Cisco CloudLock CASB-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Cisco CloudLock CASB-Logs mit Google Cloud Storage in Google Security Operations aufnehmen .Der Parser extrahiert Felder aus den JSON-Logs, transformiert sie und ordnet sie dem Unified Data Model (UDM) zu. Es verarbeitet das Parsen von Datumsangaben, konvertiert bestimmte Felder in Strings, ordnet Felder UDM-Entitäten (Metadaten, Ziel, Sicherheitsergebnis, „Über“) zu und durchläuft die Übereinstimmungen, um Erkennungsfelder zu extrahieren. Schließlich werden alle extrahierten Daten in das Feld „@output“ zusammengeführt.
Cisco CloudLock ist ein Cloud Access Security Broker (CASB) in der Cloud, der für Transparenz und Kontrolle von Cloud-Anwendungen sorgt. So können Unternehmen Schatten-IT erkennen, Richtlinien zum Schutz vor Datenverlust erzwingen, Bedrohungen erkennen und die Compliance in SaaS-Anwendungen aufrechterhalten.
Hinweis
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- GCP-Projekt mit aktivierter Cloud Storage API
- Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
- Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
- Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
- Privilegierter Zugriff auf die Cisco CloudLock-Admin-Konsole
Voraussetzungen für die Cisco CloudLock API
Wenden Sie sich an den Cloudlock-Support, um Ihre Cloudlock-API-URL zu erhalten. Generieren Sie ein Zugriffstoken in der Cloudlock-Anwendung, indem Sie auf der Seite „Einstellungen“ den Tab „Authentifizierung und API“ auswählen und auf „Generieren“ klicken.
- Melden Sie sich in der Cisco CloudLock-Admin-Konsole an.
- Gehen Sie zu den EinstellungenAuthentifizierung & API.
- Klicken Sie unter API auf Generieren, um Ihr Zugriffstoken zu erstellen.
- Kopieren und speichern Sie die folgenden Details an einem sicheren Ort:
- API-Zugriffstoken
- API-Basis-URL (wird vom Cisco CloudLock-Support unter [email protected] bereitgestellt)
Google Cloud Storage-Bucket erstellen
- Rufen Sie die Google Cloud Console auf.
- Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
- Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
- Klicken Sie auf Bucket erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
Einstellung Wert Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. cisco-cloudlock-logs.Standorttyp Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region). Standort Wählen Sie den Speicherort aus, z. B. us-central1.Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird) Zugriffssteuerung Einheitlich (empfohlen) Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren Klicken Sie auf Erstellen.
Dienstkonto für Cloud Run-Funktion erstellen
Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket.
Dienstkonto erstellen
- Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
- Klicken Sie auf Dienstkonto erstellen.
- Geben Sie die folgenden Konfigurationsdetails an:
- Name des Dienstkontos: Geben Sie
cloudlock-data-export-saein. - Beschreibung des Dienstkontos: Geben Sie
Service account for Cloud Run function to collect Cisco CloudLock logsein.
- Name des Dienstkontos: Geben Sie
- Klicken Sie auf Erstellen und fortfahren.
- Im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen:
- Klicken Sie auf Rolle auswählen.
- Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
- Klicken Sie auf + Weitere Rolle hinzufügen.
- Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
- Klicken Sie auf + Weitere Rolle hinzufügen.
- Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
- Klicken Sie auf Weiter.
- Klicken Sie auf Fertig.
IAM-Berechtigungen für GCS-Bucket erteilen
Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:
- Rufen Sie Cloud Storage > Buckets auf.
- Klicken Sie auf den Namen Ihres Buckets.
- Wechseln Sie zum Tab Berechtigungen.
- Klicken Sie auf Zugriff erlauben.
- Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B.
cloudlock-data-export-sa@PROJECT_ID.iam.gserviceaccount.com). - Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
- Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B.
- Klicken Sie auf Speichern.
Pub/Sub-Thema erstellen
Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.
- Rufen Sie in der GCP Console Pub/Sub > Themen auf.
- Klicken Sie auf Thema erstellen.
- Geben Sie die folgenden Konfigurationsdetails an:
- Themen-ID: Geben Sie
cloudlock-data-export-triggerein. - Übernehmen Sie die anderen Einstellungen.
- Themen-ID: Geben Sie
- Klicken Sie auf Erstellen.
Cloud Run-Funktion zum Erfassen von Logs erstellen
Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der Cisco CloudLock API abzurufen und in GCS zu schreiben.
- Rufen Sie in der GCP Console Cloud Run auf.
- Klicken Sie auf Dienst erstellen.
- Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.
Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:
Einstellung Wert Dienstname cloudlock-data-exportRegion Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).Laufzeit Wählen Sie Python 3.12 oder höher aus. Im Abschnitt Trigger (optional):
- Klicken Sie auf + Trigger hinzufügen.
- Wählen Sie Cloud Pub/Sub aus.
- Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Thema (
cloudlock-data-export-trigger) aus. - Klicken Sie auf Speichern.
Im Abschnitt Authentifizierung:
- Wählen Sie Authentifizierung erforderlich aus.
- Identitäts- und Zugriffsverwaltung
Scrollen Sie zu Container, Netzwerk, Sicherheit und maximieren Sie diesen Bereich.
Rufen Sie den Tab Sicherheit auf:
- Dienstkonto: Wählen Sie das Dienstkonto aus (
cloudlock-data-export-sa).
- Dienstkonto: Wählen Sie das Dienstkonto aus (
Rufen Sie den Tab Container auf:
- Klicken Sie auf Variablen und Secrets.
Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:
Variablenname Beispielwert GCS_BUCKETcisco-cloudlock-logsGCS_PREFIXcloudlock/STATE_KEYcloudlock/state.jsonCLOUDLOCK_API_TOKENyour-api-tokenCLOUDLOCK_API_BASEhttps://api.cloudlock.com
Scrollen Sie auf dem Tab Variablen und Secrets nach unten zu Anfragen:
- Zeitlimit für Anfragen: Geben Sie
600Sekunden (10 Minuten) ein.
- Zeitlimit für Anfragen: Geben Sie
Rufen Sie den Tab Einstellungen unter Container auf:
- Im Abschnitt Ressourcen:
- Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
- CPU: Wählen Sie 1 aus.
- Klicken Sie auf Fertig.
- Im Abschnitt Ressourcen:
Scrollen Sie zu Ausführungsumgebung:
- Wählen Sie Standard aus (empfohlen).
Im Abschnitt Versionsskalierung:
- Mindestanzahl von Instanzen: Geben Sie
0ein. - Maximale Anzahl von Instanzen: Geben Sie
100ein (oder passen Sie den Wert an die erwartete Last an).
- Mindestanzahl von Instanzen: Geben Sie
Klicken Sie auf Erstellen.
Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.
Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.
Funktionscode hinzufügen
- Geben Sie main unter Funktionseinstiegspunkt ein.
Erstellen Sie im Inline-Codeeditor zwei Dateien:
Erste Datei: main.py::
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone, timedelta import time # Initialize HTTP client http = urllib3.PoolManager() # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch logs from Cisco CloudLock API and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') prefix = os.environ.get('GCS_PREFIX', 'cloudlock/') state_key = os.environ.get('STATE_KEY', 'cloudlock/state.json') api_token = os.environ.get('CLOUDLOCK_API_TOKEN') api_base = os.environ.get('CLOUDLOCK_API_BASE') if not all([bucket_name, api_token, api_base]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(bucket_name) # Load state (last processed offset for each endpoint) state = load_state(bucket, state_key) print(f'Processing logs with state: {state}') # Create Authorization header headers = { 'Authorization': f'Bearer {api_token}', 'Content-Type': 'application/json' } # Fetch incidents data (using offset-based pagination) incidents_offset = state.get('incidents_offset', 0) incidents, new_incidents_offset = fetch_cloudlock_incidents( http, api_base, headers, incidents_offset ) if incidents: upload_to_gcs_ndjson(bucket, prefix, 'incidents', incidents) print(f'Uploaded {len(incidents)} incidents to GCS') state['incidents_offset'] = new_incidents_offset # Fetch activities data (using time-based filtering with offset pagination) activities_last_time = state.get('activities_last_time') if not activities_last_time: activities_last_time = (datetime.now(timezone.utc) - timedelta(hours=24)).isoformat() activities_offset = state.get('activities_offset', 0) activities, new_activities_offset, newest_activity_time = fetch_cloudlock_activities( http, api_base, headers, activities_last_time, activities_offset ) if activities: upload_to_gcs_ndjson(bucket, prefix, 'activities', activities) print(f'Uploaded {len(activities)} activities to GCS') state['activities_offset'] = new_activities_offset if newest_activity_time: state['activities_last_time'] = newest_activity_time # Fetch entities data (using offset-based pagination) entities_offset = state.get('entities_offset', 0) entities, new_entities_offset = fetch_cloudlock_entities( http, api_base, headers, entities_offset ) if entities: upload_to_gcs_ndjson(bucket, prefix, 'entities', entities) print(f'Uploaded {len(entities)} entities to GCS') state['entities_offset'] = new_entities_offset # Update consolidated state state['updated_at'] = datetime.now(timezone.utc).isoformat() save_state(bucket, state_key, state) print('CloudLock data export completed successfully') except Exception as e: print(f'Error processing logs: {str(e)}') raise def make_api_request(http, url, headers, retries=3): """Make API request with exponential backoff retry logic.""" for attempt in range(retries): try: response = http.request('GET', url, headers=headers) if response.status == 200: return response elif response.status == 429: # Rate limit retry_after = int(response.headers.get('Retry-After', 60)) print(f'Rate limited, waiting {retry_after} seconds') time.sleep(retry_after) else: print(f'API request failed with status {response.status}: {response.data.decode("utf-8")}') except Exception as e: print(f'Request attempt {attempt + 1} failed: {str(e)}') if attempt < retries - 1: wait_time = 2 ** attempt time.sleep(wait_time) else: raise return None def fetch_cloudlock_incidents(http, api_base, headers, start_offset=0): """ Fetch incidents data from Cisco CloudLock API using offset-based pagination. Note: The CloudLock API does not support updated_after parameter. This function uses offset-based pagination. For production use, consider implementing time-based filtering using created_at or updated_at fields in the response data. """ url = f"{api_base}/api/v2/incidents" limit = 1000 offset = start_offset all_data = [] try: while True: # Build URL with parameters full_url = f"{url}?limit={limit}&offset={offset}" print(f"Fetching incidents with offset: {offset}") response = make_api_request(http, full_url, headers) if not response: break data = json.loads(response.data.decode('utf-8')) # CloudLock API returns items in 'items' array batch_data = data.get('items', []) if not batch_data: print("No more incidents to fetch") break all_data.extend(batch_data) # Check if we've reached the end total = data.get('total', 0) results = data.get('results', len(batch_data)) print(f"Fetched {results} incidents (total available: {total})") if results < limit or offset + results >= total: print("Reached end of incidents") break offset += limit print(f"Fetched {len(all_data)} total incidents") return all_data, offset except Exception as e: print(f"Error fetching incidents: {str(e)}") return [], start_offset def fetch_cloudlock_activities(http, api_base, headers, from_time, start_offset=0): """ Fetch activities data from Cisco CloudLock API using time-based filtering and offset pagination. """ url = f"{api_base}/api/v2/activities" limit = 1000 offset = start_offset all_data = [] newest_time = None try: while True: # Build URL with time filter and pagination full_url = f"{url}?limit={limit}&offset={offset}" print(f"Fetching activities with offset: {offset}") response = make_api_request(http, full_url, headers) if not response: break data = json.loads(response.data.decode('utf-8')) batch_data = data.get('items', []) if not batch_data: print("No more activities to fetch") break # Filter activities by time (client-side filtering since API may not support time parameters) filtered_batch = [] for item in batch_data: item_time = item.get('timestamp') or item.get('created_at') if item_time and item_time >= from_time: filtered_batch.append(item) if not newest_time or item_time > newest_time: newest_time = item_time all_data.extend(filtered_batch) results = data.get('results', len(batch_data)) total = data.get('total', 0) print(f"Fetched {results} activities, {len(filtered_batch)} after time filter (total available: {total})") if results < limit or offset + results >= total: print("Reached end of activities") break offset += limit print(f"Fetched {len(all_data)} total activities") return all_data, offset, newest_time except Exception as e: print(f"Error fetching activities: {str(e)}") return [], start_offset, None def fetch_cloudlock_entities(http, api_base, headers, start_offset=0): """ Fetch entities data from Cisco CloudLock API using offset-based pagination. Note: This endpoint requires the Entity Cache feature. If not enabled, use the incident entities endpoint as an alternative. """ url = f"{api_base}/api/v2/entities" limit = 1000 offset = start_offset all_data = [] try: while True: full_url = f"{url}?limit={limit}&offset={offset}" print(f"Fetching entities with offset: {offset}") response = make_api_request(http, full_url, headers) if not response: break data = json.loads(response.data.decode('utf-8')) batch_data = data.get('items', []) if not batch_data: print("No more entities to fetch") break all_data.extend(batch_data) results = data.get('results', len(batch_data)) total = data.get('total', 0) print(f"Fetched {results} entities (total available: {total})") if results < limit or offset + results >= total: print("Reached end of entities") break offset += limit print(f"Fetched {len(all_data)} total entities") return all_data, offset except Exception as e: print(f"Error fetching entities: {str(e)}") return [], start_offset def upload_to_gcs_ndjson(bucket, prefix, data_type, data): """Upload data to GCS bucket in NDJSON format (one JSON object per line).""" timestamp = datetime.now(timezone.utc).strftime('%Y/%m/%d/%H') filename = f"{prefix}{data_type}/{timestamp}/cloudlock_{data_type}_{int(datetime.now(timezone.utc).timestamp())}.jsonl" try: # Convert to NDJSON format ndjson_content = '\n'.join([json.dumps(item, separators=(',', ':')) for item in data]) blob = bucket.blob(filename) blob.upload_from_string( ndjson_content, content_type='application/x-ndjson' ) print(f"Successfully uploaded {filename} to GCS") except Exception as e: print(f"Error uploading to GCS: {str(e)}") raise def load_state(bucket, key): """Load state from GCS with separate tracking for each endpoint.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f'Warning: Could not load state: {str(e)}') print("No previous state found, starting fresh") return {} def save_state(bucket, key, state): """Save consolidated state to GCS.""" try: blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, indent=2), content_type='application/json' ) print("Updated state successfully") except Exception as e: print(f"Error updating state: {str(e)}") raise- Zweite Datei: requirements.txt::
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0
Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.
Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).
Cloud Scheduler-Job erstellen
Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.
- Rufen Sie in der GCP Console Cloud Scheduler auf.
- Klicken Sie auf Job erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
Einstellung Wert Name cloudlock-data-export-hourlyRegion Dieselbe Region wie für die Cloud Run-Funktion auswählen Frequenz 0 * * * *(jede Stunde, zur vollen Stunde)Zeitzone Zeitzone auswählen (UTC empfohlen) Zieltyp Pub/Sub Thema Wählen Sie das Thema aus ( cloudlock-data-export-trigger).Nachrichtentext {}(leeres JSON-Objekt)Klicken Sie auf Erstellen.
Optionen für die Häufigkeit des Zeitplans
Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:
Häufigkeit Cron-Ausdruck Anwendungsfall Alle 5 Minuten */5 * * * *Hohes Volumen, niedrige Latenz Alle 15 Minuten */15 * * * *Mittleres Suchvolumen Stündlich 0 * * * *Standard (empfohlen) Alle 6 Stunden 0 */6 * * *Geringes Volumen, Batchverarbeitung Täglich 0 0 * * *Erhebung von Verlaufsdaten
Scheduler-Job testen
- Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
- Klicken Sie auf Force run (Ausführung erzwingen), um die Ausführung manuell auszulösen.
- Warten Sie einige Sekunden und rufen Sie Cloud Run > Dienste > cloudlock-data-export > Logs auf.
- Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde.
- Prüfen Sie im GCS-Bucket, ob Logs geschrieben wurden.
Google SecOps-Dienstkonto abrufen
Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.
E-Mail-Adresse des Dienstkontos abrufen
- Rufen Sie die SIEM-Einstellungen > Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf Einzelnen Feed konfigurieren.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B.
Cisco CloudLock logs. - Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
- Wählen Sie Cisco CloudLock als Logtyp aus.
Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comKopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.
Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren
Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.
- Rufen Sie Cloud Storage > Buckets auf.
- Klicken Sie auf den Namen Ihres Buckets.
- Wechseln Sie zum Tab Berechtigungen.
- Klicken Sie auf Zugriff erlauben.
- Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
- Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
- Klicken Sie auf Speichern.
Feed in Google SecOps konfigurieren, um Cisco CloudLock-Logs aufzunehmen
- Rufen Sie die SIEM-Einstellungen > Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf Einzelnen Feed konfigurieren.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B.
Cisco CloudLock logs. - Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
- Wählen Sie Cisco CloudLock als Logtyp aus.
- Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:
gs://cisco-cloudlock-logs/cloudlock/Ersetzen Sie:
cisco-cloudlock-logs: Der Name Ihres GCS-Buckets.cloudlock/: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden (für den Stamm leer lassen).
Beispiele:
- Root-Bucket:
gs://cisco-cloudlock-logs/ - Mit Präfix:
gs://cisco-cloudlock-logs/cloudlock/ - Mit Unterordner:
gs://cisco-cloudlock-logs/cloudlock/incidents/
- Root-Bucket:
Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:
- Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
- Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.
Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
Asset-Namespace: Der Asset-Namespace.
Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| created_at | about.resource.attribute.labels.key | Der Wert des Felds „created_at“ wird dem Schlüssel „labels“ zugewiesen. |
| created_at | about.resource.attribute.labels.value | Der Wert des Felds „created_at“ wird dem Wert des Labels zugewiesen. |
| created_at | about.resource.attribute.creation_time | Das Feld „created_at“ wird als Zeitstempel geparst und zugeordnet. |
| entity.id | target.asset.product_object_id | Das Feld „entity.id“ wird umbenannt. |
| entity.ip | target.ip | Das Feld „entity.ip“ wird in das Ziel-IP-Feld zusammengeführt. |
| entity.mime_type | target.file.mime_type | Das Feld „entity.mime_type“ wird umbenannt, wenn „entity.origin_type“ den Wert „document“ hat. |
| entity.name | target.application | Das Feld „entity.name“ wird umbenannt, wenn „entity.origin_type“ den Wert „app“ hat. |
| entity.name | target.file.full_path | Das Feld „entity.name“ wird umbenannt, wenn „entity.origin_type“ den Wert „document“ hat. |
| entity.origin_id | target.resource.product_object_id | Das Feld „entity.origin_id“ wird umbenannt. |
| entity.origin_type | target.resource.resource_subtype | Das Feld „entity.origin_type“ wurde umbenannt. |
| entity.owner_email | target.user.email_addresses | Das Feld „entity.owner_email“ wird in das E‑Mail-Feld des Zielnutzers eingefügt, wenn es mit einem E‑Mail-Regex übereinstimmt. |
| entity.owner_email | target.user.user_display_name | Das Feld „entity.owner_email“ wird umbenannt, wenn es nicht mit einem regulären Ausdruck für E‑Mail-Adressen übereinstimmt. |
| entity.owner_name | target.user.user_display_name | Das Feld „entity.owner_name“ wird umbenannt, wenn „entity.owner_email“ mit einem E-Mail-Regulären Ausdruck übereinstimmt. |
| entity.vendor.name | target.platform_version | Das Feld „entity.vendor.name“ wurde umbenannt. |
| id | metadata.product_log_id | Das Feld „id“ wird umbenannt. |
| incident_status | metadata.product_event_type | Das Feld „incident_status“ wurde umbenannt. |
| metadata.event_timestamp | Der Wert ist fest auf „updated_at“ codiert. Der Wert wird aus dem Feld „updated_at“ abgeleitet. Das Feld „updated_at“ wird als Zeitstempel geparst und zugeordnet. | |
| security_result.detection_fields.key | Wird auf „true“ gesetzt, wenn „severity“ auf „ALERT“ und „incident_status“ auf „NEW“ festgelegt ist. In boolesche Werte umgewandelt. | |
| security_result.detection_fields.value | Wird auf „true“ gesetzt, wenn „severity“ auf „ALERT“ und „incident_status“ auf „NEW“ festgelegt ist. In boolesche Werte umgewandelt. | |
| metadata.event_type | Der Wert ist fest auf „GENERIC_EVENT“ codiert. | |
| metadata.product_name | Der Wert ist fest auf „CISCO_CLOUDLOCK_CASB“ codiert. | |
| metadata.vendor_name | Der Wert ist fest auf „CloudLock“ codiert. | |
| metadata.product_version | Der Wert ist fest auf „Cisco“ codiert. | |
| security_result.alert_state | Wird auf „ALERTING“ festgelegt, wenn „severity“ auf „ALERT“ und „incident_status“ nicht auf „RESOLVED“ oder „DISMISSED“ festgelegt ist. Auf „NOT_ALERTING“ festgelegt, wenn „severity“ auf „ALERT“ und „incident_status“ auf „RESOLVED“ oder „DISMISSED“ festgelegt ist. | |
| security_result.detection_fields.key | Abgeleitet aus dem Array „matches“, insbesondere aus dem Schlüssel jedes Match-Objekts. | |
| security_result.detection_fields.value | Abgeleitet aus dem Array „matches“, insbesondere aus dem Wert jedes übereinstimmenden Objekts. | |
| security_result.rule_id | Abgeleitet von „policy.id“. | |
| security_result.rule_name | Abgeleitet von „policy.name“. | |
| security_result.severity | Auf „INFORMATIONAL“ setzen, wenn der Schweregrad „INFO“ ist. Wird auf „CRITICAL“ festgelegt, wenn der Schweregrad „CRITICAL“ ist. Abgeleitet vom Schweregrad. | |
| security_result.summary | Der Wert wird auf „match count: “ (Anzahl der Übereinstimmungen:) gesetzt, gefolgt vom Wert von „match_count“. | |
| target.resource.resource_type | Auf „STORAGE_OBJECT“ festgelegt, wenn „entity.origin_type“ „document“ ist. | |
| target.url | Wird aus „entity.direct_url“ abgeleitet, wenn „entity.origin_type“ den Wert „document“ hat. | |
| policy.id | security_result.rule_id | Das Feld „policy.id“ wurde umbenannt. |
| policy.name | security_result.rule_name | Das Feld „policy.name“ wurde umbenannt. |
| die Ausprägung | security_result.severity_details | Das Feld „Schweregrad“ wird umbenannt. |
| updated_at | about.resource.attribute.labels.key | Der Wert des Felds „updated_at“ wird dem Schlüssel „labels“ zugewiesen. |
| updated_at | about.resource.attribute.labels.value | Der Wert des Felds „updated_at“ wird dem Wert des Labels zugewiesen. |
| updated_at | about.resource.attribute.last_update_time | Das Feld „updated_at“ wird als Zeitstempel geparst und zugeordnet. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten