktu

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.