Recopila registros del CASB de Cisco CloudLock
Se admite en los siguientes sistemas operativos:
Google SecOps
SIEM
En este documento, se explica cómo transferir registros del CASB de Cisco CloudLock a Google Security Operations con Google Cloud Storage .El analizador extrae campos de los registros JSON, los transforma y los asigna al Modelo de datos unificado (UDM). Maneja el análisis de fechas, convierte campos específicos en cadenas, asigna campos a entidades del UDM (metadatos, objetivo, resultado de seguridad, acerca de) y realiza iteraciones en las coincidencias para extraer campos de detección, y, finalmente, combina todos los datos extraídos en el campo @output.
Cisco CloudLock es un agente de seguridad para el acceso a la nube (CASB) nativo de la nube que proporciona visibilidad y control sobre las aplicaciones en la nube. Ayuda a las organizaciones a descubrir el shadow IT, aplicar políticas de prevención de pérdida de datos, detectar amenazas y mantener el cumplimiento en las aplicaciones SaaS.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Una instancia de Google SecOps
- Proyecto de GCP con la API de Cloud Storage habilitada
- Permisos para crear y administrar buckets de GCS
- Permisos para administrar políticas de IAM en buckets de GCS
- Permisos para crear servicios de Cloud Run, temas de Pub/Sub y trabajos de Cloud Scheduler
- Acceso privilegiado a la consola del administrador de Cisco CloudLock
Obtén los requisitos previos de la API de Cisco CloudLock
Para comenzar, comunícate con el equipo de asistencia de Cloudlock y obtén la URL de la API de Cloudlock. Para generar un token de acceso en la aplicación de Cloudlock, selecciona la pestaña Authentication & API en la página Settings y haz clic en Generate.
- Accede a la consola del administrador de Cisco CloudLock.
- Ve a Configuración > Autenticación y API.
- En API, haz clic en Generar para crear tu token de acceso.
- Copia y guarda los siguientes detalles en una ubicación segura:
- Token de acceso a la API
- URL base de la API (proporcionada por el equipo de asistencia de Cisco CloudLock en [email protected])
Crea un bucket de Google Cloud Storage
- Ve a la consola deGoogle Cloud .
- Selecciona tu proyecto o crea uno nuevo.
- En el menú de navegación, ve a Cloud Storage > Buckets.
- Haz clic en Crear bucket.
Proporciona los siguientes detalles de configuración:
Configuración Valor Asigna un nombre a tu bucket Ingresa un nombre global único (por ejemplo, cisco-cloudlock-logs).Tipo de ubicación Elige según tus necesidades (región, birregional, multirregional) Ubicación Selecciona la ubicación (por ejemplo, us-central1).Clase de almacenamiento Estándar (recomendado para los registros a los que se accede con frecuencia) Control de acceso Uniforme (recomendado) Herramientas de protección Opcional: Habilita el control de versiones de objetos o la política de retención Haz clic en Crear.
Crea una cuenta de servicio para la Cloud Run Function
La Cloud Run Function necesita una cuenta de servicio con permisos para escribir en el bucket de GCS.
Crear cuenta de servicio
- En GCP Console, ve a IAM y administración > Cuentas de servicio.
- Haz clic en Crear cuenta de servicio.
- Proporciona los siguientes detalles de configuración:
- Nombre de la cuenta de servicio: Ingresa
cloudlock-data-export-sa. - Descripción de la cuenta de servicio: Ingresa
Service account for Cloud Run function to collect Cisco CloudLock logs.
- Nombre de la cuenta de servicio: Ingresa
- Haz clic en Crear y continuar.
- En la sección Otorga a esta cuenta de servicio acceso al proyecto, haz lo siguiente:
- Haz clic en Selecciona un rol.
- Busca y selecciona Administrador de objetos de almacenamiento.
- Haz clic en + Agregar otra función.
- Busca y selecciona Invocador de Cloud Run.
- Haz clic en + Agregar otra función.
- Busca y selecciona Cloud Functions Invoker.
- Haz clic en Continuar.
- Haz clic en Listo.
Otorga permisos de IAM en el bucket de GCS
Otorga permisos de escritura a la cuenta de servicio en el bucket de GCS:
- Ve a Cloud Storage > Buckets.
- Haz clic en el nombre del bucket.
- Ve a la pestaña Permisos.
- Haz clic en Otorgar acceso.
- Proporciona los siguientes detalles de configuración:
- Agregar principales: Ingresa el correo electrónico de la cuenta de servicio (por ejemplo,
cloudlock-data-export-sa@PROJECT_ID.iam.gserviceaccount.com). - Asignar roles: Selecciona Administrador de objetos de Storage.
- Agregar principales: Ingresa el correo electrónico de la cuenta de servicio (por ejemplo,
- Haz clic en Guardar.
Crear tema de Pub/Sub
Crea un tema de Pub/Sub en el que Cloud Scheduler publicará y al que se suscribirá la función de Cloud Run.
- En GCP Console, ve a Pub/Sub > Temas.
- Haz clic en Crear un tema.
- Proporciona los siguientes detalles de configuración:
- ID del tema: Ingresa
cloudlock-data-export-trigger. - Deja el resto de la configuración con sus valores predeterminados.
- ID del tema: Ingresa
- Haz clic en Crear.
Crea una función de Cloud Run para recopilar registros
La función de Cloud Run se activará con mensajes de Pub/Sub de Cloud Scheduler para recuperar registros de la API de Cisco CloudLock y escribirlos en GCS.
- En GCP Console, ve a Cloud Run.
- Haz clic en Crear servicio.
- Selecciona Función (usa un editor intercalado para crear una función).
En la sección Configurar, proporciona los siguientes detalles de configuración:
Configuración Valor Nombre del servicio cloudlock-data-exportRegión Selecciona la región que coincida con tu bucket de GCS (por ejemplo, us-central1).Tiempo de ejecución Selecciona Python 3.12 o una versión posterior. En la sección Activador (opcional), haz lo siguiente:
- Haz clic en + Agregar activador.
- Selecciona Cloud Pub/Sub.
- En Selecciona un tema de Cloud Pub/Sub, elige el tema (
cloudlock-data-export-trigger). - Haz clic en Guardar.
En la sección Autenticación, haz lo siguiente:
- Selecciona Solicitar autenticación.
- Verifica Identity and Access Management (IAM).
Desplázate hasta Contenedores, redes y seguridad y expándelo.
Ve a la pestaña Seguridad:
- Cuenta de servicio: Selecciona la cuenta de servicio (
cloudlock-data-export-sa).
- Cuenta de servicio: Selecciona la cuenta de servicio (
Ve a la pestaña Contenedores:
- Haz clic en Variables y secretos.
Haz clic en + Agregar variable para cada variable de entorno:
Nombre de la variable Valor de ejemplo GCS_BUCKETcisco-cloudlock-logsGCS_PREFIXcloudlock/STATE_KEYcloudlock/state.jsonCLOUDLOCK_API_TOKENyour-api-tokenCLOUDLOCK_API_BASEhttps://api.cloudlock.com
En la pestaña Variables y Secrets, desplázate hacia abajo hasta Requests:
- Tiempo de espera de la solicitud: Ingresa
600segundos (10 minutos).
- Tiempo de espera de la solicitud: Ingresa
Ve a la pestaña Configuración en Contenedores:
- En la sección Recursos, haz lo siguiente:
- Memoria: Selecciona 512 MiB o más.
- CPU: Selecciona 1.
- Haz clic en Listo.
- En la sección Recursos, haz lo siguiente:
Desplázate hasta Entorno de ejecución:
- Selecciona Predeterminado (recomendado).
En la sección Ajuste de escala de revisión, haz lo siguiente:
- Cantidad mínima de instancias: Ingresa
0. - Cantidad máxima de instancias: Ingresa
100(o ajusta según la carga esperada).
- Cantidad mínima de instancias: Ingresa
Haz clic en Crear.
Espera a que se cree el servicio (de 1 a 2 minutos).
Después de crear el servicio, se abrirá automáticamente el editor de código intercalado.
Agregar el código de función
- Ingresa main en Punto de entrada de la función.
En el editor de código intercalado, crea dos archivos:
Primer archivo: main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone, timedelta import time # Initialize HTTP client http = urllib3.PoolManager() # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch logs from Cisco CloudLock API and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') prefix = os.environ.get('GCS_PREFIX', 'cloudlock/') state_key = os.environ.get('STATE_KEY', 'cloudlock/state.json') api_token = os.environ.get('CLOUDLOCK_API_TOKEN') api_base = os.environ.get('CLOUDLOCK_API_BASE') if not all([bucket_name, api_token, api_base]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(bucket_name) # Load state (last processed offset for each endpoint) state = load_state(bucket, state_key) print(f'Processing logs with state: {state}') # Create Authorization header headers = { 'Authorization': f'Bearer {api_token}', 'Content-Type': 'application/json' } # Fetch incidents data (using offset-based pagination) incidents_offset = state.get('incidents_offset', 0) incidents, new_incidents_offset = fetch_cloudlock_incidents( http, api_base, headers, incidents_offset ) if incidents: upload_to_gcs_ndjson(bucket, prefix, 'incidents', incidents) print(f'Uploaded {len(incidents)} incidents to GCS') state['incidents_offset'] = new_incidents_offset # Fetch activities data (using time-based filtering with offset pagination) activities_last_time = state.get('activities_last_time') if not activities_last_time: activities_last_time = (datetime.now(timezone.utc) - timedelta(hours=24)).isoformat() activities_offset = state.get('activities_offset', 0) activities, new_activities_offset, newest_activity_time = fetch_cloudlock_activities( http, api_base, headers, activities_last_time, activities_offset ) if activities: upload_to_gcs_ndjson(bucket, prefix, 'activities', activities) print(f'Uploaded {len(activities)} activities to GCS') state['activities_offset'] = new_activities_offset if newest_activity_time: state['activities_last_time'] = newest_activity_time # Fetch entities data (using offset-based pagination) entities_offset = state.get('entities_offset', 0) entities, new_entities_offset = fetch_cloudlock_entities( http, api_base, headers, entities_offset ) if entities: upload_to_gcs_ndjson(bucket, prefix, 'entities', entities) print(f'Uploaded {len(entities)} entities to GCS') state['entities_offset'] = new_entities_offset # Update consolidated state state['updated_at'] = datetime.now(timezone.utc).isoformat() save_state(bucket, state_key, state) print('CloudLock data export completed successfully') except Exception as e: print(f'Error processing logs: {str(e)}') raise def make_api_request(http, url, headers, retries=3): """Make API request with exponential backoff retry logic.""" for attempt in range(retries): try: response = http.request('GET', url, headers=headers) if response.status == 200: return response elif response.status == 429: # Rate limit retry_after = int(response.headers.get('Retry-After', 60)) print(f'Rate limited, waiting {retry_after} seconds') time.sleep(retry_after) else: print(f'API request failed with status {response.status}: {response.data.decode("utf-8")}') except Exception as e: print(f'Request attempt {attempt + 1} failed: {str(e)}') if attempt < retries - 1: wait_time = 2 ** attempt time.sleep(wait_time) else: raise return None def fetch_cloudlock_incidents(http, api_base, headers, start_offset=0): """ Fetch incidents data from Cisco CloudLock API using offset-based pagination. Note: The CloudLock API does not support updated_after parameter. This function uses offset-based pagination. For production use, consider implementing time-based filtering using created_at or updated_at fields in the response data. """ url = f"{api_base}/api/v2/incidents" limit = 1000 offset = start_offset all_data = [] try: while True: # Build URL with parameters full_url = f"{url}?limit={limit}&offset={offset}" print(f"Fetching incidents with offset: {offset}") response = make_api_request(http, full_url, headers) if not response: break data = json.loads(response.data.decode('utf-8')) # CloudLock API returns items in 'items' array batch_data = data.get('items', []) if not batch_data: print("No more incidents to fetch") break all_data.extend(batch_data) # Check if we've reached the end total = data.get('total', 0) results = data.get('results', len(batch_data)) print(f"Fetched {results} incidents (total available: {total})") if results < limit or offset + results >= total: print("Reached end of incidents") break offset += limit print(f"Fetched {len(all_data)} total incidents") return all_data, offset except Exception as e: print(f"Error fetching incidents: {str(e)}") return [], start_offset def fetch_cloudlock_activities(http, api_base, headers, from_time, start_offset=0): """ Fetch activities data from Cisco CloudLock API using time-based filtering and offset pagination. """ url = f"{api_base}/api/v2/activities" limit = 1000 offset = start_offset all_data = [] newest_time = None try: while True: # Build URL with time filter and pagination full_url = f"{url}?limit={limit}&offset={offset}" print(f"Fetching activities with offset: {offset}") response = make_api_request(http, full_url, headers) if not response: break data = json.loads(response.data.decode('utf-8')) batch_data = data.get('items', []) if not batch_data: print("No more activities to fetch") break # Filter activities by time (client-side filtering since API may not support time parameters) filtered_batch = [] for item in batch_data: item_time = item.get('timestamp') or item.get('created_at') if item_time and item_time >= from_time: filtered_batch.append(item) if not newest_time or item_time > newest_time: newest_time = item_time all_data.extend(filtered_batch) results = data.get('results', len(batch_data)) total = data.get('total', 0) print(f"Fetched {results} activities, {len(filtered_batch)} after time filter (total available: {total})") if results < limit or offset + results >= total: print("Reached end of activities") break offset += limit print(f"Fetched {len(all_data)} total activities") return all_data, offset, newest_time except Exception as e: print(f"Error fetching activities: {str(e)}") return [], start_offset, None def fetch_cloudlock_entities(http, api_base, headers, start_offset=0): """ Fetch entities data from Cisco CloudLock API using offset-based pagination. Note: This endpoint requires the Entity Cache feature. If not enabled, use the incident entities endpoint as an alternative. """ url = f"{api_base}/api/v2/entities" limit = 1000 offset = start_offset all_data = [] try: while True: full_url = f"{url}?limit={limit}&offset={offset}" print(f"Fetching entities with offset: {offset}") response = make_api_request(http, full_url, headers) if not response: break data = json.loads(response.data.decode('utf-8')) batch_data = data.get('items', []) if not batch_data: print("No more entities to fetch") break all_data.extend(batch_data) results = data.get('results', len(batch_data)) total = data.get('total', 0) print(f"Fetched {results} entities (total available: {total})") if results < limit or offset + results >= total: print("Reached end of entities") break offset += limit print(f"Fetched {len(all_data)} total entities") return all_data, offset except Exception as e: print(f"Error fetching entities: {str(e)}") return [], start_offset def upload_to_gcs_ndjson(bucket, prefix, data_type, data): """Upload data to GCS bucket in NDJSON format (one JSON object per line).""" timestamp = datetime.now(timezone.utc).strftime('%Y/%m/%d/%H') filename = f"{prefix}{data_type}/{timestamp}/cloudlock_{data_type}_{int(datetime.now(timezone.utc).timestamp())}.jsonl" try: # Convert to NDJSON format ndjson_content = '\n'.join([json.dumps(item, separators=(',', ':')) for item in data]) blob = bucket.blob(filename) blob.upload_from_string( ndjson_content, content_type='application/x-ndjson' ) print(f"Successfully uploaded {filename} to GCS") except Exception as e: print(f"Error uploading to GCS: {str(e)}") raise def load_state(bucket, key): """Load state from GCS with separate tracking for each endpoint.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f'Warning: Could not load state: {str(e)}') print("No previous state found, starting fresh") return {} def save_state(bucket, key, state): """Save consolidated state to GCS.""" try: blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, indent=2), content_type='application/json' ) print("Updated state successfully") except Exception as e: print(f"Error updating state: {str(e)}") raise- Segundo archivo: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0
Haz clic en Implementar para guardar y, luego, implementar la función.
Espera a que se complete la implementación (de 2 a 3 minutos).
Crea un trabajo de Cloud Scheduler
Cloud Scheduler publica mensajes en el tema de Pub/Sub a intervalos regulares, lo que activa la función de Cloud Run.
- En GCP Console, ve a Cloud Scheduler.
- Haz clic en Crear trabajo.
Proporciona los siguientes detalles de configuración:
Configuración Valor Nombre cloudlock-data-export-hourlyRegión Selecciona la misma región que la función de Cloud Run Frecuencia 0 * * * *(cada hora, en punto)Zona horaria Selecciona la zona horaria (se recomienda UTC) Tipo de orientación Pub/Sub Tema Selecciona el tema ( cloudlock-data-export-trigger).Cuerpo del mensaje {}(objeto JSON vacío)Haz clic en Crear.
Opciones de frecuencia de programación
Elige la frecuencia según los requisitos de latencia y volumen de registros:
Frecuencia Expresión cron Caso de uso Cada 5 minutos */5 * * * *Alto volumen y baja latencia Cada 15 minutos */15 * * * *Volumen medio Cada 1 hora 0 * * * *Estándar (opción recomendada) Cada 6 horas 0 */6 * * *Procesamiento por lotes y volumen bajo Diario 0 0 * * *Recopilación de datos históricos
Prueba el trabajo de Scheduler
- En la consola de Cloud Scheduler, busca tu trabajo.
- Haz clic en Forzar ejecución para activarlo de forma manual.
- Espera unos segundos y ve a Cloud Run > Servicios > cloudlock-data-export > Registros.
- Verifica que la función se haya ejecutado correctamente.
- Verifica el bucket de GCS para confirmar que se escribieron los registros.
Recupera la cuenta de servicio de Google SecOps
Las Operaciones de seguridad de Google usan una cuenta de servicio única para leer datos de tu bucket de GCS. Debes otorgar acceso a tu bucket a esta cuenta de servicio.
Obtén el correo electrónico de la cuenta de servicio
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Agregar feed nuevo.
- Haz clic en Configura un feed único.
- En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo,
Cisco CloudLock logs). - Selecciona Google Cloud Storage V2 como el Tipo de fuente.
- Selecciona Cisco CloudLock como el Tipo de registro.
Haz clic en Obtener cuenta de servicio. Se muestra un correo electrónico único de la cuenta de servicio, por ejemplo:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comCopia esta dirección de correo electrónico para usarla en el siguiente paso.
Otorga permisos de IAM a la cuenta de servicio de Google SecOps
La cuenta de servicio de Google SecOps necesita el rol de visualizador de objetos de almacenamiento en tu bucket de GCS.
- Ve a Cloud Storage > Buckets.
- Haz clic en el nombre del bucket.
- Ve a la pestaña Permisos.
- Haz clic en Otorgar acceso.
- Proporciona los siguientes detalles de configuración:
- Agregar principales: Pega el correo electrónico de la cuenta de servicio de Google SecOps.
- Asignar roles: Selecciona Visualizador de objetos de Storage.
- Haz clic en Guardar.
Configura un feed en Google SecOps para transferir registros de Cisco CloudLock
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Agregar feed nuevo.
- Haz clic en Configura un feed único.
- En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo,
Cisco CloudLock logs). - Selecciona Google Cloud Storage V2 como el Tipo de fuente.
- Selecciona Cisco CloudLock como el Tipo de registro.
- Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
URL del bucket de almacenamiento: Ingresa el URI del bucket de GCS con la ruta de acceso del prefijo:
gs://cisco-cloudlock-logs/cloudlock/Reemplaza lo siguiente:
cisco-cloudlock-logs: Es el nombre de tu bucket de GCS.cloudlock/: Es el prefijo o la ruta de carpeta opcionales en los que se almacenan los registros (déjalo vacío para la raíz).
Ejemplos:
- Bucket raíz:
gs://cisco-cloudlock-logs/ - Con prefijo:
gs://cisco-cloudlock-logs/cloudlock/ - Con subcarpeta:
gs://cisco-cloudlock-logs/cloudlock/incidents/
- Bucket raíz:
Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:
- Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
- Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.
Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.
Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
Espacio de nombres del recurso: Es el espacio de nombres del recurso.
Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| created_at | about.resource.attribute.labels.key | El valor del campo created_at se asigna a la clave de etiquetas. |
| created_at | about.resource.attribute.labels.value | El valor del campo created_at se asigna al valor de las etiquetas. |
| created_at | about.resource.attribute.creation_time | El campo created_at se analiza como una marca de tiempo y se asigna. |
| entity.id | target.asset.product_object_id | Se cambió el nombre del campo entity.id. |
| entity.ip | target.ip | El campo entity.ip se combina con el campo IP de destino. |
| entity.mime_type | target.file.mime_type | Se cambia el nombre del campo entity.mime_type cuando entity.origin_type es "document". |
| entity.name | target.application | El campo entity.name cambia de nombre cuando entity.origin_type es "app". |
| entity.name | target.file.full_path | El campo entity.name se cambia de nombre cuando entity.origin_type es "document". |
| entity.origin_id | target.resource.product_object_id | Se cambió el nombre del campo entity.origin_id. |
| entity.origin_type | target.resource.resource_subtype | Se cambió el nombre del campo entity.origin_type. |
| entity.owner_email | target.user.email_addresses | El campo entity.owner_email se combina con el campo de correo electrónico del usuario objetivo si coincide con una regex de correo electrónico. |
| entity.owner_email | target.user.user_display_name | Se cambia el nombre del campo entity.owner_email si no coincide con una regex de correo electrónico. |
| entity.owner_name | target.user.user_display_name | El campo entity.owner_name se cambia de nombre cuando entity.owner_email coincide con una regex de correo electrónico. |
| entity.vendor.name | target.platform_version | Se cambió el nombre del campo entity.vendor.name. |
| id | metadata.product_log_id | Se cambió el nombre del campo id. |
| incident_status | metadata.product_event_type | Se cambió el nombre del campo incident_status. |
| metadata.event_timestamp | El valor está codificado como "updated_at". El valor se deriva del campo updated_at. El campo updated_at se analiza como una marca de tiempo y se asigna. | |
| security_result.detection_fields.key | Se establece en "verdadero" si la gravedad es "ALERT" y el estado del incidente es "NEW". Se convirtió a booleano. | |
| security_result.detection_fields.value | Se establece en "verdadero" si la gravedad es "ALERT" y el estado del incidente es "NEW". Se convirtió a booleano. | |
| metadata.event_type | El valor está codificado como "GENERIC_EVENT". | |
| metadata.product_name | El valor está codificado como "CISCO_CLOUDLOCK_CASB". | |
| metadata.vendor_name | El valor está codificado como "CloudLock". | |
| metadata.product_version | El valor está codificado como "Cisco". | |
| security_result.alert_state | Se establece en "ALERTING" si la gravedad es "ALERT" y el estado del incidente no es "RESOLVED" ni "DISMISSED". Se establece en "NOT_ALERTING" si la gravedad es "ALERT" y el estado del incidente es "RESOLVED" o "DISMISSED". | |
| security_result.detection_fields.key | Se deriva del array de coincidencias, específicamente de la clave de cada objeto de coincidencia. | |
| security_result.detection_fields.value | Se deriva del array de coincidencias, específicamente del valor de cada objeto de coincidencia. | |
| security_result.rule_id | Se deriva de policy.id. | |
| security_result.rule_name | Se deriva de policy.name. | |
| security_result.severity | Se establece en "INFORMATIONAL" si la gravedad es "INFO". Se establece en "CRITICAL" si la gravedad es "CRITICAL". Se deriva de la gravedad. | |
| security_result.summary | El valor se establece en "match count: " concatenado con el valor de match_count. | |
| target.resource.resource_type | Se establece en "STORAGE_OBJECT" cuando entity.origin_type es "document". | |
| target.url | Se deriva de entity.direct_url cuando entity.origin_type es "document". | |
| policy.id | security_result.rule_id | Se cambió el nombre del campo policy.id. |
| policy.name | security_result.rule_name | Se cambió el nombre del campo policy.name. |
| gravedad, | security_result.severity_details | Se cambió el nombre del campo de gravedad. |
| updated_at | about.resource.attribute.labels.key | El valor del campo updated_at se asigna a la clave labels. |
| updated_at | about.resource.attribute.labels.value | El valor del campo updated_at se asigna al valor de las etiquetas. |
| updated_at | about.resource.attribute.last_update_time | El campo updated_at se analiza como una marca de tiempo y se asigna. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.