Citrix Analytics-Protokolle erfassen

In diesem Dokument wird beschrieben, wie Sie Citrix Analytics-Logs mit Google Cloud Storage in Google Security Operations aufnehmen. Citrix Analytics for Performance (Cloud Software Group) bietet aggregierte Leistungsdaten aus Citrix Virtual Apps and Desktops-Umgebungen. Sie können Sitzungs-, Computer- und Nutzerdaten über die OData API abrufen. Citrix Analytics for Security bietet Risiko-Insights und Datenquellenereignisse, die über die Kafka-basierte SIEM-Integration exportiert werden können.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Ein GCP-Projekt mit aktivierter Cloud Storage API
• Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
• Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
• Privilegierter Zugriff auf einen Citrix Analytics for Performance-Mandanten
• Citrix Cloud-API-Anmeldedaten (Client-ID, Clientschlüssel, Kunden-ID)

Citrix Analytics API-Anmeldedaten erfassen

Citrix Cloud API-Anmeldedaten abrufen

1. Melden Sie sich in der Citrix Cloud Console an.
2. Klicken Sie links oben auf dem Bildschirm auf das Menüsymbol.
3. Wählen Sie im Menü Identity and Access Management aus.
4. Wählen Sie den Tab API-Zugriff aus.
5. Klicken Sie auf Client erstellen.
6. Kopieren und speichern Sie die folgenden Details an einem sicheren Ort:
   • Client-ID
   • Client-Secret
   • Kunden-ID (in der Citrix Cloud-URL oder auf der IAM-Seite)

API-Basis-URL ermitteln

Die OData API-Basis-URL hängt von Ihrer Citrix Cloud-Region ab:

Region	API-Basis-URL
USA	https://api.cloud.com/casodata
Europäische Union	https://api.eu.cloud.com/casodata
Asien-Pazifik Süd	https://api.ap-s.cloud.com/casodata

Berechtigungen prüfen

So prüfen Sie, ob das Konto die erforderlichen Berechtigungen hat:

1. Melden Sie sich in Citrix Cloud an.
2. Rufen Sie Identitäts- und Zugriffsverwaltung> Administratoren auf.
3. Prüfen Sie, ob das Konto, mit dem API-Anmeldedaten erstellt wurden, Vollzugriff oder Benutzerdefinierter Zugriff mit aktivierten Berechtigungen für Citrix Analytics for Performance hat.
4. Wenn Sie die erforderlichen Berechtigungen nicht sehen, wenden Sie sich an Ihren Citrix Cloud-Administrator, um Zugriff zu erhalten.

API-Zugriff testen

• Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

  CITRIX_CUSTOMER_ID="your-customer-id"
  CITRIX_CLIENT_ID="your-client-id"
  CITRIX_CLIENT_SECRET="your-client-secret"
  
  # Get bearer token
  TOKEN=$(curl -s -X POST \
    "https://api.cloud.com/cctrustoauth2/${CITRIX_CUSTOMER_ID}/tokens/clients" \
    -H "Content-Type: application/x-www-form-urlencoded" \
    -d "grant_type=client_credentials&client_id=${CITRIX_CLIENT_ID}&client_secret=${CITRIX_CLIENT_SECRET}" \
    | python3 -c "import sys,json; print(json.load(sys.stdin)['access_token'])")
  
  # Test OData API access
  curl -v -H "Authorization: CwsAuth bearer=${TOKEN}" \
    -H "Citrix-CustomerId: ${CITRIX_CUSTOMER_ID}" \
    -H "Accept: application/json" \
    "https://api.cloud.com/casodata/sessions?\$top=1"
  

Google Cloud Storage-Bucket erstellen

1. Gehen Sie zur Google Cloud Console.
2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
4. Klicken Sie auf Bucket erstellen.

5. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. citrix-analytics-logs.
   Standorttyp	Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
   Standort	Wählen Sie den Speicherort aus, z. B. us-central1.
   Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
   Zugriffskontrolle	Einheitlich (empfohlen)
   Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

6. Klicken Sie auf Erstellen.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
2. Klicken Sie auf Dienstkonto erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Name des Dienstkontos: Geben Sie citrix-analytics-collector-sa ein.
   • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Citrix Analytics logs ein.
4. Klicken Sie auf Erstellen und fortfahren.
5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
   1. Klicken Sie auf Rolle auswählen.
   2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
   3. Klicken Sie auf + Weitere Rolle hinzufügen.
   4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
   5. Klicken Sie auf + Weitere Rolle hinzufügen.
   6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
6. Klicken Sie auf Weiter.
7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

• Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
• Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
• Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Prinzipale hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. citrix-analytics-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
2. Klicken Sie auf Thema erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Themen-ID: Geben Sie citrix-analytics-trigger ein.
   • Andere Einstellungen als Standardeinstellungen beibehalten
4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der Citrix Analytics OData API abzurufen und in GCS zu schreiben.

1. Rufen Sie in der GCP Console Cloud Run auf.
2. Klicken Sie auf Dienst erstellen.
3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Dienstname	citrix-analytics-collector
   Region	Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
   Laufzeit	Wählen Sie Python 3.12 oder höher aus.

5. Im Abschnitt Trigger (optional):

   1. Klicken Sie auf + Trigger hinzufügen.
   2. Wählen Sie Cloud Pub/Sub aus.
   3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Thema citrix-analytics-trigger aus.
   4. Klicken Sie auf Speichern.

6. Im Abschnitt Authentifizierung:

   1. Wählen Sie Authentifizierung erforderlich aus.
   2. Identitäts- und Zugriffsverwaltung

7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

8. Rufen Sie den Tab Sicherheit auf:

   • Dienstkonto: Wählen Sie das Dienstkonto citrix-analytics-collector-sa aus.

9. Rufen Sie den Tab Container auf:

   1. Klicken Sie auf Variablen und Secrets.
   2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

   Variablenname	Beispielwert	Beschreibung
   GCS_BUCKET	citrix-analytics-logs	Name des GCS-Buckets
   GCS_PREFIX	citrix_analytics	Präfix für Protokolldateien
   STATE_KEY	citrix_analytics/state.json	Statusdateipfad
   CITRIX_CLIENT_ID	your-client-id	Citrix Cloud-Client-ID
   CITRIX_CLIENT_SECRET	your-client-secret	Citrix Cloud-Clientschlüssel
   CITRIX_CUSTOMER_ID	your-customer-id	Citrix Cloud-Kunden-ID
   API_BASE	https://api.cloud.com/casodata	OData API-Basis-URL
   ENTITIES	sessions,machines,users	Zu erfassende Entitätstypen
   TOP_N	1000	Einträge pro Seite
   LOOKBACK_MINUTES	75	Erster Rückschauzeitraum

10. Scrollen Sie im Bereich Variablen und Secrets nach unten zu Anfragen:

    • Zeitüberschreitung bei Anfrage: Geben Sie 600 Sekunden (10 Minuten) ein.

11. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

13. Klicken Sie auf Erstellen.

14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

1. Geben Sie main in das Feld Einstiegspunkt ein.

2. Erstellen Sie im Inline-Code-Editor zwei Dateien:

   • main.py:

     import functions_framework
     from google.cloud import storage
     import json
     import os
     import urllib3
     from datetime import datetime, timedelta, timezone
     import urllib.parse
     import time
     
     # Initialize HTTP client with timeouts
     http = urllib3.PoolManager(
         timeout=urllib3.Timeout(connect=5.0, read=30.0),
         retries=False,
     )
     
     # Initialize Storage client
     storage_client = storage.Client()
     
     CITRIX_TOKEN_URL_TMPL = "https://api.cloud.com/cctrustoauth2/{customerid}/tokens/clients"
     DEFAULT_API_BASE = "https://api.cloud.com/casodata"
     
     @functions_framework.cloud_event
     def main(cloud_event):
         """
         Cloud Run function triggered by Pub/Sub to fetch logs
         from Citrix Analytics OData API and write to GCS.
     
         Args:
             cloud_event: CloudEvent object containing Pub/Sub message
         """
     
         # Get environment variables
         bucket_name = os.environ.get('GCS_BUCKET')
         prefix = os.environ.get('GCS_PREFIX', 'citrix_analytics').strip('/')
         state_key = os.environ.get('STATE_KEY') or f"{prefix}/state.json"
         customer_id = os.environ.get('CITRIX_CUSTOMER_ID')
         client_id = os.environ.get('CITRIX_CLIENT_ID')
         client_secret = os.environ.get('CITRIX_CLIENT_SECRET')
         api_base = os.environ.get('API_BASE', DEFAULT_API_BASE)
         entities = [e.strip() for e in os.environ.get('ENTITIES', 'sessions,machines,users').split(',') if e.strip()]
         top_n = int(os.environ.get('TOP_N', '1000'))
         lookback_minutes = int(os.environ.get('LOOKBACK_MINUTES', '75'))
     
         if not all([bucket_name, customer_id, client_id, client_secret]):
             print('Error: Missing required environment variables')
             return
     
         try:
             # Get GCS bucket
             bucket = storage_client.bucket(bucket_name)
     
             # Determine target hour to collect
             now = datetime.now(timezone.utc)
             fallback_target = (now - timedelta(minutes=lookback_minutes)).replace(minute=0, second=0, microsecond=0)
     
             # Load state (last processed timestamp)
             state = load_state(bucket, state_key)
             last_processed_str = state.get('last_hour_utc')
     
             if last_processed_str:
                 last_processed = datetime.fromisoformat(last_processed_str.replace('Z', '+00:00')).replace(tzinfo=None)
                 target_hour = last_processed + timedelta(hours=1)
             else:
                 target_hour = fallback_target
     
             print(f'Processing logs for hour: {target_hour.isoformat()}Z')
     
             # Get authentication token
             token = get_citrix_token(customer_id, client_id, client_secret)
             headers = {
                 'Authorization': f'CwsAuth bearer={token}',
                 'Citrix-CustomerId': customer_id,
                 'Accept': 'application/json',
                 'Content-Type': 'application/json',
             }
     
             total_records = 0
     
             # Process each entity type
             for entity in entities:
                 records = []
                 for row in fetch_odata_entity(entity, target_hour, top_n, headers, api_base):
                     enriched_record = {
                         'citrix_entity': entity,
                         'citrix_hour_utc': target_hour.isoformat() + 'Z',
                         'collection_timestamp': datetime.now(timezone.utc).isoformat() + 'Z',
                         'raw': row
                     }
                     records.append(enriched_record)
     
                     # Write in batches to avoid memory issues
                     if len(records) >= 1000:
                         blob_name = f"{prefix}/{entity}/year={target_hour.year:04d}/month={target_hour.month:02d}/day={target_hour.day:02d}/hour={target_hour.hour:02d}/part-{datetime.now(timezone.utc).strftime('%Y%m%d%H%M%S%f')}.ndjson"
                         write_ndjson_to_gcs(bucket, blob_name, records)
                         total_records += len(records)
                         records = []
     
                 # Write remaining records
                 if records:
                     blob_name = f"{prefix}/{entity}/year={target_hour.year:04d}/month={target_hour.month:02d}/day={target_hour.day:02d}/hour={target_hour.hour:02d}/part-{datetime.now(timezone.utc).strftime('%Y%m%d%H%M%S%f')}.ndjson"
                     write_ndjson_to_gcs(bucket, blob_name, records)
                     total_records += len(records)
     
             # Update state file
             save_state(bucket, state_key, {'last_hour_utc': target_hour.isoformat() + 'Z'})
     
             print(f'Successfully processed {total_records} records for hour {target_hour.isoformat()}Z')
     
         except Exception as e:
             print(f'Error processing logs: {str(e)}')
             raise
     
     def get_citrix_token(customer_id, client_id, client_secret):
         """Get Citrix Cloud authentication token."""
         url = CITRIX_TOKEN_URL_TMPL.format(customerid=customer_id)
         payload = {
             'grant_type': 'client_credentials',
             'client_id': client_id,
             'client_secret': client_secret,
         }
         data = urllib.parse.urlencode(payload).encode('utf-8')
     
         response = http.request(
             'POST',
             url,
             body=data,
             headers={
                 'Accept': 'application/json',
                 'Content-Type': 'application/x-www-form-urlencoded',
             }
         )
     
         if response.status != 200:
             print(f'Token request failed with status {response.status}')
             print(f'Response: {response.data.decode("utf-8")}')
             raise Exception(f'Failed to get Citrix token: HTTP {response.status}')
     
         token_response = json.loads(response.data.decode('utf-8'))
         return token_response['access_token']
     
     def fetch_odata_entity(entity, when_utc, top, headers, api_base):
         """Fetch data from Citrix Analytics OData API with pagination and rate limiting."""
         year = when_utc.year
         month = when_utc.month
         day = when_utc.day
         hour = when_utc.hour
     
         base_url = f"{api_base.rstrip('/')}/{entity}?year={year:04d}&month={month:02d}&day={day:02d}&hour={hour:02d}"
         skip = 0
         backoff = 1.0
     
         while True:
             url = f"{base_url}&$top={top}&$skip={skip}"
     
             response = http.request('GET', url, headers=headers)
     
             # Handle rate limiting with exponential backoff
             if response.status == 429:
                 retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                 print(f'Rate limited (429). Retrying after {retry_after}s...')
                 time.sleep(retry_after)
                 backoff = min(backoff * 2, 30.0)
                 continue
     
             backoff = 1.0
     
             if response.status != 200:
                 print(f'HTTP Error: {response.status}')
                 response_text = response.data.decode('utf-8')
                 print(f'Response body: {response_text}')
                 return
     
             data = json.loads(response.data.decode('utf-8'))
             items = data.get('value', [])
     
             if not items:
                 break
     
             for item in items:
                 yield item
     
             if len(items) < top:
                 break
     
             skip += top
     
     def load_state(bucket, key):
         """Load state from GCS."""
         try:
             blob = bucket.blob(key)
             if blob.exists():
                 state_data = blob.download_as_text()
                 return json.loads(state_data)
         except Exception as e:
             print(f'Warning: Could not load state: {str(e)}')
         return {}
     
     def save_state(bucket, key, state):
         """Save state to GCS."""
         try:
             blob = bucket.blob(key)
             blob.upload_from_string(
                 json.dumps(state, separators=(',', ':')),
                 content_type='application/json'
             )
         except Exception as e:
             print(f'Warning: Could not save state: {str(e)}')
     
     def write_ndjson_to_gcs(bucket, key, records):
         """Write records as NDJSON to GCS."""
         body_lines = []
         for record in records:
             json_line = json.dumps(record, separators=(',', ':'), ensure_ascii=False)
             body_lines.append(json_line)
     
         body = ('\n'.join(body_lines) + '\n').encode('utf-8')
     
         blob = bucket.blob(key)
         blob.upload_from_string(body, content_type='application/x-ndjson')
     

   • requirements.txt:

     functions-framework==3.*
     google-cloud-storage==2.*
     urllib3>=2.0.0
     

3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2 bis 3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

1. Rufen Sie in der GCP Console Cloud Scheduler auf.
2. Klicken Sie auf Job erstellen.

3. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Name	citrix-analytics-collector-hourly
   Region	Dieselbe Region wie die Cloud Run-Funktion auswählen
   Frequenz	0 * * * * (jede Stunde, zur vollen Stunde)
   Zeitzone	Zeitzone auswählen (UTC empfohlen)
   Zieltyp	Pub/Sub
   Thema	Wählen Sie das Thema citrix-analytics-trigger aus.
   Inhalt der Nachricht	{} (leeres JSON-Objekt)

4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

Häufigkeit	Cron-Ausdruck	Anwendungsfall
Stündlich	0 * * * *	Standard (empfohlen)
Alle zwei Stunden	0 */2 * * *	Lautstärke verringern
Alle 6 Stunden	0 */6 * * *	Geringes Volumen, Batchverarbeitung

Integration testen

1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
3. Warten Sie einige Sekunden.
4. Rufen Sie Cloud Run > Dienste auf.
5. Klicken Sie auf den Funktionsnamen citrix-analytics-collector.
6. Klicken Sie auf den Tab Logs.

7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Darauf sollten Sie achten:

   Processing logs for hour: YYYY-MM-DDTHH:00:00Z
   Successfully processed X records for hour YYYY-MM-DDTHH:00:00Z
   

8. Rufen Sie Cloud Storage > Buckets auf.

9. Klicken Sie auf den Namen Ihres Buckets.

10. Rufen Sie den Präfixordner citrix_analytics/ auf.

11. Prüfen Sie, ob neue .ndjson-Dateien mit dem aktuellen Zeitstempel erstellt wurden.

Wenn Sie Fehler in den Logs sehen:

• HTTP 401: API-Anmeldedaten in Umgebungsvariablen prüfen
• HTTP 403: Prüfen Sie, ob das Konto die erforderlichen Berechtigungen in Citrix Cloud hat.
• HTTP 429: Ratenbegrenzung – Funktion wird automatisch mit Backoff wiederholt
• Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.

Feed in Google SecOps konfigurieren, um Citrix Analytics-Protokolle aufzunehmen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf Einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Citrix Analytics logs.
5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
6. Wählen Sie Citrix Analytics als Logtyp aus.

7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Kopieren Sie diese E-Mail-Adresse für den nächsten Schritt.

9. Klicken Sie auf Weiter.

10. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://citrix-analytics-logs/citrix_analytics/
      

      • Ersetzen Sie:
        • citrix-analytics-logs: Der Name Ihres GCS-Buckets.
        • citrix_analytics: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden (für den Stamm leer lassen).

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus:

      • Nie: Es werden niemals Dateien nach Übertragungen gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Löscht Dateien nach der erfolgreichen Übertragung.
      • Übertragene Dateien und leere Verzeichnisse löschen: Dateien und leere Verzeichnisse werden nach der erfolgreichen Übertragung gelöscht.

    • Höchstalter für Dateien: Dateien einschließen, die in den letzten Tagen geändert wurden (Standard: 180 Tage)

    • Asset-Namespace: Der Asset-Namespace

    • Labels für Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll

11. Klicken Sie auf Weiter.

12. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

6. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
occurrence_event_type	extensions.auth.type	Zugeordnet: Session.Logon → AUTHTYPE_UNSPECIFIED, Session.End → AUTHTYPE_UNSPECIFIED
server_name	intermediary.asset.hostname	Direkt zugeordnet
server_name	intermediary.hostname	Direkt zugeordnet
event_type	metadata.description	Direkt zugeordnet
timestamp	metadata.event_timestamp	Geparst als ISO8601
udm_event_type	metadata.event_type	Zugeordnet: "USER_LOGIN", "USER_LOGOUT" → GENERIC_EVENT
tenant_id	metadata.product_deployment_id	Direkt zugeordnet
occurrence_event_type	metadata.product_event_type	Direkt zugeordnet
event_id	metadata.product_log_id	Direkt zugeordnet
product	metadata.product_name	Direkt zugeordnet
product_version	metadata.product_version	Direkt zugeordnet
ui_link	metadata.url_back_to_product	Direkt zugeordnet
session_key	network.session_id	Direkt zugeordnet
domain	principal.administrative_domain	Direkt zugeordnet
device_id	principal.asset.hostname	Direkt zugeordnet
client_ip	principal.asset.ip	Zusammengeführt
vulnerability	principal.asset.vulnerabilities	Zusammengeführt
device_id	principal.hostname	Direkt zugeordnet
client_ip	principal.ip	Zusammengeführt
os_name	principal.platform	Zugeordnete Werte (insgesamt 6, z.B. (?i)windows → WINDOWS, (?i)windows → MAC, (?i)windows...)
os_extra_info	principal.platform_patch_level	Direkt zugeordnet
os_version	principal.platform_version	Direkt zugeordnet
entity_id	principal.user.email_addresses	Zugeordnet: ^.+@.+$ → entity_id
entity_type	principal.user.email_addresses	Zugeordnet: user → entity_id
session_user_name	principal.user.user_display_name	Direkt zugeordnet
entity_id	principal.user.userid	Direkt zugeordnet
session_user_name	principal.user.userid	Direkt zugeordnet
alert_message	security_result.action_details	Direkt zugeordnet
analytic	security_result.analytics_metadata	Zusammengeführt
category	security_result.category	Zusammengeführt
indicator_category	security_result.category	Zugeordnet: Data exfiltration → category
indicator_name	security_result.description	Direkt zugeordnet
label	security_result.detection_fields	Zusammengeführt
label	security_result.outcomes	Zusammengeführt
severity	security_result.severity	Direkt zugeordnet
app_name	target.application	Direkt zugeordnet
app_name	target.process.file.names	Zusammengeführt
printer_name	target.resource.name	Direkt zugeordnet
entity_id	target.user.email_addresses	Zugeordnet: ^.+@.+$ → entity_id
entity_type	target.user.email_addresses	Zugeordnet: user → entity_id
session_user_name	target.user.user_display_name	Direkt zugeordnet
entity_id	target.user.userid	Direkt zugeordnet
session_user_name	target.user.userid	Direkt zugeordnet
–	extensions.auth.type	Konstante: AUTHTYPE_UNSPECIFIED
–	metadata.event_type	Konstante: GENERIC_EVENT
–	metadata.vendor_name	Konstante: CITRIX_ANALYTICS
–	principal.platform	Konstante: WINDOWS
–	security_result.confidence_score	Konstante: risk_probability
–	security_result.risk_score	Konstante: cur_riskscore

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten