Coletar registros do Cisco AMP for Endpoints

Este documento explica como ingerir registros do Cisco AMP for Endpoints no Google Security Operations usando o Google Cloud Storage. O analisador transforma registros brutos formatados em JSON em um formato estruturado de acordo com o UDM do Chronicle. Ele extrai campos de objetos JSON aninhados, mapeia-os para o esquema UDM, identifica categorias de eventos, atribui níveis de gravidade e gera uma saída de evento unificada, sinalizando alertas de segurança quando condições específicas são atendidas.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

• Uma instância do Google SecOps
• Projeto do GCP com a API Cloud Storage ativada
• Permissões para criar e gerenciar buckets do GCS
• Permissões para gerenciar políticas do IAM em buckets do GCS
• Permissões para criar serviços do Cloud Run, tópicos do Pub/Sub e jobs do Cloud Scheduler
• Acesso privilegiado ao console do Cisco AMP for Endpoints

Coletar credenciais da API do Cisco AMP for Endpoints

1. Faça login no console do Cisco AMP for Endpoints.
2. Acesse Contas > Credenciais da API.
3. Clique em Nova credencial de API para criar uma chave de API e um ID do cliente.
4. Informe os seguintes detalhes de configuração:
   • Nome do aplicativo: insira um nome (por exemplo, Chronicle SecOps Integration).
   • Escopo: selecione Somente leitura para uma pesquisa básica de eventos.
5. Clique em Criar.
6. Copie e salve em um local seguro os seguintes detalhes:
   • 3ID do cliente da API
   • Chave de API
   • URL base da API: dependendo da sua região:
     • EUA: https://api.amp.cisco.com
     • UE: https://api.eu.amp.cisco.com
     • APJC: https://api.apjc.amp.cisco.com

Verifique as permissões

Para verificar se a conta tem as permissões necessárias:

1. Faça login no console do Cisco AMP for Endpoints.
2. Acesse Contas > Credenciais da API.
3. Se a página Credenciais da API aparecer e a credencial recém-criada estiver listada, você tem as permissões necessárias.
4. Se essa opção não aparecer, entre em contato com seu administrador para conceder permissões de acesso à API.

Testar o acesso à API

• Teste suas credenciais antes de prosseguir com a integração:

  # Replace with your actual credentials
  AMP_CLIENT_ID="your-client-id"
  AMP_API_KEY="your-api-key"
  API_BASE="https://api.amp.cisco.com"
  
  # Test API access
  curl -v -u "${AMP_CLIENT_ID}:${AMP_API_KEY}" "${API_BASE}/v1/events?limit=1"
  

Criar um bucket do Google Cloud Storage

1. Acesse o console doGoogle Cloud .
2. Selecione seu projeto ou crie um novo.
3. No menu de navegação, acesse Cloud Storage > Buckets.
4. Clique em Criar bucket.

5. Informe os seguintes detalhes de configuração:

   Configuração	Valor
   Nomeie seu bucket	Insira um nome exclusivo globalmente, por exemplo, cisco-amp-logs.
   Tipo de local	Escolha com base nas suas necessidades (região, birregional, multirregional)
   Local	Selecione o local (por exemplo, us-central1).
   Classe de armazenamento	Padrão (recomendado para registros acessados com frequência)
   Controle de acesso	Uniforme (recomendado)
   Ferramentas de proteção	Opcional: ativar o controle de versões de objetos ou a política de retenção

6. Clique em Criar.

Criar uma conta de serviço para a função do Cloud Run

A função do Cloud Run precisa de uma conta de serviço com permissões para gravar no bucket do GCS e ser invocada pelo Pub/Sub.

Criar conta de serviço

1. No Console do GCP, acesse IAM e administrador > Contas de serviço.
2. Clique em Criar conta de serviço.
3. Informe os seguintes detalhes de configuração:
   • Nome da conta de serviço: insira cisco-amp-collector-sa.
   • Descrição da conta de serviço: insira Service account for Cloud Run function to collect Cisco AMP for Endpoints logs.
4. Clique em Criar e continuar.
5. Na seção Conceder acesso a essa conta de serviço ao projeto, adicione os seguintes papéis:
   1. Clique em Selecionar papel.
   2. Pesquise e selecione Administrador de objetos do Storage.
   3. Clique em + Adicionar outro papel.
   4. Pesquise e selecione Invocador do Cloud Run.
   5. Clique em + Adicionar outro papel.
   6. Pesquise e selecione Invocador do Cloud Functions.
6. Clique em Continuar.
7. Clique em Concluído.

Esses papéis são necessários para:

• Administrador de objetos do Storage: grava registros em um bucket do GCS e gerencia arquivos de estado.
• Invocador do Cloud Run: permite que o Pub/Sub invoque a função
• Invocador do Cloud Functions: permite a invocação de funções

Conceder permissões do IAM no bucket do GCS

Conceda à conta de serviço (cisco-amp-collector-sa) permissões de gravação no bucket do GCS:

1. Acesse Cloud Storage > Buckets.
2. Clique no nome do bucket.
3. Acesse a guia Permissões.
4. Clique em Conceder acesso.
5. Informe os seguintes detalhes de configuração:
   • Adicionar principais: insira o e-mail da conta de serviço (por exemplo, cisco-amp-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Atribuir papéis: selecione Administrador de objetos do Storage.
6. Clique em Salvar.

Criar tópico Pub/Sub

Crie um tópico do Pub/Sub em que o Cloud Scheduler vai publicar e a função do Cloud Run vai se inscrever.

1. No Console do GCP, acesse Pub/Sub > Tópicos.
2. Selecione Criar tópico.
3. Informe os seguintes detalhes de configuração:
   • ID do tópico: insira cisco-amp-events-trigger.
   • Não altere as outras configurações.
4. Clique em Criar.

Criar uma função do Cloud Run para coletar registros

A função do Cloud Run será acionada por mensagens do Pub/Sub do Cloud Scheduler para buscar registros da API Cisco AMP for Endpoints e gravá-los no GCS.

1. No console do GCP, acesse o Cloud Run.
2. Clique em Criar serviço.
3. Selecione Função (use um editor in-line para criar uma função).

4. Na seção Configurar, forneça os seguintes detalhes de configuração:

   Configuração	Valor
   Nome do serviço	cisco-amp-events-collector
   Região	Selecione a região que corresponde ao seu bucket do GCS (por exemplo, us-central1).
   Ambiente de execução	Selecione Python 3.12 ou uma versão mais recente.

5. Na seção Acionador (opcional):

   1. Clique em + Adicionar gatilho.
   2. Selecione Cloud Pub/Sub.
   3. Em Selecionar um tópico do Cloud Pub/Sub, escolha o tópico do Pub/Sub (cisco-amp-events-trigger).
   4. Clique em Salvar.

6. Na seção Autenticação:

   • Selecione Exigir autenticação.
   • Selecione Identity and Access Management (IAM).

1. Role a tela para baixo e abra Contêineres, rede, segurança.
2. Acesse a guia Segurança:
   • Conta de serviço: selecione a conta de serviço (cisco-amp-collector-sa).

3. Acesse a guia Contêineres:

   • Clique em Variáveis e secrets.

   • Clique em + Adicionar variável para cada variável de ambiente:

     Nome da variável	Valor de exemplo	Descrição
     GCS_BUCKET	cisco-amp-logs	Nome do bucket do GCS
     GCS_PREFIX	cisco-amp-events/	Prefixo para arquivos de registro
     STATE_KEY	cisco-amp-events/state.json	Caminho do arquivo de estado
     API_BASE	https://api.amp.cisco.com	URL base da API
     AMP_CLIENT_ID	your-client-id	ID do cliente da API
     AMP_API_KEY	your-api-key	Chave de API
     PAGE_SIZE	500	Registros por página
     MAX_PAGES	10	Número máximo de páginas a serem buscadas

4. Na seção Variáveis e secrets, role a tela até Solicitações:

   • Tempo limite da solicitação: insira 600 segundos (10 minutos).

5. Acesse a guia Configurações:

   • Na seção Recursos:
     • Memória: selecione 512 MiB ou mais.
     • CPU: selecione 1.

6. Na seção Escalonamento de revisão:

   • Número mínimo de instâncias: insira 0.
   • Número máximo de instâncias: insira 100 ou ajuste com base na carga esperada.

7. Clique em Criar.

8. Aguarde a criação do serviço (1 a 2 minutos).

9. Depois que o serviço for criado, o editor de código inline será aberto automaticamente.

Adicionar código da função

1. Insira main no campo Ponto de entrada.

2. No editor de código em linha, crie dois arquivos:

   • Primeiro arquivo: main.py::

   import functions_framework
   from google.cloud import storage
   import json
   import os
   import urllib3
   from datetime import datetime, timezone, timedelta
   import time
   import base64
   
   # Initialize HTTP client with timeouts
   http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=5.0, read=30.0),
       retries=False,
   )
   
   # Initialize Storage client
   storage_client = storage.Client()
   
   # Environment variables
   GCS_BUCKET = os.environ.get('GCS_BUCKET')
   GCS_PREFIX = os.environ.get('GCS_PREFIX', 'cisco-amp-events/')
   STATE_KEY = os.environ.get('STATE_KEY', 'cisco-amp-events/state.json')
   API_BASE = os.environ.get('API_BASE')
   AMP_CLIENT_ID = os.environ.get('AMP_CLIENT_ID')
   AMP_API_KEY = os.environ.get('AMP_API_KEY')
   PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '500'))
   MAX_PAGES = int(os.environ.get('MAX_PAGES', '10'))
   
   def parse_datetime(value: str) -> datetime:
       """Parse ISO datetime string to datetime object."""
       if value.endswith("Z"):
           value = value[:-1] + "+00:00"
       return datetime.fromisoformat(value)
   
   @functions_framework.cloud_event
   def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch Cisco AMP events and write to GCS.
   
       Args:
           cloud_event: CloudEvent object containing Pub/Sub message
       """
   
       if not all([GCS_BUCKET, API_BASE, AMP_CLIENT_ID, AMP_API_KEY]):
           print('Error: Missing required environment variables')
           return
   
       try:
           # Get GCS bucket
           bucket = storage_client.bucket(GCS_BUCKET)
   
           # Load state
           state = load_state(bucket, STATE_KEY)
   
           # Determine time window
           now = datetime.now(timezone.utc)
           last_time = None
   
           if isinstance(state, dict) and state.get("last_event_time"):
               try:
                   last_time = parse_datetime(state["last_event_time"])
                   # Overlap by 2 minutes to catch any delayed events
                   last_time = last_time - timedelta(minutes=2)
               except Exception as e:
                   print(f"Warning: Could not parse last_event_time: {e}")
   
           if last_time is None:
               last_time = now - timedelta(days=1)
   
           print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")
   
           # Fetch logs
           records, newest_event_time = fetch_logs(
               api_base=API_BASE,
               client_id=AMP_CLIENT_ID,
               api_key=AMP_API_KEY,
               start_time=last_time,
               page_size=PAGE_SIZE,
               max_pages=MAX_PAGES,
           )
   
           if not records:
               print("No new log records found.")
               save_state(bucket, STATE_KEY, now.isoformat())
               return
   
           # Write to GCS as NDJSON
           timestamp = now.strftime('%Y%m%d_%H%M%S')
           object_key = f"{GCS_PREFIX}cisco_amp_events_{timestamp}.ndjson"
           blob = bucket.blob(object_key)
   
           ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
           blob.upload_from_string(ndjson, content_type='application/x-ndjson')
   
           print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")
   
           # Update state with newest event time
           if newest_event_time:
               save_state(bucket, STATE_KEY, newest_event_time)
           else:
               save_state(bucket, STATE_KEY, now.isoformat())
   
           print(f"Successfully processed {len(records)} records")
   
       except Exception as e:
           print(f'Error processing logs: {str(e)}')
           raise
   
   def load_state(bucket, key):
       """Load state from GCS."""
       try:
           blob = bucket.blob(key)
           if blob.exists():
               state_data = blob.download_as_text()
               return json.loads(state_data)
       except Exception as e:
           print(f"Warning: Could not load state: {e}")
   
       return {}
   
   def save_state(bucket, key, last_event_time_iso: str):
       """Save the last event timestamp to GCS state file."""
       try:
           state = {'last_event_time': last_event_time_iso}
           blob = bucket.blob(key)
           blob.upload_from_string(
               json.dumps(state, indent=2),
               content_type='application/json'
           )
           print(f"Saved state: last_event_time={last_event_time_iso}")
       except Exception as e:
           print(f"Warning: Could not save state: {e}")
   
   def fetch_logs(api_base: str, client_id: str, api_key: str, start_time: datetime, page_size: int, max_pages: int):
       """
       Fetch logs from Cisco AMP for Endpoints API with pagination and rate limiting.
   
       Args:
           api_base: API base URL
           client_id: API client ID
           api_key: API key
           start_time: Start time for log query
           page_size: Number of records per page
           max_pages: Maximum total pages to fetch
   
       Returns:
           Tuple of (records list, newest_event_time ISO string)
       """
       # Clean up base URL
       base_url = api_base.rstrip('/')
   
       endpoint = f"{base_url}/v1/events"
   
       # Create Basic Auth header
       auth_string = f"{client_id}:{api_key}"
       auth_bytes = auth_string.encode('utf-8')
       auth_b64 = base64.b64encode(auth_bytes).decode('utf-8')
   
       headers = {
           'Authorization': f'Basic {auth_b64}',
           'Accept': 'application/json',
           'User-Agent': 'GoogleSecOps-CiscoAMPCollector/1.0'
       }
   
       records = []
       newest_time = None
       page_num = 0
       backoff = 1.0
   
       # Build initial URL with start_date parameter
       start_date_str = start_time.isoformat() + 'Z' if not start_time.isoformat().endswith('Z') else start_time.isoformat()
       next_url = f"{endpoint}?limit={page_size}&start_date={start_date_str}"
   
       while next_url and page_num < max_pages:
           page_num += 1
   
           try:
               response = http.request('GET', next_url, headers=headers)
   
               # Handle rate limiting with exponential backoff
               if response.status == 429:
                   retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                   print(f"Rate limited (429). Retrying after {retry_after}s...")
                   time.sleep(retry_after)
                   backoff = min(backoff * 2, 30.0)
                   continue
   
               backoff = 1.0
   
               if response.status != 200:
                   print(f"HTTP Error: {response.status}")
                   response_text = response.data.decode('utf-8')
                   print(f"Response body: {response_text[:256]}")
                   return [], None
   
               data = json.loads(response.data.decode('utf-8'))
   
               # Extract events from response
               page_results = data.get('data', [])
   
               if not page_results:
                   print(f"No more results (empty page)")
                   break
   
               print(f"Page {page_num}: Retrieved {len(page_results)} events")
               records.extend(page_results)
   
               # Track newest event time
               for event in page_results:
                   try:
                       event_time = event.get('date')
                       if event_time:
                           if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                               newest_time = event_time
                   except Exception as e:
                       print(f"Warning: Could not parse event time: {e}")
   
               # Check for next page URL in metadata
               next_url = data.get('metadata', {}).get('links', {}).get('next')
   
               if not next_url:
                   print("No more pages (no next URL)")
                   break
   
           except Exception as e:
               print(f"Error fetching logs: {e}")
               return [], None
   
       print(f"Retrieved {len(records)} total records from {page_num} pages")
       return records, newest_time
   

   • Segundo arquivo: requirements.txt:

   functions-framework==3.*
   google-cloud-storage==2.*
   urllib3>=2.0.0
   

3. Clique em Implantar para salvar e implantar a função.

4. Aguarde a conclusão da implantação (2 a 3 minutos).

Criar o job do Cloud Scheduler

O Cloud Scheduler publica mensagens no tópico do Pub/Sub em intervalos regulares, acionando a função do Cloud Run.

1. No Console do GCP, acesse o Cloud Scheduler.
2. Clique em Criar job.

3. Informe os seguintes detalhes de configuração:

   Configuração	Valor
   Nome	cisco-amp-events-collector-hourly
   Região	Selecione a mesma região da função do Cloud Run
   Frequência	0 * * * * (a cada hora, na hora)
   Fuso horário	Selecione o fuso horário (UTC recomendado)
   Tipo de destino	Pub/Sub
   Tópico	Selecione o tópico do Pub/Sub (cisco-amp-events-trigger).
   Corpo da mensagem	{} (objeto JSON vazio)

4. Clique em Criar.

Opções de frequência de programação

• Escolha a frequência com base no volume de registros e nos requisitos de latência:

  Frequência	Expressão Cron	Caso de uso
  A cada 5 minutos	*/5 * * * *	Alto volume e baixa latência
  A cada 15 minutos	*/15 * * * *	Volume médio
  A cada hora	0 * * * *	Padrão (recomendado)
  A cada 6 horas	0 */6 * * *	Baixo volume, processamento em lote
  Diário	0 0 * * *	Coleta de dados históricos

Testar a integração

1. No console do Cloud Scheduler, encontre seu job.
2. Clique em Executar à força para acionar o job manualmente.
3. Aguarde alguns segundos.
4. Acesse Cloud Run > Serviços.
5. Clique no nome da função (cisco-amp-events-collector).
6. Clique na guia Registros.

7. Verifique se a função foi executada com sucesso. Procure o seguinte:

   Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
   Page 1: Retrieved X events
   Wrote X records to gs://cisco-amp-logs/cisco-amp-events/cisco_amp_events_YYYYMMDD_HHMMSS.ndjson
   Successfully processed X records
   

8. Acesse Cloud Storage > Buckets.

9. Clique no nome do bucket.

10. Navegue até a pasta de prefixo (cisco-amp-events/).

11. Verifique se um novo arquivo .ndjson foi criado com o carimbo de data/hora atual.

Se você encontrar erros nos registros:

• HTTP 401: verifique as credenciais da API nas variáveis de ambiente
• HTTP 403: verifique se a conta tem as permissões necessárias
• HTTP 429: limitação de taxa. A função vai tentar novamente automaticamente com espera.
• Variáveis de ambiente ausentes: verifique se todas as variáveis necessárias estão definidas.

Recuperar a conta de serviço do Google SecOps

O Google SecOps usa uma conta de serviço exclusiva para ler dados do seu bucket do GCS. Você precisa conceder a essa conta de serviço acesso ao seu bucket.

Receber o e-mail da conta de serviço

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Clique em Configurar um único feed.
4. No campo Nome do feed, insira um nome para o feed (por exemplo, Cisco AMP for Endpoints logs).
5. Selecione Google Cloud Storage V2 como o Tipo de origem.
6. Selecione Cisco AMP como o Tipo de registro.

7. Clique em Receber conta de serviço. Um e-mail exclusivo da conta de serviço é exibido, por exemplo:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Copie esse endereço de e-mail para usar na próxima etapa.

Conceder permissões do IAM à conta de serviço do Google SecOps

A conta de serviço do Google SecOps precisa do papel de Leitor de objetos do Storage no seu bucket do GCS.

1. Acesse Cloud Storage > Buckets.
2. Clique no nome do bucket.
3. Acesse a guia Permissões.
4. Clique em Conceder acesso.
5. Informe os seguintes detalhes de configuração:
   • Adicionar participantes: cole o e-mail da conta de serviço do Google SecOps.
   • Atribuir papéis: selecione Leitor de objetos do Storage.
6. Clique em Salvar.

Configurar um feed no Google SecOps para ingerir registros do Cisco AMP for Endpoints

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Clique em Configurar um único feed.
4. No campo Nome do feed, insira um nome para o feed (por exemplo, Cisco AMP for Endpoints logs).
5. Selecione Google Cloud Storage V2 como o Tipo de origem.
6. Selecione Cisco AMP como o Tipo de registro.
7. Clique em Próxima.

8. Especifique valores para os seguintes parâmetros de entrada:

   • URL do bucket de armazenamento: insira o URI do bucket do GCS com o caminho do prefixo:

     gs://cisco-amp-logs/cisco-amp-events/
     

     • Substitua:
       • cisco-amp-logs: o nome do bucket do GCS.
       • cisco-amp-events/: prefixo/caminho da pasta onde os registros são armazenados.

   • Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência:

     • Nunca: nunca exclui arquivos após as transferências (recomendado para testes).
     • Excluir arquivos transferidos: exclui os arquivos após a transferência bem-sucedida.

     • Excluir arquivos transferidos e diretórios vazios: exclui arquivos e diretórios vazios após a transferência bem-sucedida.

   • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

   • Namespace do recurso: o namespace do recurso.

   • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.

9. Clique em Próxima.

10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
ativo	read_only_udm.principal.asset.active	Mapeado diretamente de "computer.active"
connector_guid	read_only_udm.principal.asset.uuid	Mapeado diretamente de "computer.connector_guid"
data	read_only_udm.metadata.event_timestamp.seconds	Mapeado diretamente da data após a conversão para carimbo de data/hora
de chave quente	read_only_udm.security_result.threat_name	Mapeado diretamente da detecção
detection_id	read_only_udm.security_result.detection_fields.value	Mapeado diretamente de "detection_id"
disposition	read_only_udm.security_result.description	Mapeado diretamente de "file.disposition"
error.error_code	read_only_udm.security_result.detection_fields.value	Mapeado diretamente de "error.error_code"
error.description	read_only_udm.security_result.detection_fields.value	Mapeado diretamente de "error.description"
event_type	read_only_udm.metadata.product_event_type	Mapeado diretamente de event_type
event_type_id	read_only_udm.metadata.product_log_id	Mapeado diretamente de event_type_id
external_ip	read_only_udm.principal.asset.external_ip	Mapeado diretamente de "computer.external_ip"
file.file_name	read_only_udm.target.file.names	Mapeado diretamente de file.file_name
file.file_path	read_only_udm.target.file.full_path	Mapeado diretamente de "file.file_path"
file.identity.md5	read_only_udm.security_result.about.file.md5	Mapeado diretamente de file.identity.md5
file.identity.md5	read_only_udm.target.file.md5	Mapeado diretamente de file.identity.md5
file.identity.sha1	read_only_udm.security_result.about.file.sha1	Mapeado diretamente de "file.identity.sha1"
file.identity.sha1	read_only_udm.target.file.sha1	Mapeado diretamente de "file.identity.sha1"
file.identity.sha256	read_only_udm.security_result.about.file.sha256	Mapeado diretamente de "file.identity.sha256"
file.identity.sha256	read_only_udm.target.file.sha256	Mapeado diretamente de "file.identity.sha256"
file.parent.disposition	read_only_udm.target.resource.attribute.labels.value	Mapeado diretamente de "file.parent.disposition".
file.parent.file_name	read_only_udm.target.resource.attribute.labels.value	Mapeado diretamente de "file.parent.file_name"
file.parent.identity.md5	read_only_udm.target.resource.attribute.labels.value	Mapeado diretamente de file.parent.identity.md5
file.parent.identity.sha1	read_only_udm.target.resource.attribute.labels.value	Mapeado diretamente de file.parent.identity.sha1
file.parent.identity.sha256	read_only_udm.target.resource.attribute.labels.value	Mapeado diretamente de file.parent.identity.sha256
file.parent.process_id	read_only_udm.security_result.about.process.parent_process.pid	Mapeado diretamente de "file.parent.process_id"
file.parent.process_id	read_only_udm.target.process.parent_process.pid	Mapeado diretamente de "file.parent.process_id"
nome do host	read_only_udm.principal.asset.hostname	Mapeado diretamente de "computer.hostname"
nome do host	read_only_udm.target.hostname	Mapeado diretamente de "computer.hostname"
nome do host	read_only_udm.target.asset.hostname	Mapeado diretamente de "computer.hostname"
ip	read_only_udm.principal.asset.ip	Mapeado diretamente de computer.network_addresses.ip
ip	read_only_udm.principal.ip	Mapeado diretamente de computer.network_addresses.ip
ip	read_only_udm.security_result.about.ip	Mapeado diretamente de computer.network_addresses.ip
mac	read_only_udm.principal.mac	Mapeado diretamente de computer.network_addresses.mac
mac	read_only_udm.security_result.about.mac	Mapeado diretamente de computer.network_addresses.mac
gravidade,	read_only_udm.security_result.severity	Mapeado da gravidade com base na seguinte lógica: "Medium" -> "MEDIUM", "High" ou "Critical" -> "HIGH", "Low" -> "LOW", caso contrário -> "UNKNOWN_SEVERITY"
timestamp	read_only_udm.metadata.event_timestamp.seconds	Mapeado diretamente do carimbo de data/hora
usuário	read_only_udm.security_result.about.user.user_display_name	Mapeado diretamente de computer.user
usuário	read_only_udm.target.user.user_display_name	Mapeado diretamente de computer.user
vulnerabilities.cve	read_only_udm.extensions.vulns.vulnerabilities.cve_id	Mapeado diretamente de "vulnerabilities.cve"
vulnerabilities.name	read_only_udm.extensions.vulns.vulnerabilities.name	Mapeado diretamente de "vulnerabilities.name"
vulnerabilities.score	read_only_udm.extensions.vulns.vulnerabilities.cvss_base_score	Mapeado diretamente de "vulnerabilities.score" após a conversão para ponto flutuante.
vulnerabilities.url	read_only_udm.extensions.vulns.vulnerabilities.vendor_knowledge_base_article_id	Mapeado diretamente de "vulnerabilities.url"
vulnerabilities.version	read_only_udm.extensions.vulns.vulnerabilities.cvss_version	Mapeado diretamente de "vulnerabilities.version"
is_alert		Definido como "true" se event_type for um dos seguintes: "Threat Detected", "Exploit Prevention", "Executed malware", "Potential Dropper Infection", "Multiple Infected Files", "Vulnerable Application Detected" ou se security_result.severity for "HIGH"
is_significant		Definido como "true" se event_type for um dos seguintes: "Threat Detected", "Exploit Prevention", "Executed malware", "Potential Dropper Infection", "Multiple Infected Files", "Vulnerable Application Detected" ou se security_result.severity for "HIGH"
read_only_udm.metadata.event_type		Determinado com base nos valores event_type e security_result.severity. - Se "event_type" for um dos seguintes: "Executed malware", "Threat Detected", "Potential Dropper Infection", "Cloud Recall Detection", "Malicious Activity Detection", "Exploit Prevention", "Multiple Infected Files", "Cloud IOC", "System Process Protection", "Vulnerable Application Detected", "Threat Quarantined", "Execution Blocked", "Cloud Recall Quarantine Successful", "Cloud Recall Restore from Quarantine Failed", "Cloud Recall Quarantine Attempt Failed", "Quarantine Failure", o tipo de evento será definido como "SCAN_FILE". - Se security_result.severity for "HIGH", o tipo de evento será definido como "SCAN_FILE". - Se has_principal e has_target forem verdadeiros, o tipo de evento será definido como "SCAN_UNCATEGORIZED". - Caso contrário, o tipo de evento será definido como "GENERIC_EVENT".
read_only_udm.metadata.log_type		Definido como "CISCO_AMP"
read_only_udm.metadata.vendor_name		Definido como "CISCO_AMP"
read_only_udm.security_result.about.file.full_path		Mapeado diretamente de "file.file_path"
read_only_udm.security_result.about.hostname		Mapeado diretamente de "computer.hostname"
read_only_udm.security_result.about.user.user_display_name		Mapeado diretamente de computer.user
read_only_udm.security_result.detection_fields.key		Definido como "ID de detecção" para detection_id, "Código de erro" para error.error_code, "Descrição do erro" para error.description, "Disposição do pai" para file.parent.disposition, "Nome do arquivo pai" para file.parent.file_name, "MD5 do pai" para file.parent.identity.md5, "SHA1 do pai" para file.parent.identity.sha1 e "SHA256 do pai" para file.parent.identity.sha256.
read_only_udm.security_result.summary		Definido como "event_type" se "event_type" for um dos seguintes: "Threat Detected", "Exploit Prevention", "Executed malware", "Potential Dropper Infection", "Multiple Infected Files", "Vulnerable Application Detected" ou se "security_result.severity" for "HIGH"
read_only_udm.target.asset.ip		Mapeado diretamente de computer.network_addresses.ip
read_only_udm.target.resource.attribute.labels.key		Definido como "Parent Disposition" para file.parent.disposition, "Parent File Name" para file.parent.file_name, "Parent MD5" para file.parent.identity.md5, "Parent SHA1" para file.parent.identity.sha1 e "Parent SHA256" para file.parent.identity.sha256
timestamp.seconds		Mapeado diretamente da data após a conversão para carimbo de data/hora

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.