Mengumpulkan log Single Sign-On (SSO) Delinea

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Single Sign-On (SSO) Delinea (sebelumnya Centrify) ke Google Security Operations menggunakan Google Cloud Storage. Parser mengekstrak log, menangani format JSON dan syslog. Alat ini mem-parsing pasangan nilai kunci, stempel waktu, dan kolom relevan lainnya, memetakannya ke model UDM, dengan logika khusus untuk menangani kegagalan login, agen pengguna, tingkat keparahan, mekanisme autentikasi, dan berbagai jenis peristiwa. FailUserName diprioritaskan daripada NormalizedUser untuk alamat email target dalam peristiwa kegagalan.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Project GCP dengan Cloud Storage API diaktifkan
Izin untuk membuat dan mengelola bucket GCS
Izin untuk mengelola kebijakan IAM di bucket GCS
Izin untuk membuat fungsi Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
Akses istimewa ke tenant SSO Delinea (Centrify)

Mengumpulkan kredensial SSO Delinea (Centrify)

Buat aplikasi klien OAuth2

Login ke Delinea Admin Portal.
Buka Aplikasi > Tambahkan Aplikasi Web.
Klik tab Kustom.
Telusuri OAuth2 Client, lalu klik Add.
Klik Ya dalam dialog Tambahkan Aplikasi Web.
Klik Tutup di dialog Tambahkan Aplikasi Web.
Di halaman Application Configuration, konfigurasikan hal berikut:
- Tab Setelan:
  - ID Aplikasi: Masukkan ID unik (misalnya, secops-oauth-client).
  - Nama Aplikasi: Masukkan nama deskriptif (misalnya, SecOps Data Export).
  - Deskripsi Aplikasi: Masukkan deskripsi (misalnya, OAuth client for exporting audit events to SecOps).
- Bagian Penggunaan Umum:
  - Client ID Type: Pilih Confidential.
  - Issued Client ID: Salin dan simpan nilai ini.
  - Issued Client Secret: Salin dan simpan nilai ini.
- Tab Token:
  - Auth Methods: Pilih Client Creds.
  - Jenis Token: Pilih JwtRS256.
- Tab Cakupan:
  - Tambahkan cakupan redrock/query dengan deskripsi Query API Access.
Klik Simpan untuk membuat klien OAuth.
Salin dan simpan detail berikut di lokasi yang aman:
- Tenant URL: URL tenant Centrify Anda (misalnya, https://yourtenant.my.centrify.com).
- Client ID: Dari langkah 7.
- Rahasia Klien: Dari langkah 7.
- ID Aplikasi OAuth: Dari Konfigurasi Aplikasi.

Verifikasi izin

Untuk memverifikasi bahwa klien OAuth memiliki izin yang diperlukan:

Login ke Delinea Admin Portal.
Buka Setelan (⚙️) > Sumber Daya > Peran.
Pastikan bahwa peran yang ditetapkan ke klien OAuth menyertakan izin Laporan: Peristiwa Audit: Lihat.
Jika izin tidak ada, hubungi administrator Delinea Anda untuk memberikan izin yang diperlukan.

Catatan: Klien OAuth harus memiliki izin Report: Audit Events: View untuk mengakses peristiwa audit melalui Redrock Query API.

Menguji akses API

Uji kredensial Anda sebelum melanjutkan integrasi:

# Replace with your actual credentials
TENANT_URL="https://yourtenant.my.centrify.com"
CLIENT_ID="your-client-id"
CLIENT_SECRET="your-client-secret"
OAUTH_APP_ID="your-oauth-application-id"

# Get OAuth token
TOKEN=$(curl -s -X POST "${TENANT_URL}/oauth2/token/${OAUTH_APP_ID}" \
  -H "Authorization: Basic $(echo -n "${CLIENT_ID}:${CLIENT_SECRET}" | base64)" \
  -H "X-CENTRIFY-NATIVE-CLIENT: True" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=client_credentials&scope=redrock/query" | jq -r '.access_token')

# Test query API access
curl -v -X POST "${TENANT_URL}/Redrock/query" \
  -H "Authorization: Bearer ${TOKEN}" \
  -H "X-CENTRIFY-NATIVE-CLIENT: True" \
  -H "Content-Type: application/json" \
  -d '{"Script":"Select * from Event where WhenOccurred > datefunc('"'"'now'"'"', '"'"'-1'"'"') ORDER BY WhenOccurred ASC","args":{"PageNumber":1,"PageSize":10,"Limit":10,"Caching":-1}}'

Jika berhasil, Anda akan melihat respons JSON dengan peristiwa audit. Jika Anda menerima error 401 atau 403, verifikasi kredensial dan izin Anda.

Membuat bucket Google Cloud Storage

Buka Google Cloud Console.
Pilih project Anda atau buat project baru.
Di menu navigasi, buka Cloud Storage > Buckets.
Klik Create bucket.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Beri nama bucket Anda	Masukkan nama yang unik secara global (misalnya, `delinea-centrify-logs-bucket`)
Location type	Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
Lokasi	Pilih lokasi (misalnya, `us-central1`)
Kelas penyimpanan	Standar (direkomendasikan untuk log yang sering diakses)
Access control	Seragam (direkomendasikan)
Alat perlindungan	Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

Klik Buat.

Buat akun layanan untuk Cloud Run Function

Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.

Membuat akun layanan

Di GCP Console, buka IAM & Admin > Service Accounts.
Klik Create Service Account.
Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan delinea-sso-collector-sa.
- Deskripsi akun layanan: Masukkan Service account for Cloud Run function to collect Delinea SSO logs.
Klik Create and Continue.
Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
1. Klik Pilih peran.
2. Telusuri dan pilih Storage Object Admin.
3. Klik + Add another role.
4. Telusuri dan pilih Cloud Run Invoker.
5. Klik + Add another role.
6. Telusuri dan pilih Cloud Functions Invoker.
Klik Lanjutkan.
Klik Selesai.

Peran ini diperlukan untuk:

Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
Cloud Functions Invoker: Mengizinkan pemanggilan fungsi

Memberikan izin IAM pada bucket GCS

Beri akun layanan izin tulis di bucket GCS:

Buka Cloud Storage > Buckets.
Klik nama bucket Anda (misalnya, delinea-centrify-logs-bucket).
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya, delinea-sso-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Tetapkan peran: Pilih Storage Object Admin.
Klik Simpan.

Membuat topik Pub/Sub

Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.

Di GCP Console, buka Pub/Sub > Topics.
Klik Create topic.
Berikan detail konfigurasi berikut:
- ID Topik: Masukkan delinea-sso-logs-trigger.
- Biarkan setelan lainnya tetap default.
Klik Buat.

Membuat fungsi Cloud Run untuk mengumpulkan log

Fungsi Cloud Run dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log dari Delinea SSO API dan menuliskannya ke GCS.

Di GCP Console, buka Cloud Run.
Klik Create service.
Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:

Setelan Nilai

Nama layanan delinea-sso-log-export

Wilayah Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)

Runtime Pilih Python 3.12 atau yang lebih baru
Di bagian Pemicu (opsional):
1. Klik + Tambahkan pemicu.
2. Pilih Cloud Pub/Sub.
3. Di Select a Cloud Pub/Sub topic, pilih topik Pub/Sub delinea-sso-logs-trigger.
4. Klik Simpan.
Di bagian Authentication:
1. Pilih Wajibkan autentikasi.
2. Periksa Identity and Access Management (IAM).
Catatan: Pub/Sub secara otomatis menangani autentikasi saat memanggil fungsi.
Scroll ke bawah dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih akun layanan delinea-sso-collector-sa.

Setelan	Nilai
Nama layanan	`delinea-sso-log-export`
Wilayah	Pilih region yang cocok dengan bucket GCS Anda (misalnya, `us-central1`)
Runtime	Pilih Python 3.12 atau yang lebih baru

Buka tab Containers:

Klik Variables & Secrets.
Klik + Tambahkan variabel untuk setiap variabel lingkungan:

Nama Variabel	Nilai Contoh	Deskripsi
`GCS_BUCKET`	`delinea-centrify-logs-bucket`	Nama bucket GCS
`GCS_PREFIX`	`centrify-sso-logs`	Awalan untuk file log
`STATE_KEY`	`centrify-sso-logs/state.json`	Jalur file status
`TENANT_URL`	`https://yourtenant.my.centrify.com`	URL tenant Delinea
`CLIENT_ID`	`your-client-id`	Client ID OAuth
`CLIENT_SECRET`	`your-client-secret`	Rahasia klien OAuth
`OAUTH_APP_ID`	`your-oauth-application-id`	ID aplikasi OAuth
`PAGE_SIZE`	`1000`	Data per halaman
`MAX_PAGES`	`10`	Jumlah maksimum halaman yang akan diambil

Di bagian Variables & Secrets, scroll ke bawah ke Requests:
- Waktu tunggu permintaan: Masukkan 600 detik (10 menit).
Buka tab Setelan:
- Di bagian Materi:
  - Memori: Pilih 512 MiB atau yang lebih tinggi.
  - CPU: Pilih 1.
Di bagian Penskalaan revisi:
- Jumlah minimum instance: Masukkan 0.
- Jumlah maksimum instance: Masukkan 100 (atau sesuaikan berdasarkan perkiraan beban).
Klik Buat.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.

Menambahkan kode fungsi

Masukkan main di Function entry point

Di editor kode inline, buat dua file:

File pertama: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time
import base64

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Delinea Centrify SSO audit events and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'centrify-sso-logs')
    state_key = os.environ.get('STATE_KEY', 'centrify-sso-logs/state.json')

    # Centrify API credentials
    tenant_url = os.environ.get('TENANT_URL')
    client_id = os.environ.get('CLIENT_ID')
    client_secret = os.environ.get('CLIENT_SECRET')
    oauth_app_id = os.environ.get('OAUTH_APP_ID')

    # Optional parameters
    page_size = int(os.environ.get('PAGE_SIZE', '1000'))
    max_pages = int(os.environ.get('MAX_PAGES', '10'))

    if not all([bucket_name, tenant_url, client_id, client_secret, oauth_app_id]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (last processed timestamp)
        state = load_state(bucket, state_key)
        last_timestamp = state.get('last_timestamp')

        print(f'Processing logs since {last_timestamp if last_timestamp else "24 hours ago"}')

        # Get OAuth access token
        access_token = get_oauth_token(tenant_url, client_id, client_secret, oauth_app_id)

        # Fetch audit events
        events = fetch_audit_events(tenant_url, access_token, last_timestamp, page_size, max_pages)

        if events:
            # Write events to GCS
            current_timestamp = datetime.now(timezone.utc)
            blob_name = f"{prefix}/centrify-sso-events-{current_timestamp.strftime('%Y%m%d_%H%M%S')}.json"
            blob = bucket.blob(blob_name)

            # Convert to JSONL format (one JSON object per line)
            jsonl_content = '\n'.join([json.dumps(event, default=str) for event in events])
            blob.upload_from_string(jsonl_content, content_type='application/x-ndjson')

            print(f'Wrote {len(events)} events to {blob_name}')

            # Update state with latest timestamp
            latest_timestamp = get_latest_event_timestamp(events)
            save_state(bucket, state_key, {'last_timestamp': latest_timestamp, 'updated_at': current_timestamp.isoformat() + 'Z'})

            print(f'Successfully processed {len(events)} events')
        else:
            print('No new events found')

    except Exception as e:
        print(f'Error processing Centrify SSO logs: {str(e)}')
        raise

def get_oauth_token(tenant_url, client_id, client_secret, oauth_app_id):
    """Get OAuth access token using client credentials flow."""
    credentials = f"{client_id}:{client_secret}"
    basic_auth = base64.b64encode(credentials.encode('utf-8')).decode('utf-8')

    token_url = f"{tenant_url}/oauth2/token/{oauth_app_id}"
    headers = {
        'Authorization': f'Basic {basic_auth}',
        'X-CENTRIFY-NATIVE-CLIENT': 'True',
        'Content-Type': 'application/x-www-form-urlencoded'
    }

    data = {
        'grant_type': 'client_credentials',
        'scope': 'redrock/query'
    }

    response = http.request('POST', token_url, headers=headers, fields=data)

    if response.status != 200:
        raise Exception(f"OAuth token request failed: {response.status} {response.data.decode('utf-8')}")

    token_data = json.loads(response.data.decode('utf-8'))
    return token_data['access_token']

def fetch_audit_events(tenant_url, access_token, last_timestamp, page_size, max_pages):
    """Fetch audit events from Centrify using the Redrock/query API with proper pagination."""
    query_url = f"{tenant_url}/Redrock/query"
    headers = {
        'Authorization': f'Bearer {access_token}',
        'X-CENTRIFY-NATIVE-CLIENT': 'True',
        'Content-Type': 'application/json'
    }

    # Build SQL query with timestamp filter
    if last_timestamp:
        sql_query = f"Select * from Event where WhenOccurred > '{last_timestamp}' ORDER BY WhenOccurred ASC"
    else:
        # First run - get events from last 24 hours
        sql_query = "Select * from Event where WhenOccurred > datefunc('now', '-1') ORDER BY WhenOccurred ASC"

    all_events = []
    page_num = 1
    backoff = 1.0

    while page_num <= max_pages:
        payload = {
            "Script": sql_query,
            "args": {
                "PageNumber": page_num,
                "PageSize": page_size,
                "Limit": page_size * max_pages,
                "Caching": -1
            }
        }

        try:
            response = http.request('POST', query_url, headers=headers, body=json.dumps(payload))

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f"Rate limited (429). Retrying after {retry_after}s...")
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status != 200:
                raise Exception(f"API query failed: {response.status} {response.data.decode('utf-8')}")

            response_data = json.loads(response.data.decode('utf-8'))

            if not response_data.get('success', False):
                raise Exception(f"API query failed: {response_data.get('Message', 'Unknown error')}")

            # Parse the response
            result = response_data.get('Result', {})
            columns = {col['Name']: i for i, col in enumerate(result.get('Columns', []))}
            raw_results = result.get('Results', [])

            if not raw_results:
                print(f"No more results on page {page_num}")
                break

            print(f"Page {page_num}: Retrieved {len(raw_results)} events")

            for raw_event in raw_results:
                event = {}
                row_data = raw_event.get('Row', {})

                # Map column names to values
                for col_name, col_index in columns.items():
                    if col_name in row_data and row_data[col_name] is not None:
                        event[col_name] = row_data[col_name]

                # Add metadata
                event['_source'] = 'centrify_sso'
                event['_collected_at'] = datetime.now(timezone.utc).isoformat() + 'Z'

                all_events.append(event)

            # Check if we've reached the end
            if len(raw_results) < page_size:
                print(f"Reached last page (page {page_num} returned {len(raw_results)} < {page_size})")
                break

            page_num += 1

        except Exception as e:
            print(f"Error fetching page {page_num}: {e}")
            raise

    print(f"Retrieved {len(all_events)} total events from {page_num} pages")
    return all_events

def get_latest_event_timestamp(events):
    """Get the latest timestamp from the events for state tracking."""
    if not events:
        return datetime.now(timezone.utc).isoformat() + 'Z'

    latest = None
    for event in events:
        when_occurred = event.get('WhenOccurred')
        if when_occurred:
            if latest is None or when_occurred > latest:
                latest = when_occurred

    return latest or datetime.now(timezone.utc).isoformat() + 'Z'

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

File kedua: requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).

Catatan: Konfigurasi pemicu Pub/Sub akan otomatis membuat langganan dan izin yang diperlukan.

Buat tugas Cloud Scheduler

Cloud Scheduler memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.

Di GCP Console, buka Cloud Scheduler.
Klik Create Job.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Nama	`delinea-sso-log-export-hourly`
Wilayah	Pilih region yang sama dengan fungsi Cloud Run
Frekuensi	`0 * * * *` (setiap jam, tepat pada waktunya)
Zona waktu	Pilih zona waktu (UTC direkomendasikan)
Jenis target	Pub/Sub
Topik	Pilih topik Pub/Sub `delinea-sso-logs-trigger`
Isi pesan	`{}` (objek JSON kosong)

Klik Buat.

Opsi frekuensi jadwal

Pilih frekuensi berdasarkan volume log dan persyaratan latensi:

Frekuensi	Ekspresi Cron	Kasus Penggunaan
Setiap 5 menit	`/5 * * *`	Volume tinggi, latensi rendah
Setiap 15 menit	`/15 * * *`	Volume sedang
Setiap jam	`0 * * * *`	Standar (direkomendasikan)
Setiap 6 jam	`0 /6 * *`	Volume rendah, pemrosesan batch
Harian	`0 0 * * *`	Pengumpulan data historis

Menguji integrasi

Di konsol Cloud Scheduler, temukan tugas Anda (misalnya, delinea-sso-log-export-hourly).
Klik Force run untuk memicu tugas secara manual.
Tunggu beberapa detik.
Buka Cloud Run > Services.
Klik nama fungsi delinea-sso-log-export.
Klik tab Logs.

Pastikan fungsi berhasil dieksekusi. Cari hal berikut:

Processing logs since YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote X events to centrify-sso-logs/centrify-sso-events_YYYYMMDD_HHMMSS.json
Successfully processed X events

Buka Cloud Storage > Buckets.
Klik nama bucket Anda (misalnya, delinea-centrify-logs-bucket).
Buka folder awalan centrify-sso-logs/.
Pastikan file .json baru dibuat dengan stempel waktu saat ini.

Jika Anda melihat error dalam log:

HTTP 401: Periksa kredensial API di variabel lingkungan (CLIENT_ID, CLIENT_SECRET, OAUTH_APP_ID)
HTTP 403: Verifikasi bahwa klien OAuth memiliki izin Report: Audit Events: View
HTTP 429: Pembatasan kecepatan - fungsi akan otomatis mencoba lagi dengan penundaan
Variabel lingkungan tidak ada: Pastikan semua variabel yang diperlukan ditetapkan dalam konfigurasi fungsi Cloud Run

Mengambil akun layanan Google SecOps

Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.

Dapatkan email akun layanan

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Delinea Centrify SSO logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Centrify sebagai Jenis log.
Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Salin alamat email ini untuk digunakan di langkah berikutnya.

Catatan: Setiap instance Google SecOps memiliki akun layanan yang unik. Jangan gunakan akun layanan dari dokumentasi atau contoh lain.

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.

Buka Cloud Storage > Buckets.
Klik nama bucket Anda (misalnya, delinea-centrify-logs-bucket).
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps.
- Tetapkan peran: Pilih Storage Object Viewer.
Klik Simpan.

Catatan: Jika Anda berencana menggunakan opsi penghapusan "Hapus file yang ditransfer" atau "Hapus file yang ditransfer dan direktori kosong", berikan peran Storage Object Admin, bukan Storage Object Viewer.

Mengonfigurasi feed di Google SecOps untuk menyerap log SSO Delinea (Centrify)

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Delinea Centrify SSO logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Centrify sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
```
gs://delinea-centrify-logs-bucket/centrify-sso-logs/
```
  - Ganti:
    - delinea-centrify-logs-bucket: Nama bucket GCS Anda.
    - centrify-sso-logs: Awalan/jalur folder opsional tempat log disimpan (biarkan kosong untuk root).
  - Contoh:
    - Bucket root: gs://company-logs/
    - Dengan awalan: gs://company-logs/centrify-sso-logs/
    - Dengan subfolder: gs://company-logs/delinea/sso/
  Catatan: Selalu sertakan garis miring (/) di akhir URI.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
  - Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
  - Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
    
    Catatan: Jika Anda memilih opsi penghapusan, akun layanan harus memiliki peran Storage Object Admin, bukan Storage Object Viewer. Perbarui izin IAM yang sesuai.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
AccountID	security_result.detection_fields.value	Nilai AccountID dari log mentah ditetapkan ke objek security_result.detection_fields dengan kunci: Account ID.
ApplicationName	target.application	Nilai ApplicationName dari log mentah ditetapkan ke kolom target.application.
AuthorityFQDN	target.asset.network_domain	Nilai AuthorityFQDN dari log mentah ditetapkan ke kolom target.asset.network_domain.
AuthorityID	target.asset.asset_id	Nilai AuthorityID dari log mentah ditetapkan ke kolom target.asset.asset_id, dengan awalan "AuthorityID:".
AzDeploymentId	security_result.detection_fields.value	Nilai AzDeploymentId dari log mentah ditetapkan ke objek security_result.detection_fields dengan kunci: AzDeploymentId.
AzRoleId	additional.fields.value.string_value	Nilai AzRoleId dari log mentah ditetapkan ke objek additional.fields dengan kunci: AzRoleId.
AzRoleName	target.user.attribute.roles.name	Nilai AzRoleName dari log mentah ditetapkan ke kolom target.user.attribute.roles.name.
ComputerFQDN	principal.asset.network_domain	Nilai ComputerFQDN dari log mentah ditetapkan ke kolom principal.asset.network_domain.
ComputerID	principal.asset.asset_id	Nilai ComputerID dari log mentah ditetapkan ke kolom principal.asset.asset_id, dengan awalan "ComputerId:".
ComputerName	about.hostname	Nilai ComputerName dari log mentah ditetapkan ke kolom about.hostname.
CredentialId	security_result.detection_fields.value	Nilai CredentialId dari log mentah ditetapkan ke objek security_result.detection_fields dengan kunci: Credential Id.
DirectoryServiceName	security_result.detection_fields.value	Nilai DirectoryServiceName dari log mentah ditetapkan ke objek security_result.detection_fields dengan kunci: Directory Service Name.
DirectoryServiceNameLocalized	security_result.detection_fields.value	Nilai DirectoryServiceNameLocalized dari log mentah ditetapkan ke objek security_result.detection_fields dengan kunci: Directory Service Name Localized.
DirectoryServiceUuid	security_result.detection_fields.value	Nilai DirectoryServiceUuid dari log mentah ditetapkan ke objek security_result.detection_fields dengan kunci: Directory Service Uuid.
EventMessage	security_result.summary	Nilai EventMessage dari log mentah ditetapkan ke kolom security_result.summary.
EventType	metadata.product_event_type	Nilai EventType dari log mentah ditetapkan ke kolom metadata.product_event_type. ID ini juga digunakan untuk menentukan metadata.event_type.
FailReason	security_result.summary	Nilai FailReason dari log mentah ditetapkan ke kolom security_result.summary jika ada.
FailUserName	target.user.email_addresses	Nilai FailUserName dari log mentah ditetapkan ke kolom target.user.email_addresses jika ada.
FromIPAddress	principal.ip	Nilai FromIPAddress dari log mentah ditetapkan ke kolom principal.ip.
ID	security_result.detection_fields.value	Nilai ID dari log mentah ditetapkan ke objek security_result.detection_fields dengan kunci: ID.
InternalTrackingID	metadata.product_log_id	Nilai InternalTrackingID dari log mentah ditetapkan ke kolom metadata.product_log_id.
JumpType	additional.fields.value.string_value	Nilai JumpType dari log mentah ditetapkan ke objek additional.fields dengan kunci: Jump Type.
NormalizedUser	target.user.email_addresses	Nilai NormalizedUser dari log mentah ditetapkan ke kolom target.user.email_addresses.
OperationMode	additional.fields.value.string_value	Nilai OperationMode dari log mentah ditetapkan ke objek additional.fields dengan kunci: Operation Mode.
ProxyId	security_result.detection_fields.value	Nilai ProxyId dari log mentah ditetapkan ke objek security_result.detection_fields dengan kunci: Proxy ID.
RequestUserAgent	network.http.user_agent	Nilai RequestUserAgent dari log mentah ditetapkan ke kolom network.http.user_agent.
SessionGuid	network.session_id	Nilai SessionGuid dari log mentah ditetapkan ke kolom network.session_id.
Tenant	additional.fields.value.string_value	Nilai Tenant dari log mentah ditetapkan ke objek additional.fields dengan kunci: Tenant.
ThreadType	additional.fields.value.string_value	Nilai ThreadType dari log mentah ditetapkan ke objek additional.fields dengan kunci: Thread Type.
UserType	principal.user.attribute.roles.name	Nilai UserType dari log mentah ditetapkan ke kolom principal.user.attribute.roles.name.
WhenOccurred	metadata.event_timestamp	Nilai WhenOccurred dari log mentah diuraikan dan ditetapkan ke kolom metadata.event_timestamp. Kolom ini juga mengisi kolom stempel waktu tingkat teratas.
Nilai yang di-hardcode	metadata.product_name	"SSO".
Nilai yang di-hardcode	metadata.event_type	Ditentukan oleh kolom EventType. Defaultnya adalah STATUS_UPDATE jika EventType tidak ada atau tidak cocok dengan kriteria tertentu. Dapat berupa USER_LOGIN, USER_CREATION, USER_RESOURCE_ACCESS, USER_LOGOUT, atau USER_CHANGE_PASSWORD.
Nilai yang di-hardcode	metadata.vendor_name	"CENTRIFY_SSO".
Nilai yang di-hardcode	metadata.product_version	"SSO".
Nilai yang di-hardcode	metadata.log_type	"Centrify".
Diekstrak dari kolom pesan	network.session_id	Jika kolom pesan berisi ID sesi, ID tersebut akan diekstrak dan digunakan. Jika tidak, defaultnya adalah "1".
Diekstrak dari kolom host	principal.hostname	Diekstrak dari kolom host jika tersedia, yang berasal dari header syslog.
Diekstrak dari kolom pid	principal.process.pid	Diekstrak dari kolom pid jika tersedia, yang berasal dari header syslog.
UserGuid atau diekstrak dari pesan	target.user.userid	Jika UserGuid ada, nilainya akan digunakan. Jika tidak, jika kolom pesan berisi ID pengguna, ID tersebut akan diekstrak dan digunakan.
Ditentukan oleh Level dan FailReason	security_result.action	Ditetapkan ke "ALLOW" jika Level adalah "Info", dan "BLOCK" jika FailReason ada.
Ditentukan oleh FailReason	security_result.category	Ditetapkan ke "AUTH_VIOLATION" jika FailReason ada.
Ditentukan oleh kolom Level	security_result.severity	Ditentukan oleh kolom Level. Ditetapkan ke "INFORMATIONAL" jika Level adalah "Info", "MEDIUM" jika Level adalah "Warning", dan "ERROR" jika Level adalah "Error".

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.