Raccogliere i log di Citrix Analytics

Questo documento spiega come importare i log di Citrix Analytics in Google Security Operations utilizzando Google Cloud Storage. Citrix Analytics for Performance (Cloud Software Group) fornisce dati sul rendimento aggregati dagli ambienti Citrix Virtual Apps and Desktops, consentendoti di recuperare dati su sessioni, macchine e utenti tramite l'API OData. Citrix Analytics for Security fornisce informazioni sui rischi ed eventi di origine dati che possono essere esportati tramite l'integrazione SIEM basata su Kafka.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un'istanza Google SecOps
• Un progetto GCP con l'API Storage Cloud abilitata
• Autorizzazioni per creare e gestire bucket GCS
• Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
• Accesso con privilegi a un tenant Citrix Analytics for Performance
• Credenziali API Citrix Cloud (ID client, client secret, ID cliente)

Raccogliere le credenziali dell'API Citrix Analytics

Ottenere le credenziali dell'API Citrix Cloud

1. Accedi alla console Citrix Cloud.
2. Fai clic sull'icona del menu nell'angolo in alto a sinistra dello schermo.
3. Seleziona Identity and Access Management dal menu.
4. Seleziona la scheda Accesso API.
5. Fai clic su Crea cliente.
6. Copia e salva i seguenti dettagli in una posizione sicura:
   • ID client
   • Client secret
   • ID cliente (si trova nell'URL di Citrix Cloud o nella pagina IAM)

Determinare l'URL di base dell'API

L'URL di base dell'API OData dipende dalla regione Citrix Cloud:

Regione	URL di base dell'API
Stati Uniti	https://api.cloud.com/casodata
Unione Europea	https://api.eu.cloud.com/casodata
Asia Pacifico meridionale	https://api.ap-s.cloud.com/casodata

Verifica le autorizzazioni

Per verificare che l'account disponga delle autorizzazioni richieste:

1. Accedi a Citrix Cloud.
2. Vai a Identity and Access Management > Amministratori.
3. Verifica che l'account utilizzato per creare le credenziali API disponga dell'accesso Completo o Personalizzato con le autorizzazioni di Citrix Analytics for Performance abilitate.
4. Se non riesci a visualizzare le autorizzazioni richieste, contatta l'amministratore di Citrix Cloud per concedere l'accesso.

Testare l'accesso API

• Verifica le tue credenziali prima di procedere con l'integrazione:

  CITRIX_CUSTOMER_ID="your-customer-id"
  CITRIX_CLIENT_ID="your-client-id"
  CITRIX_CLIENT_SECRET="your-client-secret"
  
  # Get bearer token
  TOKEN=$(curl -s -X POST \
    "https://api.cloud.com/cctrustoauth2/${CITRIX_CUSTOMER_ID}/tokens/clients" \
    -H "Content-Type: application/x-www-form-urlencoded" \
    -d "grant_type=client_credentials&client_id=${CITRIX_CLIENT_ID}&client_secret=${CITRIX_CLIENT_SECRET}" \
    | python3 -c "import sys,json; print(json.load(sys.stdin)['access_token'])")
  
  # Test OData API access
  curl -v -H "Authorization: CwsAuth bearer=${TOKEN}" \
    -H "Citrix-CustomerId: ${CITRIX_CUSTOMER_ID}" \
    -H "Accept: application/json" \
    "https://api.cloud.com/casodata/sessions?\$top=1"
  

Creazione di un bucket Google Cloud Storage

1. Vai alla console Google Cloud.
2. Seleziona il tuo progetto o creane uno nuovo.
3. Nel menu di navigazione, vai a Cloud Storage > Bucket.
4. Fai clic su Crea bucket.

5. Fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio citrix-analytics-logs).
   Tipo di località	Scegli in base alle tue esigenze (regione singola, a due regioni, multiregionale)
   Località	Seleziona la posizione (ad esempio, us-central1).
   Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
   Controllo dell'accesso	Uniforme (consigliato)
   Strumenti di protezione	(Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

6. Fai clic su Crea.

Crea un account di servizio per la funzione Cloud Run

La funzione Cloud Run richiede un account di servizio con autorizzazioni per scrivere nel bucket GCS e per essere richiamato da Pub/Sub.

Crea service account

1. Nella console Google Cloud, vai a IAM e amministrazione > Service account.
2. Fai clic su Crea account di servizio.
3. Fornisci i seguenti dettagli di configurazione:
   • Nome del service account: inserisci citrix-analytics-collector-sa
   • Descrizione service account: inserisci Service account for Cloud Run function to collect Citrix Analytics logs
4. Fai clic su Crea e continua.
5. Nella sezione Concedi a questo account di servizio l'accesso al progetto, aggiungi i seguenti ruoli:
   1. Fai clic su Seleziona un ruolo.
   2. Cerca e seleziona Amministratore oggetti di archiviazione.
   3. Fai clic su + Aggiungi un altro ruolo.
   4. Cerca e seleziona Cloud Run Invoker.
   5. Fai clic su + Aggiungi un altro ruolo.
   6. Cerca e seleziona Invoker di Cloud Functions.
6. Fai clic su Continua.
7. Fai clic su Fine.

Questi ruoli sono necessari per:

• Storage Object Admin: scrive i log nel bucket GCS e gestisce i file di stato
• Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
• Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al account di servizio le autorizzazioni di scrittura sul bucket GCS:

1. Vai a Cloud Storage > Bucket.
2. Fai clic sul nome del bucket.
3. Vai alla scheda Autorizzazioni.
4. Fai clic su Concedi l'accesso.
5. Fornisci i seguenti dettagli di configurazione:
   • Aggiungi entità: inserisci l'email del account di servizio (ad esempio, citrix-analytics-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Assegna i ruoli: seleziona Storage Object Admin.
6. Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

1. Nella console GCP, vai a Pub/Sub > Argomenti.
2. Fai clic su Crea argomento.
3. Fornisci i seguenti dettagli di configurazione:
   • ID argomento: inserisci citrix-analytics-trigger
   • Lascia invariate le altre impostazioni predefinite
4. Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run verrà attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API Citrix Analytics OData e scriverli in GCS.

1. Nella console GCP, vai a Cloud Run.
2. Fai clic su Crea servizio.
3. Seleziona Funzione (usa un editor in linea per creare una funzione).

4. Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Nome servizio	citrix-analytics-collector
   Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio, us-central1)
   Tempo di esecuzione	Seleziona Python 3.12 o versioni successive

5. Nella sezione Trigger (facoltativo):

   1. Fai clic su + Aggiungi trigger.
   2. Seleziona Cloud Pub/Sub.
   3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento citrix-analytics-trigger.
   4. Fai clic su Salva.

6. Nella sezione Autenticazione:

   1. Seleziona Richiedi autenticazione.
   2. Controlla Identity and Access Management (IAM).

7. Scorri verso il basso ed espandi Container, networking, sicurezza.

8. Vai alla scheda Sicurezza:

   • Service account (Account di servizio): seleziona il service account citrix-analytics-collector-sa

9. Vai alla scheda Container:

   1. Fai clic su Variabili e secret.
   2. Fai clic su + Aggiungi variabile per ogni variabile di ambiente:

   Nome variabile	Valore di esempio	Descrizione
   GCS_BUCKET	citrix-analytics-logs	Nome del bucket GCS
   GCS_PREFIX	citrix_analytics	Prefisso per i file di log
   STATE_KEY	citrix_analytics/state.json	Percorso file di stato
   CITRIX_CLIENT_ID	your-client-id	ID client Citrix Cloud
   CITRIX_CLIENT_SECRET	your-client-secret	Client secret di Citrix Cloud
   CITRIX_CUSTOMER_ID	your-customer-id	ID cliente Citrix Cloud
   API_BASE	https://api.cloud.com/casodata	URL di base dell'API OData
   ENTITIES	sessions,machines,users	Tipi di entità da raccogliere
   TOP_N	1000	Record per pagina
   LOOKBACK_MINUTES	75	Periodo di riferimento iniziale

10. Scorri verso il basso nella sezione Variabili e secret fino a Richieste:

    • Timeout richiesta: inserisci 600 secondi (10 minuti)

11. Vai alla scheda Impostazioni:

    • Nella sezione Risorse:
      • Memoria: seleziona 512 MiB o superiore
      • CPU: seleziona 1

12. Nella sezione Scalabilità della revisione:

    • Numero minimo di istanze: inserisci 0
    • Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto)

13. Fai clic su Crea.

14. Attendi la creazione del servizio (1-2 minuti).

15. Dopo aver creato il servizio, si aprirà automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

1. Inserisci main nel campo Entry point (Punto di ingresso).

2. Nell'editor di codice incorporato, crea due file:

   • main.py:

     import functions_framework
     from google.cloud import storage
     import json
     import os
     import urllib3
     from datetime import datetime, timedelta, timezone
     import urllib.parse
     import time
     
     # Initialize HTTP client with timeouts
     http = urllib3.PoolManager(
         timeout=urllib3.Timeout(connect=5.0, read=30.0),
         retries=False,
     )
     
     # Initialize Storage client
     storage_client = storage.Client()
     
     CITRIX_TOKEN_URL_TMPL = "https://api.cloud.com/cctrustoauth2/{customerid}/tokens/clients"
     DEFAULT_API_BASE = "https://api.cloud.com/casodata"
     
     @functions_framework.cloud_event
     def main(cloud_event):
         """
         Cloud Run function triggered by Pub/Sub to fetch logs
         from Citrix Analytics OData API and write to GCS.
     
         Args:
             cloud_event: CloudEvent object containing Pub/Sub message
         """
     
         # Get environment variables
         bucket_name = os.environ.get('GCS_BUCKET')
         prefix = os.environ.get('GCS_PREFIX', 'citrix_analytics').strip('/')
         state_key = os.environ.get('STATE_KEY') or f"{prefix}/state.json"
         customer_id = os.environ.get('CITRIX_CUSTOMER_ID')
         client_id = os.environ.get('CITRIX_CLIENT_ID')
         client_secret = os.environ.get('CITRIX_CLIENT_SECRET')
         api_base = os.environ.get('API_BASE', DEFAULT_API_BASE)
         entities = [e.strip() for e in os.environ.get('ENTITIES', 'sessions,machines,users').split(',') if e.strip()]
         top_n = int(os.environ.get('TOP_N', '1000'))
         lookback_minutes = int(os.environ.get('LOOKBACK_MINUTES', '75'))
     
         if not all([bucket_name, customer_id, client_id, client_secret]):
             print('Error: Missing required environment variables')
             return
     
         try:
             # Get GCS bucket
             bucket = storage_client.bucket(bucket_name)
     
             # Determine target hour to collect
             now = datetime.now(timezone.utc)
             fallback_target = (now - timedelta(minutes=lookback_minutes)).replace(minute=0, second=0, microsecond=0)
     
             # Load state (last processed timestamp)
             state = load_state(bucket, state_key)
             last_processed_str = state.get('last_hour_utc')
     
             if last_processed_str:
                 last_processed = datetime.fromisoformat(last_processed_str.replace('Z', '+00:00')).replace(tzinfo=None)
                 target_hour = last_processed + timedelta(hours=1)
             else:
                 target_hour = fallback_target
     
             print(f'Processing logs for hour: {target_hour.isoformat()}Z')
     
             # Get authentication token
             token = get_citrix_token(customer_id, client_id, client_secret)
             headers = {
                 'Authorization': f'CwsAuth bearer={token}',
                 'Citrix-CustomerId': customer_id,
                 'Accept': 'application/json',
                 'Content-Type': 'application/json',
             }
     
             total_records = 0
     
             # Process each entity type
             for entity in entities:
                 records = []
                 for row in fetch_odata_entity(entity, target_hour, top_n, headers, api_base):
                     enriched_record = {
                         'citrix_entity': entity,
                         'citrix_hour_utc': target_hour.isoformat() + 'Z',
                         'collection_timestamp': datetime.now(timezone.utc).isoformat() + 'Z',
                         'raw': row
                     }
                     records.append(enriched_record)
     
                     # Write in batches to avoid memory issues
                     if len(records) >= 1000:
                         blob_name = f"{prefix}/{entity}/year={target_hour.year:04d}/month={target_hour.month:02d}/day={target_hour.day:02d}/hour={target_hour.hour:02d}/part-{datetime.now(timezone.utc).strftime('%Y%m%d%H%M%S%f')}.ndjson"
                         write_ndjson_to_gcs(bucket, blob_name, records)
                         total_records += len(records)
                         records = []
     
                 # Write remaining records
                 if records:
                     blob_name = f"{prefix}/{entity}/year={target_hour.year:04d}/month={target_hour.month:02d}/day={target_hour.day:02d}/hour={target_hour.hour:02d}/part-{datetime.now(timezone.utc).strftime('%Y%m%d%H%M%S%f')}.ndjson"
                     write_ndjson_to_gcs(bucket, blob_name, records)
                     total_records += len(records)
     
             # Update state file
             save_state(bucket, state_key, {'last_hour_utc': target_hour.isoformat() + 'Z'})
     
             print(f'Successfully processed {total_records} records for hour {target_hour.isoformat()}Z')
     
         except Exception as e:
             print(f'Error processing logs: {str(e)}')
             raise
     
     def get_citrix_token(customer_id, client_id, client_secret):
         """Get Citrix Cloud authentication token."""
         url = CITRIX_TOKEN_URL_TMPL.format(customerid=customer_id)
         payload = {
             'grant_type': 'client_credentials',
             'client_id': client_id,
             'client_secret': client_secret,
         }
         data = urllib.parse.urlencode(payload).encode('utf-8')
     
         response = http.request(
             'POST',
             url,
             body=data,
             headers={
                 'Accept': 'application/json',
                 'Content-Type': 'application/x-www-form-urlencoded',
             }
         )
     
         if response.status != 200:
             print(f'Token request failed with status {response.status}')
             print(f'Response: {response.data.decode("utf-8")}')
             raise Exception(f'Failed to get Citrix token: HTTP {response.status}')
     
         token_response = json.loads(response.data.decode('utf-8'))
         return token_response['access_token']
     
     def fetch_odata_entity(entity, when_utc, top, headers, api_base):
         """Fetch data from Citrix Analytics OData API with pagination and rate limiting."""
         year = when_utc.year
         month = when_utc.month
         day = when_utc.day
         hour = when_utc.hour
     
         base_url = f"{api_base.rstrip('/')}/{entity}?year={year:04d}&month={month:02d}&day={day:02d}&hour={hour:02d}"
         skip = 0
         backoff = 1.0
     
         while True:
             url = f"{base_url}&$top={top}&$skip={skip}"
     
             response = http.request('GET', url, headers=headers)
     
             # Handle rate limiting with exponential backoff
             if response.status == 429:
                 retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                 print(f'Rate limited (429). Retrying after {retry_after}s...')
                 time.sleep(retry_after)
                 backoff = min(backoff * 2, 30.0)
                 continue
     
             backoff = 1.0
     
             if response.status != 200:
                 print(f'HTTP Error: {response.status}')
                 response_text = response.data.decode('utf-8')
                 print(f'Response body: {response_text}')
                 return
     
             data = json.loads(response.data.decode('utf-8'))
             items = data.get('value', [])
     
             if not items:
                 break
     
             for item in items:
                 yield item
     
             if len(items) < top:
                 break
     
             skip += top
     
     def load_state(bucket, key):
         """Load state from GCS."""
         try:
             blob = bucket.blob(key)
             if blob.exists():
                 state_data = blob.download_as_text()
                 return json.loads(state_data)
         except Exception as e:
             print(f'Warning: Could not load state: {str(e)}')
         return {}
     
     def save_state(bucket, key, state):
         """Save state to GCS."""
         try:
             blob = bucket.blob(key)
             blob.upload_from_string(
                 json.dumps(state, separators=(',', ':')),
                 content_type='application/json'
             )
         except Exception as e:
             print(f'Warning: Could not save state: {str(e)}')
     
     def write_ndjson_to_gcs(bucket, key, records):
         """Write records as NDJSON to GCS."""
         body_lines = []
         for record in records:
             json_line = json.dumps(record, separators=(',', ':'), ensure_ascii=False)
             body_lines.append(json_line)
     
         body = ('\n'.join(body_lines) + '\n').encode('utf-8')
     
         blob = bucket.blob(key)
         blob.upload_from_string(body, content_type='application/x-ndjson')
     

   • requirements.txt:

     functions-framework==3.*
     google-cloud-storage==2.*
     urllib3>=2.0.0
     

3. Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.

4. Attendi il completamento del deployment (2-3 minuti).

Crea job Cloud Scheduler

Cloud Scheduler pubblicherà messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

1. Nella console di GCP, vai a Cloud Scheduler.
2. Fai clic su Crea job.

3. Fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Nome	citrix-analytics-collector-hourly
   Regione	Seleziona la stessa regione della funzione Cloud Run
   Frequenza	0 * * * * (ogni ora, all'ora)
   Fuso orario	Seleziona il fuso orario (UTC consigliato)
   Tipo di target	Pub/Sub
   Argomento	Seleziona l'argomento citrix-analytics-trigger
   Corpo del messaggio	{} (oggetto JSON vuoto)

4. Fai clic su Crea.

Opzioni di frequenza di pianificazione

Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

Frequenza	Espressione cron	Caso d'uso
Ogni ora	0 * * * *	Standard (consigliato)
Ogni 2 ore	0 */2 * * *	Abbassa il volume
Ogni 6 ore	0 */6 * * *	Volume basso, elaborazione batch

Testare l'integrazione

1. Nella console Cloud Scheduler, trova il job.
2. Fai clic su Forza esecuzione per attivare il job manualmente.
3. Attendi qualche secondo.
4. Vai a Cloud Run > Servizi.
5. Fai clic sul nome della funzione citrix-analytics-collector.
6. Fai clic sulla scheda Log.

7. Verifica che la funzione sia stata eseguita correttamente. Cerca:

   Processing logs for hour: YYYY-MM-DDTHH:00:00Z
   Successfully processed X records for hour YYYY-MM-DDTHH:00:00Z
   

8. Vai a Cloud Storage > Bucket.

9. Fai clic sul nome del bucket.

10. Vai alla cartella del prefisso citrix_analytics/.

11. Verifica che siano stati creati nuovi file .ndjson con il timestamp corrente.

Se visualizzi errori nei log:

• HTTP 401: controlla le credenziali API nelle variabili di ambiente
• HTTP 403: verifica che l'account disponga delle autorizzazioni richieste in Citrix Cloud
• HTTP 429: limitazione di frequenza: la funzione riproverà automaticamente con backoff
• Variabili di ambiente mancanti: controlla che tutte le variabili richieste siano impostate

Configura un feed in Google SecOps per importare i log di Citrix Analytics

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Citrix Analytics logs).
5. Seleziona Google Cloud Storage V2 come Tipo di origine.
6. Seleziona Citrix Analytics come Tipo di log.

7. Fai clic su Ottieni service account. Verrà visualizzata un'email dell'account di servizio univoca, ad esempio:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

9. Fai clic su Avanti.

10. Specifica i valori per i seguenti parametri di input:

    • URL bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:

      gs://citrix-analytics-logs/citrix_analytics/
      

      • Sostituisci:
        • citrix-analytics-logs: il nome del bucket GCS.
        • citrix_analytics: (Facoltativo) prefisso/percorso della cartella in cui vengono archiviati i log (lascia vuoto per la radice).

    • Opzione di eliminazione della fonte: seleziona l'opzione di eliminazione in base alle tue preferenze:

      • Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
      • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.
      • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni (il valore predefinito è 180 giorni)

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed

11. Fai clic su Avanti.

12. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Concedi le autorizzazioni IAM al account di servizio Google SecOps

Il account di servizio Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

1. Vai a Cloud Storage > Bucket.
2. Fai clic sul nome del bucket.
3. Vai alla scheda Autorizzazioni.
4. Fai clic su Concedi l'accesso.
5. Fornisci i seguenti dettagli di configurazione:
   • Aggiungi entità: incolla l'email del account di servizio Google SecOps
   • Assegna i ruoli: seleziona Visualizzatore oggetti Storage.

6. Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
occurrence_event_type	extensions.auth.type	Mappato: Session.Logon → AUTHTYPE_UNSPECIFIED, Session.End → AUTHTYPE_UNSPECIFIED
server_name	intermediary.asset.hostname	Mappato direttamente
server_name	intermediary.hostname	Mappato direttamente
event_type	metadata.description	Mappato direttamente
timestamp	metadata.event_timestamp	Analizzato come ISO8601
udm_event_type	metadata.event_type	Mappato: "USER_LOGIN", "USER_LOGOUT" → GENERIC_EVENT
tenant_id	metadata.product_deployment_id	Mappato direttamente
occurrence_event_type	metadata.product_event_type	Mappato direttamente
event_id	metadata.product_log_id	Mappato direttamente
product	metadata.product_name	Mappato direttamente
product_version	metadata.product_version	Mappato direttamente
ui_link	metadata.url_back_to_product	Mappato direttamente
session_key	network.session_id	Mappato direttamente
domain	principal.administrative_domain	Mappato direttamente
device_id	principal.asset.hostname	Mappato direttamente
client_ip	principal.asset.ip	Unita
vulnerability	principal.asset.vulnerabilities	Unita
device_id	principal.hostname	Mappato direttamente
client_ip	principal.ip	Unita
os_name	principal.platform	Valori mappati (6 in totale, ad es. (?i)windows → WINDOWS, (?i)windows → MAC, (?i)windows...
os_extra_info	principal.platform_patch_level	Mappato direttamente
os_version	principal.platform_version	Mappato direttamente
entity_id	principal.user.email_addresses	Mappato: ^.+@.+$ → entity_id
entity_type	principal.user.email_addresses	Mappato: user → entity_id
session_user_name	principal.user.user_display_name	Mappato direttamente
entity_id	principal.user.userid	Mappato direttamente
session_user_name	principal.user.userid	Mappato direttamente
alert_message	security_result.action_details	Mappato direttamente
analytic	security_result.analytics_metadata	Unita
category	security_result.category	Unita
indicator_category	security_result.category	Mappato: Data exfiltration → category
indicator_name	security_result.description	Mappato direttamente
label	security_result.detection_fields	Unita
label	security_result.outcomes	Unita
severity	security_result.severity	Mappato direttamente
app_name	target.application	Mappato direttamente
app_name	target.process.file.names	Unita
printer_name	target.resource.name	Mappato direttamente
entity_id	target.user.email_addresses	Mappato: ^.+@.+$ → entity_id
entity_type	target.user.email_addresses	Mappato: user → entity_id
session_user_name	target.user.user_display_name	Mappato direttamente
entity_id	target.user.userid	Mappato direttamente
session_user_name	target.user.userid	Mappato direttamente
N/D	extensions.auth.type	Costante: AUTHTYPE_UNSPECIFIED
N/D	metadata.event_type	Costante: GENERIC_EVENT
N/D	metadata.vendor_name	Costante: CITRIX_ANALYTICS
N/D	principal.platform	Costante: WINDOWS
N/D	security_result.confidence_score	Costante: risk_probability
N/D	security_result.risk_score	Costante: cur_riskscore

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.