CloudM-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie CloudM-Logs mit Google Cloud Storage V2 in Google Security Operations aufnehmen.

CloudM ist eine SaaS-Plattform für Google Workspace und Microsoft 365, die Workflow-Automatisierung für das Onboarding und Offboarding von Nutzern, Datensicherung, Archivierung und Migration bietet. CloudM Automate generiert ein vollständiges Audit-Log aller Aktionen, die in Ihrer Domain ausgeführt werden, einschließlich Nutzerverwaltungsereignissen, Offboarding-Workflowschritten, Konfigurationsänderungen und sicherheitsbezogenen Vorgängen. Audit-Log-Daten aus dem letzten Jahr werden aufbewahrt.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Ein Google Cloud -Projekt mit aktivierter Cloud Storage API
• Berechtigungen zum Erstellen und Verwalten von Cloud Storage-Buckets
• Berechtigungen zum Verwalten von IAM-Richtlinien (Identity and Access Management) für Cloud Storage-Buckets
• Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
• Administratorzugriff auf Ihre CloudM Automate-Instanz mit der Berechtigung Globale Einstellungen bearbeiten
• Die URL Ihrer CloudM Automate-Instanz, z. B. yourcompany.cloudm.io
• Ihre CloudM-Domain-ID

CloudM Automate-Anmeldedaten erfassen

Benutzerdefinierte Rolle für den Zugriff auf API-Logs erstellen

1. Melden Sie sich in Ihrer CloudM Automate-Instanz an.
2. Rufen Sie die Einstellungen> Rollen auf.
3. Klicken Sie auf Rolle hinzufügen, um eine neue Rolle zu erstellen.
4. Geben Sie im Feld Rollenname einen aussagekräftigen Namen ein, z. B. Google SecOps Log Reader.

5. Aktivieren Sie in der Berechtigungsliste die folgende Berechtigung:

   • Logs ansehen: Ermöglicht das Ansehen aller Anwendungslogs.

6. Speichern Sie die Rolle.

Dienstkonto erstellen und Rolle zuweisen

1. Klicken Sie in CloudM Automate auf Einstellungen > Rollen.
2. Erstellen oder ermitteln Sie ein Dienstkonto, das für den API-Zugriff verwendet werden soll.
3. Weisen Sie dem Dienstkonto die Rolle Google SecOps Log Reader zu.
4. Achten Sie darauf, dass die Rolle mit dem globalen Bereich zugewiesen wird, damit das Dienstkonto auf Logs in der gesamten Domain zugreifen kann.

Dienstkonto-Zugriffstoken abrufen

1. Generieren Sie ein Zugriffstoken für das Dienstkonto.
2. Das Zugriffstoken wird als Bearer-Token im Header Authorization verwendet, wenn API-Anfragen an die CloudM Logs API gesendet werden.

3. Notieren Sie die folgenden Werte:

   • Automate-Instanz-URL: Die URL Ihrer CloudM Automate-Instanz, z. B. yourcompany.cloudm.io.
   • Domain-ID: Ihre CloudM-Domain-Kennung
   • Dienstkonto-Zugriffstoken: Das Bearer-Token für die API-Authentifizierung

Berechtigungen prüfen

So prüfen Sie, ob das Konto die erforderlichen Berechtigungen hat:

1. Melden Sie sich in CloudM Automate an.
2. Rufen Sie die Einstellungen> Rollen auf.
3. Prüfen Sie, ob dem Dienstkonto die Berechtigung View Logs (Logs ansehen) mit globalem Bereich zugewiesen ist.
4. Wenn Sie diese Option nicht sehen, bitten Sie Ihren Administrator, Ihnen die Berechtigungen Globale Einstellungen bearbeiten und Logs ansehen zu gewähren.

API-Zugriff testen

• Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

  # Replace with your actual credentials
  CLOUDM_INSTANCE="yourcompany.cloudm.io"
  DOMAIN_ID="your-domain-id"
  ACCESS_TOKEN="your-access-token"
  
  # Test API access
  curl -v -H "Authorization: Bearer ${ACCESS_TOKEN}" \
    "https://${CLOUDM_INSTANCE}/_ah/api/events/v1/${DOMAIN_ID}?from=$(date -u +%Y-%m-%d)&to=$(date -u +%Y-%m-%d)"
  

  Bei einer erfolgreichen Antwort wird ein JSON-Array mit Audit-Log-Ereignissen zurückgegeben.

Erforderliche API-Berechtigungen

• Das Dienstkonto benötigt die folgende Berechtigung:

  Berechtigung	Zugriffsebene	Zweck
  Logs ansehen	Global	Alle Audit-Log-Ereignisse aus CloudM Automate abrufen

Google Cloud Storage-Bucket erstellen

1. Gehen Sie zur Google Cloud Console.
2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
4. Klicken Sie auf Bucket erstellen.

5. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. cloudm-audit-logs.
   Standorttyp	Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
   Standort	Wählen Sie den Ort aus, z. B. us-central1.
   Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
   Zugriffskontrolle	Einheitlich (empfohlen)
   Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

6. Klicken Sie auf Erstellen.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den Cloud Storage-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

1. Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten.
2. Klicken Sie auf Dienstkonto erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Name des Dienstkontos: Geben Sie cloudm-audit-collector-sa ein.
   • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect CloudM audit logs ein.
4. Klicken Sie auf Erstellen und fortfahren.

5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:

   1. Klicken Sie auf Rolle auswählen.
   2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
   3. Klicken Sie auf + Weitere Rolle hinzufügen.
   4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
   5. Klicken Sie auf + Weitere Rolle hinzufügen.
   6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.

6. Klicken Sie auf Weiter.

7. Klicken Sie auf Fertig.

   Diese Rollen sind erforderlich für:

   • Storage-Objekt-Administrator: Protokolle in Cloud Storage-Bucket schreiben und Statusdateien verwalten
   • Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
   • Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für Cloud Storage-Bucket gewähren

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den Cloud Storage-Bucket:

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets (cloudm-audit-logs).
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.

5. Geben Sie die folgenden Konfigurationsdetails an:

   • Hauptkonten hinzufügen: Geben Sie die E‑Mail-Adresse des Dienstkontos (cloudm-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com) ein.
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.

6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

1. Wechseln Sie in der Google Cloud Console zu Pub/Sub > Themen.
2. Klicken Sie auf Thema erstellen.

3. Geben Sie die folgenden Konfigurationsdetails an:

   • Themen-ID: Geben Sie cloudm-audit-trigger ein.
   • Andere Einstellungen als Standardeinstellungen beibehalten

4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der CloudM Automate Logs API abzurufen und in Cloud Storage zu schreiben.

1. Rufen Sie in der Google Cloud Console Cloud Run auf.
2. Klicken Sie auf Dienst erstellen.
3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Dienstname	cloudm-audit-collector
   Region	Wählen Sie die Region aus, die Ihrem Cloud Storage-Bucket entspricht (z. B. us-central1).
   Laufzeit	Wählen Sie Python 3.12 oder höher aus.

5. Im Abschnitt Trigger (optional):

   1. Klicken Sie auf + Trigger hinzufügen.
   2. Wählen Sie Cloud Pub/Sub aus.
   3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen die Option cloudm-audit-trigger aus.
   4. Klicken Sie auf Speichern.

6. Im Abschnitt Authentifizierung:

   1. Wählen Sie Authentifizierung erforderlich aus.
   2. Identitäts- und Zugriffsverwaltung

7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

8. Rufen Sie den Tab Sicherheit auf:

   • Dienstkonto: Wählen Sie cloudm-audit-collector-sa aus.

9. Rufen Sie den Tab Container auf:

   1. Klicken Sie auf Variablen und Secrets.

   2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

      Variablenname	Beispielwert	Beschreibung
      GCS_BUCKET	cloudm-audit-logs	Name des Cloud Storage-Buckets
      GCS_PREFIX	cloudm-audit	Präfix für Protokolldateien
      STATE_KEY	cloudm-audit/state.json	Statusdateipfad
      CLOUDM_INSTANCE_URL	yourcompany.cloudm.io	CloudM Automate-Instanz-URL
      CLOUDM_DOMAIN_ID	your-domain-id	CloudM-Domain-ID
      CLOUDM_ACCESS_TOKEN	your-access-token	CloudM-Dienstkonto-Inhabertoken
      LOOKBACK_HOURS	24	Erster Rückschauzeitraum

10. Scrollen Sie im Bereich Variablen und Secrets nach unten zu Anfragen:

    • Zeitüberschreitung bei Anfrage: Geben Sie 600 Sekunden (10 Minuten) ein.

11. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:

      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein.

13. Klicken Sie auf Erstellen.

14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

1. Geben Sie main in das Feld Einstiegspunkt ein.

2. Erstellen Sie im Inline-Codeeditor zwei Dateien:

   • main.py:

     import functions_framework
     from google.cloud import storage
     import json
     import os
     import urllib3
     from datetime import datetime, timezone, timedelta
     
     http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=10.0, read=60.0),
       retries=False,
     )
     
     storage_client = storage.Client()
     
     GCS_BUCKET = os.environ.get('GCS_BUCKET')
     GCS_PREFIX = os.environ.get('GCS_PREFIX', 'cloudm-audit')
     STATE_KEY = os.environ.get('STATE_KEY', 'cloudm-audit/state.json')
     CLOUDM_INSTANCE_URL = os.environ.get('CLOUDM_INSTANCE_URL', '').rstrip('/')
     CLOUDM_DOMAIN_ID = os.environ.get('CLOUDM_DOMAIN_ID')
     CLOUDM_ACCESS_TOKEN = os.environ.get('CLOUDM_ACCESS_TOKEN')
     LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))
     
     @functions_framework.cloud_event
     def main(cloud_event):
       if not all([GCS_BUCKET, CLOUDM_INSTANCE_URL, CLOUDM_DOMAIN_ID, CLOUDM_ACCESS_TOKEN]):
         print('Error: Missing required environment variables')
         return
     
       try:
         bucket = storage_client.bucket(GCS_BUCKET)
         state = load_state(bucket)
         now = datetime.now(timezone.utc)
     
         if isinstance(state, dict) and state.get('last_event_date'):
           try:
             last_date = state['last_event_date']
             last_time = datetime.strptime(last_date, '%Y-%m-%d').replace(tzinfo=timezone.utc)
           except Exception as e:
             print(f"Warning: Could not parse last_event_date: {e}")
             last_time = now - timedelta(hours=LOOKBACK_HOURS)
         else:
           last_time = now - timedelta(hours=LOOKBACK_HOURS)
     
         from_date = last_time.strftime('%Y-%m-%d')
         to_date = now.strftime('%Y-%m-%d')
     
         print(f"Fetching logs from {from_date} to {to_date}")
     
         records = fetch_logs(from_date, to_date)
     
         if not records:
           print("No new log records found.")
           save_state(bucket, to_date)
           return
     
         timestamp = now.strftime('%Y%m%d_%H%M%S')
         object_key = f"{GCS_PREFIX}/cloudm_audit_{timestamp}.ndjson"
         blob = bucket.blob(object_key)
     
         ndjson = '\n'.join(
           [json.dumps(record, ensure_ascii=False, default=str) for record in records]
         ) + '\n'
         blob.upload_from_string(ndjson, content_type='application/x-ndjson')
     
         print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")
     
         save_state(bucket, to_date)
     
         print(f"Successfully processed {len(records)} records")
     
       except Exception as e:
         print(f'Error processing logs: {str(e)}')
         raise
     
     def fetch_logs(from_date, to_date):
       instance = CLOUDM_INSTANCE_URL
       if not instance.startswith('https://'):
         instance = f"https://{instance}"
     
       endpoint = f"{instance}/_ah/api/events/v1/{CLOUDM_DOMAIN_ID}"
     
       headers = {
         'Authorization': f'Bearer {CLOUDM_ACCESS_TOKEN}',
         'Accept': 'application/json',
         'User-Agent': 'GoogleSecOps-CloudMCollector/1.0'
       }
     
       url = f"{endpoint}?from={from_date}&to={to_date}"
     
       try:
         response = http.request('GET', url, headers=headers)
     
         if response.status == 429:
           retry_after = int(response.headers.get('Retry-After', '60'))
           print(f"Rate limited (429). Retry after {retry_after}s.")
           return []
     
         if response.status != 200:
           print(f"HTTP Error: {response.status}")
           response_text = response.data.decode('utf-8')
           print(f"Response body: {response_text}")
           return []
     
         data = json.loads(response.data.decode('utf-8'))
     
         if isinstance(data, list):
           records = data
         elif isinstance(data, dict):
           records = data.get('items', data.get('events', [data]))
         else:
           records = []
     
         print(f"Retrieved {len(records)} events")
         return records
     
       except Exception as e:
         print(f"Error fetching logs: {e}")
         return []
     
     def load_state(bucket):
       try:
         blob = bucket.blob(STATE_KEY)
         if blob.exists():
           return json.loads(blob.download_as_text())
       except Exception as e:
         print(f"Warning: Could not load state: {e}")
       return {}
     
     def save_state(bucket, last_event_date):
       try:
         state = {
           'last_event_date': last_event_date,
           'last_run': datetime.now(timezone.utc).isoformat()
         }
         blob = bucket.blob(STATE_KEY)
         blob.upload_from_string(
           json.dumps(state, indent=2),
           content_type='application/json'
         )
         print(f"Saved state: last_event_date={last_event_date}")
       except Exception as e:
         print(f"Warning: Could not save state: {e}")
     

   • requirements.txt:

     functions-framework==3.*
     google-cloud-storage==2.*
     urllib3>=2.0.0
     

3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2 bis 3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

1. Rufen Sie in der Google Cloud Console Cloud Scheduler auf.
2. Klicken Sie auf Job erstellen.

3. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Name	cloudm-audit-collector-hourly
   Region	Dieselbe Region wie die Cloud Run-Funktion auswählen
   Frequenz	0 * * * * (jede Stunde, zur vollen Stunde)
   Zeitzone	Zeitzone auswählen (UTC empfohlen)
   Zieltyp	Pub/Sub
   Thema	cloudm-audit-trigger auswählen
   Nachrichtentext	{} (leeres JSON-Objekt)

4. Klicken Sie auf Erstellen.

Integration testen

1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job (cloudm-audit-collector-hourly).
2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
3. Warten Sie einige Sekunden.
4. Rufen Sie Cloud Run > Dienste auf.
5. Klicken Sie auf cloudm-audit-collector.
6. Klicken Sie auf den Tab Logs.

7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Darauf sollten Sie achten:

   Fetching logs from YYYY-MM-DD to YYYY-MM-DD
   Retrieved X events
   Wrote X records to gs://cloudm-audit-logs/cloudm-audit/cloudm_audit_YYYYMMDD_HHMMSS.ndjson
   Successfully processed X records
   

8. Rufen Sie Cloud Storage > Buckets auf.

9. Klicken Sie auf cloudm-audit-logs.

10. Rufen Sie den Ordner cloudm-audit/ auf.

11. Prüfen Sie, ob eine neue .ndjson-Datei mit dem aktuellen Zeitstempel erstellt wurde.

Wenn Sie Fehler in den Logs sehen:

• HTTP 401: Prüfen Sie, ob die Umgebungsvariable CLOUDM_ACCESS_TOKEN korrekt ist.
• HTTP 403: Prüfen Sie, ob das Dienstkonto die Berechtigung View Logs (Logs ansehen) mit globalem Bereich hat.
• HTTP 429: Ratenbegrenzung – die Funktion wird beendet und beim nächsten geplanten Lauf fortgesetzt.
• Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen in der Konfiguration der Cloud Run-Funktion festgelegt sind.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem Cloud Storage-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf Einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. CloudM Audit Logs.
5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
6. Wählen Sie CloudM als Logtyp aus.

7. Klicken Sie auf Dienstkonto abrufen.

   Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Kopieren Sie diese E-Mail-Adresse für den nächsten Schritt.

9. Klicken Sie auf Weiter.

10. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den Cloud Storage-Bucket-URI mit dem Präfixpfad ein:

      gs://cloudm-audit-logs/cloudm-audit/
      

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus:

      • Nie: Es werden niemals Dateien nach Übertragungen gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Löscht Dateien nach der erfolgreichen Übertragung.

      • Übertragene Dateien und leere Verzeichnisse löschen: Dateien und leere Verzeichnisse werden nach der erfolgreichen Übertragung gelöscht.

    • Höchstalter von Dateien: Dateien einschließen, die in den letzten Tagen geändert wurden (Standardwert: 180 Tage).

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

11. Klicken Sie auf Weiter.

12. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren Cloud Storage-Bucket.

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf cloudm-audit-logs.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.

5. Geben Sie die folgenden Konfigurationsdetails an:

   • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

6. Klicken Sie auf Speichern.

CloudM Logs API-Parameter

Die CloudM Logs API unterstützt die folgenden Abfrageparameter zum Filtern von Log-Ereignissen:

Parameter	Format	Beschreibung
byUser	E-Mail-Adresse	Ereignisse nach dem Nutzer filtern, der die Aktion ausgeführt hat (analog zu Nutzer in der CloudM-Benutzeroberfläche)
von	yyyy-MM-dd	Startdatum für den Zeitraumfilter
bis	yyyy-MM-dd	Enddatum für den Zeitraumfilter
contextType	String	Nach Kontexttyp filtern (z. B. Profil, Gruppe, Organisationseinheit)
contextName	String	Nach dem Ziel einer Aktion filtern, z. B. ein bestimmter Nutzer, der deaktiviert wird
Vorgang	String	Nach Vorgangstyp filtern (z. B. Alias zuweisen, Nutzer sperren)
country	Ländercode	Nach Ländercode für Standortbestimmung filtern

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
about	about	Wert direkt kopiert
Context_Name	about.labels	Zusammengeführt als Schlüssel/Wert-Paare aus about_Context_Name, about_Context_Type, labels0
Context_Type	about.labels
Login_Type	about.labels
Aussteller	additional.fields	Zusammengeführt aus additional_field0, additional_field1, additional_field2
SAML_code	additional.fields
SAML_ACS_Url	additional.fields
Vorgang	extensions.auth.type	Auf SSO festgelegt, wenn „Operation“ mit „SSORequest“ übereinstimmt, AUTHTYPE_UNSPECIFIED, wenn „Context_Type“ „LoginUser“ ist
Context_Type	extensions.auth.type
Zeitstempel	metadata.event_timestamp	Datetime- und Zeitzoneninformationen aus dem Zeitstempel extrahiert, Zeitzone in Offset konvertiert, verkettet und als Zeitstempel geparst
Vorgang	metadata.event_type	Auf USER_UNCATEGORIZED setzen, wenn Operation mit Update/Delete/SuspendUser/UnsuspendUser/Create übereinstimmt, USER_LOGIN, wenn Operation mit SSORequest/SSORequestFail übereinstimmt oder Context_Type LoginUser ist, STATUS_UPDATE, wenn IP nicht leer ist, andernfalls GENERIC_EVENT
Context_Type	metadata.event_type
User_Agent	network.http.user_agent	Wert direkt kopiert
Prinzipal	Prinzipal	Umbenannt von „principal“, wenn „Context_Type“ != „LoginUser“, andernfalls von „target“
Ziel	Prinzipal
Organization_Unit	principal.administrative_domain	Wert direkt kopiert
IP-Adresse	principal.ip	Wert direkt kopiert
Ort	principal.location.city	Wert direkt kopiert
Land	principal.location.country_or_region	Wert direkt kopiert
Standortbestimmung	principal.location.region_latitude	Mit „grok“ aus der Standortbestimmung extrahierter Breitengrad
Standortbestimmung	principal.location.region_longitude	Mit „grok“ extrahierter Längengrad aus der Standortbestimmung
Region	principal.location.state	Wert direkt kopiert
Akteur	principal.user.attribute.roles	Auf role.name festgelegt, wenn Actor nicht „email“ und nicht leer ist, dann zusammengeführt
Akteur	principal.user.email_addresses	Wert wird direkt kopiert, wenn der Akteur mit dem regulären Ausdruck für E-Mail-Adressen übereinstimmt
Nachricht	principal.user.userid	Mit „grok“ extrahierter Nutzername aus der Nachricht
security_result	security_result	Das security_result-Objekt wurde zusammengeführt.
SAML_code	security_result.action	Auf ALLOW setzen, wenn SAML_code mit „Success“ übereinstimmt, auf BLOCK, wenn „RequestDenied“
Nachricht	security_result.description	Wert direkt kopiert
Schweregrad	security_result.severity	Auf „UPPERCASE“ setzen, wenn „Error“ / „Critical“, auf „INFORMATIONAL“ setzen, wenn „Info“, auf „MEDIUM“ setzen, wenn „Warning“, andernfalls „UNKNOWN_SEVERITY“
Vorgang	security_result.summary	Wert direkt kopiert
Ziel	Ziel	Umbenannt von „target“, wenn „Context_Type“ != „LoginUser“, andernfalls von „principal“
Prinzipal	Ziel
metadata.product_name	metadata.product_name	Auf „CLOUDM“ festlegen
metadata.vendor_name	metadata.vendor_name	Auf „CLOUDM“ festlegen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten