Collecter les journaux Citrix Analytics

Ce document explique comment ingérer des journaux Citrix Analytics dans Google Security Operations à l'aide de Google Cloud Storage. Citrix Analytics for Performance (Cloud Software Group) fournit des données sur les performances agrégées à partir des environnements Citrix Virtual Apps and Desktops. Vous pouvez ainsi récupérer des données de session, de machine et des informations sur l'utilisateur via l'API OData. Citrix Analytics for Security fournit des insights sur les risques et des événements de source de données qui peuvent être exportés via l'intégration SIEM basée sur Kafka.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

• Une instance Google SecOps
• Un projet GCP avec l'API Cloud Storage activée
• Autorisations pour créer et gérer des buckets GCS
• Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
• Accès privilégié à un locataire Citrix Analytics for Performance
• Identifiants de l'API Citrix Cloud (ID client, code secret client, ID client)

Collecter les identifiants de l'API Citrix Analytics

Obtenir les identifiants de l'API Citrix Cloud

1. Connectez-vous à la console Citrix Cloud.
2. Cliquez sur l'icône de menu en haut à gauche de l'écran.
3. Sélectionnez Identity and Access Management dans le menu.
4. Sélectionnez l'onglet Accès API.
5. Cliquez sur Créer un client.
6. Copiez et enregistrez les informations suivantes dans un emplacement sécurisé :
   • ID client
   • Code secret du client
   • ID client (situé dans l'URL Citrix Cloud ou sur la page IAM)

Déterminer l'URL de base de l'API

L'URL de base de l'API OData dépend de votre région Citrix Cloud :

Région	URL de base de l'API
États-Unis	https://api.cloud.com/casodata
Union européenne	https://api.eu.cloud.com/casodata
Asie-Pacifique Sud	https://api.ap-s.cloud.com/casodata

Vérifier les autorisations

Pour vérifier que le compte dispose des autorisations requises :

1. Connectez-vous à Citrix Cloud.
2. Accédez à Identity and Access Management > Administrateurs.
3. Vérifiez que le compte utilisé pour créer les identifiants API dispose d'un accès complet ou d'un accès personnalisé avec les autorisations Citrix Analytics for Performance activées.
4. Si vous ne voyez pas les autorisations requises, contactez votre administrateur Citrix Cloud pour obtenir l'accès.

Tester l'accès à l'API

• Testez vos identifiants avant de procéder à l'intégration :

  CITRIX_CUSTOMER_ID="your-customer-id"
  CITRIX_CLIENT_ID="your-client-id"
  CITRIX_CLIENT_SECRET="your-client-secret"
  
  # Get bearer token
  TOKEN=$(curl -s -X POST \
    "https://api.cloud.com/cctrustoauth2/${CITRIX_CUSTOMER_ID}/tokens/clients" \
    -H "Content-Type: application/x-www-form-urlencoded" \
    -d "grant_type=client_credentials&client_id=${CITRIX_CLIENT_ID}&client_secret=${CITRIX_CLIENT_SECRET}" \
    | python3 -c "import sys,json; print(json.load(sys.stdin)['access_token'])")
  
  # Test OData API access
  curl -v -H "Authorization: CwsAuth bearer=${TOKEN}" \
    -H "Citrix-CustomerId: ${CITRIX_CUSTOMER_ID}" \
    -H "Accept: application/json" \
    "https://api.cloud.com/casodata/sessions?\$top=1"
  

Créer un bucket Google Cloud Storage

1. Accédez à Google Cloud Console.
2. Sélectionnez votre projet ou créez-en un.
3. Dans le menu de navigation, accédez à Cloud Storage> Buckets.
4. Cliquez sur Créer un bucket.

5. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nommer votre bucket	Saisissez un nom unique (par exemple, citrix-analytics-logs).
   Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
   Emplacement	Sélectionnez l'emplacement (par exemple, us-central1).
   Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
   Access control (Contrôle des accès)	Uniforme (recommandé)
   Outils de protection	Facultatif : Activer la gestion des versions des objets ou la règle de conservation

6. Cliquez sur Créer.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
2. Cliquez sur Créer un compte de service.
3. Fournissez les informations de configuration suivantes :
   • Nom du compte de service : saisissez citrix-analytics-collector-sa.
   • Description du compte de service : saisissez Service account for Cloud Run function to collect Citrix Analytics logs.
4. Cliquez sur Créer et continuer.
5. Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
   1. Cliquez sur Sélectionner un rôle.
   2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
   3. Cliquez sur + Ajouter un autre rôle.
   4. Recherchez et sélectionnez Demandeur Cloud Run.
   5. Cliquez sur + Ajouter un autre rôle.
   6. Recherchez et sélectionnez Demandeur Cloud Functions.
6. Cliquez sur Continuer.
7. Cliquez sur OK.

Ces rôles sont requis pour :

• Administrateur des objets Storage : écrire des journaux dans un bucket GCS et gérer les fichiers d'état
• Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
• Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom de votre bucket.
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, citrix-analytics-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

1. Dans la console GCP, accédez à Pub/Sub > Sujets.
2. Cliquez sur Créer un sujet.
3. Fournissez les informations de configuration suivantes :
   • ID du sujet : saisissez citrix-analytics-trigger.
   • Conservez les valeurs par défaut des autres paramètres.
4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run sera déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API OData Citrix Analytics et les écrire dans GCS.

1. Dans la console GCP, accédez à Cloud Run.
2. Cliquez sur Créer un service.
3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

4. Dans la section Configurer, fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom du service	citrix-analytics-collector
   Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
   Durée d'exécution	Sélectionnez Python 3.12 ou version ultérieure.

5. Dans la section Déclencheur (facultatif) :

   1. Cliquez sur + Ajouter un déclencheur.
   2. Sélectionnez Cloud Pub/Sub.
   3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet citrix-analytics-trigger.
   4. Cliquez sur Enregistrer.

6. Dans la section Authentification :

   1. Sélectionnez Exiger l'authentification.
   2. Consultez Identity and Access Management (IAM).

7. Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.

8. Accédez à l'onglet Sécurité :

   • Compte de service : sélectionnez le compte de service citrix-analytics-collector-sa.

9. Accédez à l'onglet Conteneurs :

   1. Cliquez sur Variables et secrets.
   2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

   Nom de la variable	Exemple de valeur	Description
   GCS_BUCKET	citrix-analytics-logs	Nom du bucket GCS
   GCS_PREFIX	citrix_analytics	Préfixe des fichiers journaux
   STATE_KEY	citrix_analytics/state.json	Chemin d'accès au fichier d'état
   CITRIX_CLIENT_ID	your-client-id	ID client Citrix Cloud
   CITRIX_CLIENT_SECRET	your-client-secret	Code secret du client Citrix Cloud
   CITRIX_CUSTOMER_ID	your-customer-id	ID client Citrix Cloud
   API_BASE	https://api.cloud.com/casodata	URL de base de l'API OData
   ENTITIES	sessions,machines,users	Types d'entités à collecter
   TOP_N	1000	Enregistrements par page
   LOOKBACK_MINUTES	75	Période d'analyse initiale

10. Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :

    • Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).

11. Accédez à l'onglet Paramètres :

    • Dans la section Ressources :
      • Mémoire : sélectionnez 512 Mio ou plus.
      • CPU : sélectionnez 1.

12. Dans la section Scaling de révision :

    • Nombre minimal d'instances : saisissez 0.
    • Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).

13. Cliquez sur Créer.

14. Attendez que le service soit créé (1 à 2 minutes).

15. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

1. Saisissez main dans le champ Point d'entrée.

2. Dans l'éditeur de code intégré, créez deux fichiers :

   • main.py:

     import functions_framework
     from google.cloud import storage
     import json
     import os
     import urllib3
     from datetime import datetime, timedelta, timezone
     import urllib.parse
     import time
     
     # Initialize HTTP client with timeouts
     http = urllib3.PoolManager(
         timeout=urllib3.Timeout(connect=5.0, read=30.0),
         retries=False,
     )
     
     # Initialize Storage client
     storage_client = storage.Client()
     
     CITRIX_TOKEN_URL_TMPL = "https://api.cloud.com/cctrustoauth2/{customerid}/tokens/clients"
     DEFAULT_API_BASE = "https://api.cloud.com/casodata"
     
     @functions_framework.cloud_event
     def main(cloud_event):
         """
         Cloud Run function triggered by Pub/Sub to fetch logs
         from Citrix Analytics OData API and write to GCS.
     
         Args:
             cloud_event: CloudEvent object containing Pub/Sub message
         """
     
         # Get environment variables
         bucket_name = os.environ.get('GCS_BUCKET')
         prefix = os.environ.get('GCS_PREFIX', 'citrix_analytics').strip('/')
         state_key = os.environ.get('STATE_KEY') or f"{prefix}/state.json"
         customer_id = os.environ.get('CITRIX_CUSTOMER_ID')
         client_id = os.environ.get('CITRIX_CLIENT_ID')
         client_secret = os.environ.get('CITRIX_CLIENT_SECRET')
         api_base = os.environ.get('API_BASE', DEFAULT_API_BASE)
         entities = [e.strip() for e in os.environ.get('ENTITIES', 'sessions,machines,users').split(',') if e.strip()]
         top_n = int(os.environ.get('TOP_N', '1000'))
         lookback_minutes = int(os.environ.get('LOOKBACK_MINUTES', '75'))
     
         if not all([bucket_name, customer_id, client_id, client_secret]):
             print('Error: Missing required environment variables')
             return
     
         try:
             # Get GCS bucket
             bucket = storage_client.bucket(bucket_name)
     
             # Determine target hour to collect
             now = datetime.now(timezone.utc)
             fallback_target = (now - timedelta(minutes=lookback_minutes)).replace(minute=0, second=0, microsecond=0)
     
             # Load state (last processed timestamp)
             state = load_state(bucket, state_key)
             last_processed_str = state.get('last_hour_utc')
     
             if last_processed_str:
                 last_processed = datetime.fromisoformat(last_processed_str.replace('Z', '+00:00')).replace(tzinfo=None)
                 target_hour = last_processed + timedelta(hours=1)
             else:
                 target_hour = fallback_target
     
             print(f'Processing logs for hour: {target_hour.isoformat()}Z')
     
             # Get authentication token
             token = get_citrix_token(customer_id, client_id, client_secret)
             headers = {
                 'Authorization': f'CwsAuth bearer={token}',
                 'Citrix-CustomerId': customer_id,
                 'Accept': 'application/json',
                 'Content-Type': 'application/json',
             }
     
             total_records = 0
     
             # Process each entity type
             for entity in entities:
                 records = []
                 for row in fetch_odata_entity(entity, target_hour, top_n, headers, api_base):
                     enriched_record = {
                         'citrix_entity': entity,
                         'citrix_hour_utc': target_hour.isoformat() + 'Z',
                         'collection_timestamp': datetime.now(timezone.utc).isoformat() + 'Z',
                         'raw': row
                     }
                     records.append(enriched_record)
     
                     # Write in batches to avoid memory issues
                     if len(records) >= 1000:
                         blob_name = f"{prefix}/{entity}/year={target_hour.year:04d}/month={target_hour.month:02d}/day={target_hour.day:02d}/hour={target_hour.hour:02d}/part-{datetime.now(timezone.utc).strftime('%Y%m%d%H%M%S%f')}.ndjson"
                         write_ndjson_to_gcs(bucket, blob_name, records)
                         total_records += len(records)
                         records = []
     
                 # Write remaining records
                 if records:
                     blob_name = f"{prefix}/{entity}/year={target_hour.year:04d}/month={target_hour.month:02d}/day={target_hour.day:02d}/hour={target_hour.hour:02d}/part-{datetime.now(timezone.utc).strftime('%Y%m%d%H%M%S%f')}.ndjson"
                     write_ndjson_to_gcs(bucket, blob_name, records)
                     total_records += len(records)
     
             # Update state file
             save_state(bucket, state_key, {'last_hour_utc': target_hour.isoformat() + 'Z'})
     
             print(f'Successfully processed {total_records} records for hour {target_hour.isoformat()}Z')
     
         except Exception as e:
             print(f'Error processing logs: {str(e)}')
             raise
     
     def get_citrix_token(customer_id, client_id, client_secret):
         """Get Citrix Cloud authentication token."""
         url = CITRIX_TOKEN_URL_TMPL.format(customerid=customer_id)
         payload = {
             'grant_type': 'client_credentials',
             'client_id': client_id,
             'client_secret': client_secret,
         }
         data = urllib.parse.urlencode(payload).encode('utf-8')
     
         response = http.request(
             'POST',
             url,
             body=data,
             headers={
                 'Accept': 'application/json',
                 'Content-Type': 'application/x-www-form-urlencoded',
             }
         )
     
         if response.status != 200:
             print(f'Token request failed with status {response.status}')
             print(f'Response: {response.data.decode("utf-8")}')
             raise Exception(f'Failed to get Citrix token: HTTP {response.status}')
     
         token_response = json.loads(response.data.decode('utf-8'))
         return token_response['access_token']
     
     def fetch_odata_entity(entity, when_utc, top, headers, api_base):
         """Fetch data from Citrix Analytics OData API with pagination and rate limiting."""
         year = when_utc.year
         month = when_utc.month
         day = when_utc.day
         hour = when_utc.hour
     
         base_url = f"{api_base.rstrip('/')}/{entity}?year={year:04d}&month={month:02d}&day={day:02d}&hour={hour:02d}"
         skip = 0
         backoff = 1.0
     
         while True:
             url = f"{base_url}&$top={top}&$skip={skip}"
     
             response = http.request('GET', url, headers=headers)
     
             # Handle rate limiting with exponential backoff
             if response.status == 429:
                 retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                 print(f'Rate limited (429). Retrying after {retry_after}s...')
                 time.sleep(retry_after)
                 backoff = min(backoff * 2, 30.0)
                 continue
     
             backoff = 1.0
     
             if response.status != 200:
                 print(f'HTTP Error: {response.status}')
                 response_text = response.data.decode('utf-8')
                 print(f'Response body: {response_text}')
                 return
     
             data = json.loads(response.data.decode('utf-8'))
             items = data.get('value', [])
     
             if not items:
                 break
     
             for item in items:
                 yield item
     
             if len(items) < top:
                 break
     
             skip += top
     
     def load_state(bucket, key):
         """Load state from GCS."""
         try:
             blob = bucket.blob(key)
             if blob.exists():
                 state_data = blob.download_as_text()
                 return json.loads(state_data)
         except Exception as e:
             print(f'Warning: Could not load state: {str(e)}')
         return {}
     
     def save_state(bucket, key, state):
         """Save state to GCS."""
         try:
             blob = bucket.blob(key)
             blob.upload_from_string(
                 json.dumps(state, separators=(',', ':')),
                 content_type='application/json'
             )
         except Exception as e:
             print(f'Warning: Could not save state: {str(e)}')
     
     def write_ndjson_to_gcs(bucket, key, records):
         """Write records as NDJSON to GCS."""
         body_lines = []
         for record in records:
             json_line = json.dumps(record, separators=(',', ':'), ensure_ascii=False)
             body_lines.append(json_line)
     
         body = ('\n'.join(body_lines) + '\n').encode('utf-8')
     
         blob = bucket.blob(key)
         blob.upload_from_string(body, content_type='application/x-ndjson')
     

   • requirements.txt:

     functions-framework==3.*
     google-cloud-storage==2.*
     urllib3>=2.0.0
     

3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publiera des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenchera la fonction Cloud Run.

1. Dans la console GCP, accédez à Cloud Scheduler.
2. Cliquez sur Créer une tâche.

3. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom	citrix-analytics-collector-hourly
   Région	Sélectionnez la même région que la fonction Cloud Run.
   Fréquence	0 * * * * (toutes les heures)
   Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
   Type de cible	Pub/Sub
   Sujet	Sélectionnez le thème citrix-analytics-trigger.
   Corps du message	{} (objet JSON vide)

4. Cliquez sur Créer.

Options de fréquence de programmation

Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

Fréquence	Expression Cron	Cas d'utilisation
Toutes les heures	0 * * * *	Standard (recommandé)
Toutes les 2 heures	0 */2 * * *	Baisser le volume
Toutes les 6 heures	0 */6 * * *	Traitement par lot à faible volume

Tester l'intégration

1. Dans la console Cloud Scheduler, recherchez votre job.
2. Cliquez sur Exécuter de force pour déclencher le job manuellement.
3. Patientez quelques secondes.
4. Accédez à Cloud Run > Services.
5. Cliquez sur le nom de la fonction citrix-analytics-collector.
6. Cliquez sur l'onglet Journaux.

7. Vérifiez que la fonction s'est exécutée correctement. Par exemple :

   Processing logs for hour: YYYY-MM-DDTHH:00:00Z
   Successfully processed X records for hour YYYY-MM-DDTHH:00:00Z
   

8. Accédez à Cloud Storage > Buckets.

9. Cliquez sur le nom de votre bucket.

10. Accédez au dossier de préfixe citrix_analytics/.

11. Vérifiez que de nouveaux fichiers .ndjson ont été créés avec l'horodatage actuel.

Si vous constatez des erreurs dans les journaux :

• HTTP 401 : vérifiez les identifiants de l'API dans les variables d'environnement
• HTTP 403 : vérifiez que le compte dispose des autorisations requises dans Citrix Cloud.
• HTTP 429 : limitation du débit. La fonction effectuera automatiquement une nouvelle tentative avec un intervalle entre les tentatives.
• Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.

Configurer un flux dans Google SecOps pour ingérer les journaux Citrix Analytics

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Cliquez sur Configurer un flux unique.
4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Citrix Analytics logs).
5. Sélectionnez Google Cloud Storage V2 comme Type de source.
6. Sélectionnez Citrix Analytics comme Type de journal.

7. Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

9. Cliquez sur Suivant.

10. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URL du bucket de stockage : saisissez l'URI du bucket GCS avec le chemin d'accès au préfixe :

      gs://citrix-analytics-logs/citrix_analytics/
      

      • Remplacez :
        • citrix-analytics-logs : nom de votre bucket GCS.
        • citrix_analytics : préfixe/chemin d'accès au dossier facultatif où les journaux sont stockés (laisser vide pour la racine).

    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

      • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
      • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours (180 jours par défaut).

    • Espace de noms de l'élément : espace de noms de l'élément

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux

11. Cliquez sur Suivant.

12. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom de votre bucket.
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
   • Attribuer des rôles : sélectionnez Lecteur des objets de l'espace de stockage.

6. Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
occurrence_event_type	extensions.auth.type	Mappé : Session.Logon → AUTHTYPE_UNSPECIFIED, Session.End → AUTHTYPE_UNSPECIFIED
server_name	intermediary.asset.hostname	Mappé directement
server_name	intermediary.hostname	Mappé directement
event_type	metadata.description	Mappé directement
timestamp	metadata.event_timestamp	Analysé en tant que ISO8601
udm_event_type	metadata.event_type	Mappé : "USER_LOGIN", "USER_LOGOUT" → GENERIC_EVENT
tenant_id	metadata.product_deployment_id	Mappé directement
occurrence_event_type	metadata.product_event_type	Mappé directement
event_id	metadata.product_log_id	Mappé directement
product	metadata.product_name	Mappé directement
product_version	metadata.product_version	Mappé directement
ui_link	metadata.url_back_to_product	Mappé directement
session_key	network.session_id	Mappé directement
domain	principal.administrative_domain	Mappé directement
device_id	principal.asset.hostname	Mappé directement
client_ip	principal.asset.ip	Fusionné
vulnerability	principal.asset.vulnerabilities	Fusionné
device_id	principal.hostname	Mappé directement
client_ip	principal.ip	Fusionné
os_name	principal.platform	Valeurs mappées (6 au total, par exemple (?i)windows → WINDOWS, (?i)windows → MAC, (?i)windows…)
os_extra_info	principal.platform_patch_level	Mappé directement
os_version	principal.platform_version	Mappé directement
entity_id	principal.user.email_addresses	Mappé : ^.+@.+$ → entity_id
entity_type	principal.user.email_addresses	Mappé : user → entity_id
session_user_name	principal.user.user_display_name	Mappé directement
entity_id	principal.user.userid	Mappé directement
session_user_name	principal.user.userid	Mappé directement
alert_message	security_result.action_details	Mappé directement
analytic	security_result.analytics_metadata	Fusionné
category	security_result.category	Fusionné
indicator_category	security_result.category	Mappé : Data exfiltration → category
indicator_name	security_result.description	Mappé directement
label	security_result.detection_fields	Fusionné
label	security_result.outcomes	Fusionné
severity	security_result.severity	Mappé directement
app_name	target.application	Mappé directement
app_name	target.process.file.names	Fusionné
printer_name	target.resource.name	Mappé directement
entity_id	target.user.email_addresses	Mappé : ^.+@.+$ → entity_id
entity_type	target.user.email_addresses	Mappé : user → entity_id
session_user_name	target.user.user_display_name	Mappé directement
entity_id	target.user.userid	Mappé directement
session_user_name	target.user.userid	Mappé directement
N/A	extensions.auth.type	Constante : AUTHTYPE_UNSPECIFIED
N/A	metadata.event_type	Constante : GENERIC_EVENT
N/A	metadata.vendor_name	Constante : CITRIX_ANALYTICS
N/A	principal.platform	Constante : WINDOWS
N/A	security_result.confidence_score	Constante : risk_probability
N/A	security_result.risk_score	Constante : cur_riskscore

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.