Raccogliere i log di Delinea Single Sign-On (SSO)

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log Single Sign-On (SSO) di Delinea (precedentemente Centrify) in Google Security Operations utilizzando Google Cloud Storage. Il parser estrae i log, gestendo sia i formati JSON che syslog. Analizza coppie chiave-valore, timestamp e altri campi pertinenti, mappandoli al modello UDM, con una logica specifica per la gestione di errori di accesso, user agent, livelli di gravità, meccanismi di autenticazione e vari tipi di eventi. Assegna la priorità a FailUserName rispetto a NormalizedUser per gli indirizzi email di destinazione negli eventi di errore.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

Un'istanza Google SecOps
Un progetto GCP con l'API Cloud Storage abilitata
Autorizzazioni per creare e gestire bucket GCS
Autorizzazioni per gestire le policy IAM nei bucket GCS
Autorizzazioni per creare funzioni Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
Accesso con privilegi al tenant SSO Delinea (Centrify)

Raccogliere le credenziali SSO di Delinea (Centrify)

Crea l'applicazione client OAuth2

Accedi al portale di amministrazione Delinea.
Vai ad App > Aggiungi app web.
Fai clic sulla scheda Personalizzata.
Cerca OAuth2 Client e fai clic su Aggiungi.
Fai clic su Sì nella finestra di dialogo Aggiungi app web.
Fai clic su Chiudi nella finestra di dialogo Aggiungi app web.
Nella pagina Configurazione applicazione, configura quanto segue:
- Scheda Impostazioni:
  - ID applicazione: inserisci un identificatore univoco (ad esempio, secops-oauth-client).
  - Nome applicazione: inserisci un nome descrittivo (ad esempio, SecOps Data Export).
  - Descrizione dell'applicazione: inserisci una descrizione (ad esempio, OAuth client for exporting audit events to SecOps).
- Sezione Utilizzo generale:
  - Tipo di ID client: seleziona Riservato.
  - ID client emesso: copia e salva questo valore.
  - Client secret emesso: copia e salva questo valore.
- Scheda Token:
  - Auth Methods (Metodi di autenticazione): seleziona Client Creds (Credenziali client).
  - Tipo di token: seleziona JwtRS256.
- Scheda Ambito:
  - Aggiungi l'ambito redrock/query con la descrizione Query API Access.
Fai clic su Salva per creare il client OAuth.
Copia e salva in una posizione sicura i seguenti dettagli:
- URL tenant: l'URL tenant di Centrify (ad esempio, https://yourtenant.my.centrify.com).
- ID client: dal passaggio 7.
- Client secret: dal passaggio 7.
- ID applicazione OAuth: dalla configurazione dell'applicazione.

Verifica le autorizzazioni

Per verificare che il client OAuth disponga delle autorizzazioni necessarie:

Accedi al portale di amministrazione Delinea.
Vai a Impostazioni (⚙️) > Risorse > Ruoli.
Verifica che il ruolo assegnato al client OAuth includa l'autorizzazione Report: Eventi di controllo: visualizza.
Se l'autorizzazione non è presente, contatta l'amministratore Delinea per concederla.

Nota: il client OAuth deve disporre dell'autorizzazione Report: Audit Events: View per accedere agli eventi di controllo tramite l'API Redrock Query.

Testare l'accesso API

Verifica le tue credenziali prima di procedere con l'integrazione:

# Replace with your actual credentials
TENANT_URL="https://yourtenant.my.centrify.com"
CLIENT_ID="your-client-id"
CLIENT_SECRET="your-client-secret"
OAUTH_APP_ID="your-oauth-application-id"

# Get OAuth token
TOKEN=$(curl -s -X POST "${TENANT_URL}/oauth2/token/${OAUTH_APP_ID}" \
  -H "Authorization: Basic $(echo -n "${CLIENT_ID}:${CLIENT_SECRET}" | base64)" \
  -H "X-CENTRIFY-NATIVE-CLIENT: True" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=client_credentials&scope=redrock/query" | jq -r '.access_token')

# Test query API access
curl -v -X POST "${TENANT_URL}/Redrock/query" \
  -H "Authorization: Bearer ${TOKEN}" \
  -H "X-CENTRIFY-NATIVE-CLIENT: True" \
  -H "Content-Type: application/json" \
  -d '{"Script":"Select * from Event where WhenOccurred > datefunc('"'"'now'"'"', '"'"'-1'"'"') ORDER BY WhenOccurred ASC","args":{"PageNumber":1,"PageSize":10,"Limit":10,"Caching":-1}}'

In caso di esito positivo, dovresti visualizzare una risposta JSON con gli eventi di controllo. Se ricevi un errore 401 o 403, verifica le tue credenziali e le tue autorizzazioni.

Creazione di un bucket Google Cloud Storage

Vai alla console Google Cloud.
Seleziona il tuo progetto o creane uno nuovo.
Nel menu di navigazione, vai a Cloud Storage > Bucket.
Fai clic su Crea bucket.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio `delinea-centrify-logs-bucket`).
Tipo di località	Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
Località	Seleziona la posizione (ad esempio, `us-central1`).
Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
Controllo dell'accesso	Uniforme (consigliato)
Strumenti di protezione	(Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

Fai clic su Crea.

Crea un service account per la funzione Cloud Run

La funzione Cloud Run richiede un service account con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.

Crea service account

Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
Fai clic su Crea service account.
Fornisci i seguenti dettagli di configurazione:
- Nome del service account: inserisci delinea-sso-collector-sa.
- Descrizione service account: inserisci Service account for Cloud Run function to collect Delinea SSO logs.
Fai clic su Crea e continua.
Nella sezione Concedi a questo service account l'accesso al progetto, aggiungi i seguenti ruoli:
1. Fai clic su Seleziona un ruolo.
2. Cerca e seleziona Amministratore oggetti di archiviazione.
3. Fai clic su + Aggiungi un altro ruolo.
4. Cerca e seleziona Cloud Run Invoker.
5. Fai clic su + Aggiungi un altro ruolo.
6. Cerca e seleziona Invoker di Cloud Functions.
Fai clic su Continua.
Fai clic su Fine.

Questi ruoli sono necessari per:

Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al service account le autorizzazioni di scrittura sul bucket GCS:

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket (ad esempio delinea-centrify-logs-bucket).
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: inserisci l'email del service account (ad es. delinea-sso-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Assegna i ruoli: seleziona Storage Object Admin.
Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

Nella console GCP, vai a Pub/Sub > Argomenti.
Fai clic su Crea argomento.
Fornisci i seguenti dettagli di configurazione:
- ID argomento: inserisci delinea-sso-logs-trigger.
- Lascia le altre impostazioni sui valori predefiniti.
Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run viene attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API Delinea SSO e li scrive in GCS.

Nella console GCP, vai a Cloud Run.
Fai clic su Crea servizio.
Seleziona Funzione (usa un editor in linea per creare una funzione).

Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome servizio	`delinea-sso-log-export`
Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio `us-central1`)
Runtime	Seleziona Python 3.12 o versioni successive

Nella sezione Trigger (facoltativo):
1. Fai clic su + Aggiungi trigger.
2. Seleziona Cloud Pub/Sub.
3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento Pub/Sub delinea-sso-logs-trigger.
4. Fai clic su Salva.
Nella sezione Autenticazione:
1. Seleziona Richiedi autenticazione.
2. Controlla Identity and Access Management (IAM).
Nota: Pub/Sub gestisce automaticamente l'autenticazione quando richiama la funzione.
Scorri verso il basso ed espandi Container, networking, sicurezza.
Vai alla scheda Sicurezza:
- Service account: seleziona il service account delinea-sso-collector-sa.

Vai alla scheda Container:

Fai clic su Variabili e secret.
Fai clic su + Aggiungi variabile per ogni variabile di ambiente:

Nome variabile	Valore di esempio	Descrizione
`GCS_BUCKET`	`delinea-centrify-logs-bucket`	Nome bucket GCS
`GCS_PREFIX`	`centrify-sso-logs`	Prefisso per i file di log
`STATE_KEY`	`centrify-sso-logs/state.json`	Percorso file di stato
`TENANT_URL`	`https://yourtenant.my.centrify.com`	URL tenant Delinea
`CLIENT_ID`	`your-client-id`	ID client OAuth
`CLIENT_SECRET`	`your-client-secret`	Client secret OAuth
`OAUTH_APP_ID`	`your-oauth-application-id`	ID applicazione OAuth
`PAGE_SIZE`	`1000`	Record per pagina
`MAX_PAGES`	`10`	Numero massimo di pagine da recuperare

Nella sezione Variabili e secret, scorri verso il basso fino a Richieste:
- Timeout richiesta: inserisci 600 secondi (10 minuti).
Vai alla scheda Impostazioni:
- Nella sezione Risorse:
  - Memoria: seleziona 512 MiB o un valore superiore.
  - CPU: seleziona 1.
Nella sezione Scalabilità della revisione:
- Numero minimo di istanze: inserisci 0.
- Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto).
Fai clic su Crea.
Attendi la creazione del servizio (1-2 minuti).
Dopo aver creato il servizio, si apre automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

Inserisci main in Entry point della funzione

Nell'editor di codice incorporato, crea due file:

Primo file: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time
import base64

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Delinea Centrify SSO audit events and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'centrify-sso-logs')
    state_key = os.environ.get('STATE_KEY', 'centrify-sso-logs/state.json')

    # Centrify API credentials
    tenant_url = os.environ.get('TENANT_URL')
    client_id = os.environ.get('CLIENT_ID')
    client_secret = os.environ.get('CLIENT_SECRET')
    oauth_app_id = os.environ.get('OAUTH_APP_ID')

    # Optional parameters
    page_size = int(os.environ.get('PAGE_SIZE', '1000'))
    max_pages = int(os.environ.get('MAX_PAGES', '10'))

    if not all([bucket_name, tenant_url, client_id, client_secret, oauth_app_id]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (last processed timestamp)
        state = load_state(bucket, state_key)
        last_timestamp = state.get('last_timestamp')

        print(f'Processing logs since {last_timestamp if last_timestamp else "24 hours ago"}')

        # Get OAuth access token
        access_token = get_oauth_token(tenant_url, client_id, client_secret, oauth_app_id)

        # Fetch audit events
        events = fetch_audit_events(tenant_url, access_token, last_timestamp, page_size, max_pages)

        if events:
            # Write events to GCS
            current_timestamp = datetime.now(timezone.utc)
            blob_name = f"{prefix}/centrify-sso-events-{current_timestamp.strftime('%Y%m%d_%H%M%S')}.json"
            blob = bucket.blob(blob_name)

            # Convert to JSONL format (one JSON object per line)
            jsonl_content = '\n'.join([json.dumps(event, default=str) for event in events])
            blob.upload_from_string(jsonl_content, content_type='application/x-ndjson')

            print(f'Wrote {len(events)} events to {blob_name}')

            # Update state with latest timestamp
            latest_timestamp = get_latest_event_timestamp(events)
            save_state(bucket, state_key, {'last_timestamp': latest_timestamp, 'updated_at': current_timestamp.isoformat() + 'Z'})

            print(f'Successfully processed {len(events)} events')
        else:
            print('No new events found')

    except Exception as e:
        print(f'Error processing Centrify SSO logs: {str(e)}')
        raise

def get_oauth_token(tenant_url, client_id, client_secret, oauth_app_id):
    """Get OAuth access token using client credentials flow."""
    credentials = f"{client_id}:{client_secret}"
    basic_auth = base64.b64encode(credentials.encode('utf-8')).decode('utf-8')

    token_url = f"{tenant_url}/oauth2/token/{oauth_app_id}"
    headers = {
        'Authorization': f'Basic {basic_auth}',
        'X-CENTRIFY-NATIVE-CLIENT': 'True',
        'Content-Type': 'application/x-www-form-urlencoded'
    }

    data = {
        'grant_type': 'client_credentials',
        'scope': 'redrock/query'
    }

    response = http.request('POST', token_url, headers=headers, fields=data)

    if response.status != 200:
        raise Exception(f"OAuth token request failed: {response.status} {response.data.decode('utf-8')}")

    token_data = json.loads(response.data.decode('utf-8'))
    return token_data['access_token']

def fetch_audit_events(tenant_url, access_token, last_timestamp, page_size, max_pages):
    """Fetch audit events from Centrify using the Redrock/query API with proper pagination."""
    query_url = f"{tenant_url}/Redrock/query"
    headers = {
        'Authorization': f'Bearer {access_token}',
        'X-CENTRIFY-NATIVE-CLIENT': 'True',
        'Content-Type': 'application/json'
    }

    # Build SQL query with timestamp filter
    if last_timestamp:
        sql_query = f"Select * from Event where WhenOccurred > '{last_timestamp}' ORDER BY WhenOccurred ASC"
    else:
        # First run - get events from last 24 hours
        sql_query = "Select * from Event where WhenOccurred > datefunc('now', '-1') ORDER BY WhenOccurred ASC"

    all_events = []
    page_num = 1
    backoff = 1.0

    while page_num <= max_pages:
        payload = {
            "Script": sql_query,
            "args": {
                "PageNumber": page_num,
                "PageSize": page_size,
                "Limit": page_size * max_pages,
                "Caching": -1
            }
        }

        try:
            response = http.request('POST', query_url, headers=headers, body=json.dumps(payload))

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f"Rate limited (429). Retrying after {retry_after}s...")
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status != 200:
                raise Exception(f"API query failed: {response.status} {response.data.decode('utf-8')}")

            response_data = json.loads(response.data.decode('utf-8'))

            if not response_data.get('success', False):
                raise Exception(f"API query failed: {response_data.get('Message', 'Unknown error')}")

            # Parse the response
            result = response_data.get('Result', {})
            columns = {col['Name']: i for i, col in enumerate(result.get('Columns', []))}
            raw_results = result.get('Results', [])

            if not raw_results:
                print(f"No more results on page {page_num}")
                break

            print(f"Page {page_num}: Retrieved {len(raw_results)} events")

            for raw_event in raw_results:
                event = {}
                row_data = raw_event.get('Row', {})

                # Map column names to values
                for col_name, col_index in columns.items():
                    if col_name in row_data and row_data[col_name] is not None:
                        event[col_name] = row_data[col_name]

                # Add metadata
                event['_source'] = 'centrify_sso'
                event['_collected_at'] = datetime.now(timezone.utc).isoformat() + 'Z'

                all_events.append(event)

            # Check if we've reached the end
            if len(raw_results) < page_size:
                print(f"Reached last page (page {page_num} returned {len(raw_results)} < {page_size})")
                break

            page_num += 1

        except Exception as e:
            print(f"Error fetching page {page_num}: {e}")
            raise

    print(f"Retrieved {len(all_events)} total events from {page_num} pages")
    return all_events

def get_latest_event_timestamp(events):
    """Get the latest timestamp from the events for state tracking."""
    if not events:
        return datetime.now(timezone.utc).isoformat() + 'Z'

    latest = None
    for event in events:
        when_occurred = event.get('WhenOccurred')
        if when_occurred:
            if latest is None or when_occurred > latest:
                latest = when_occurred

    return latest or datetime.now(timezone.utc).isoformat() + 'Z'

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

Secondo file: requirements.txt::

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.
Attendi il completamento del deployment (2-3 minuti).

Nota :la configurazione del trigger Pub/Sub crea automaticamente le sottoscrizioni e le autorizzazioni necessarie.

Crea job Cloud Scheduler

Cloud Scheduler pubblica messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

Nella console di GCP, vai a Cloud Scheduler.
Fai clic su Crea job.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome	`delinea-sso-log-export-hourly`
Regione	Seleziona la stessa regione della funzione Cloud Run
Frequenza	`0 * * * *` (ogni ora, all'ora)
Fuso orario	Seleziona il fuso orario (UTC consigliato)
Tipo di target	Pub/Sub
Argomento	Seleziona l'argomento Pub/Sub `delinea-sso-logs-trigger`
Corpo del messaggio	`{}` (oggetto JSON vuoto)

Fai clic su Crea.

Opzioni di frequenza di pianificazione

Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

Frequenza	Espressione cron	Caso d'uso
Ogni 5 minuti	`/5 * * *`	Volume elevato, bassa latenza
Ogni 15 minuti	`/15 * * *`	Volume medio
Ogni ora	`0 * * * *`	Standard (consigliato)
Ogni 6 ore	`0 /6 * *`	Volume basso, elaborazione batch
Ogni giorno	`0 0 * * *`	Raccolta dei dati storici

Testare l'integrazione

Nella console Cloud Scheduler, trova il tuo job (ad esempio delinea-sso-log-export-hourly).
Fai clic su Forza esecuzione per attivare il job manualmente.
Aspetta alcuni secondi.
Vai a Cloud Run > Servizi.
Fai clic sul nome della funzione delinea-sso-log-export.
Fai clic sulla scheda Log.

Verifica che la funzione sia stata eseguita correttamente. Cerca quanto segue:

Processing logs since YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote X events to centrify-sso-logs/centrify-sso-events_YYYYMMDD_HHMMSS.json
Successfully processed X events

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket (ad esempio delinea-centrify-logs-bucket).
Vai alla cartella del prefisso centrify-sso-logs/.
Verifica che sia stato creato un nuovo file .json con il timestamp corrente.

Se visualizzi errori nei log:

HTTP 401: controlla le credenziali API nelle variabili di ambiente (CLIENT_ID, CLIENT_SECRET, OAUTH_APP_ID)
HTTP 403: verifica che il client OAuth disponga dell'autorizzazione Report: Audit Events: View
HTTP 429: limitazione della frequenza: la funzione riproverà automaticamente con backoff
Variabili di ambiente mancanti: verifica che tutte le variabili richieste siano impostate nella configurazione della funzione Cloud Run

Recuperare il service account Google SecOps

Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.

Recuperare l'email del service account

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Delinea Centrify SSO logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Centrify come Tipo di log.
Fai clic su Ottieni service account. Verrà visualizzata un'email univoca del service account, ad esempio:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Nota: ogni istanza di Google SecOps ha un service account univoco. Non utilizzare service account di altre documentazioni o esempi.

Concedi le autorizzazioni IAM al service account Google SecOps

Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket (ad esempio delinea-centrify-logs-bucket).
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: incolla l'email del service account Google SecOps.
- Assegna i ruoli: seleziona Visualizzatore oggetti Storage.
Fai clic su Salva.

Nota: se prevedi di utilizzare l'opzione di eliminazione "Elimina i file trasferiti" o "Elimina i file trasferiti e le directory vuote", assegna il ruolo Storage Object Admin anziché Storage Object Viewer.

Configura un feed in Google SecOps per importare i log SSO di Delinea (Centrify)

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Delinea Centrify SSO logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Centrify come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:
```
gs://delinea-centrify-logs-bucket/centrify-sso-logs/
```
  - Sostituisci:
    - delinea-centrify-logs-bucket: il nome del bucket GCS.
    - centrify-sso-logs: (Facoltativo) prefisso/percorso della cartella in cui vengono archiviati i log (lascia vuoto per la radice).
  - Esempi:
    - Bucket radice: gs://company-logs/
    - Con prefisso: gs://company-logs/centrify-sso-logs/
    - Con sottocartella: gs://company-logs/delinea/sso/
  Nota: includi sempre la barra finale (/) alla fine dell'URI.
- Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:
  - Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
  - Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.
  - Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.
    
    Nota :se selezioni un'opzione di eliminazione, il service account deve disporre del ruolo Storage Object Admin anziché di Storage Object Viewer. Aggiorna le autorizzazioni IAM di conseguenza.
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Funzione logica
AccountID	security_result.detection_fields.value	Il valore di AccountID del log non elaborato viene assegnato a un oggetto security_result.detection_fields con la chiave: ID account.
ApplicationName	target.application	Il valore di ApplicationName del log non elaborato viene assegnato al campo target.application.
AuthorityFQDN	target.asset.network_domain	Il valore di AuthorityFQDN del log non elaborato viene assegnato al campo target.asset.network_domain.
AuthorityID	target.asset.asset_id	Il valore di AuthorityID del log non elaborato viene assegnato al campo target.asset.asset_id, con il prefisso "AuthorityID:".
AzDeploymentId	security_result.detection_fields.value	Il valore di AzDeploymentId del log non elaborato viene assegnato a un oggetto security_result.detection_fields con la chiave AzDeploymentId.
AzRoleId	additional.fields.value.string_value	Il valore di AzRoleId del log non elaborato viene assegnato a un oggetto additional.fields con la chiave AzRoleId.
AzRoleName	target.user.attribute.roles.name	Il valore di AzRoleName del log non elaborato viene assegnato al campo target.user.attribute.roles.name.
ComputerFQDN	principal.asset.network_domain	Il valore di ComputerFQDN del log non elaborato viene assegnato al campo principal.asset.network_domain.
ComputerID	principal.asset.asset_id	Il valore di ComputerID del log non elaborato viene assegnato al campo principal.asset.asset_id, con il prefisso "ComputerId:".
ComputerName	about.hostname	Il valore di ComputerName del log non elaborato viene assegnato al campo about.hostname.
CredentialId	security_result.detection_fields.value	Il valore di CredentialId del log non elaborato viene assegnato a un oggetto security_result.detection_fields con la chiave Credential Id.
DirectoryServiceName	security_result.detection_fields.value	Il valore di DirectoryServiceName del log non elaborato viene assegnato a un oggetto security_result.detection_fields con la chiave: Directory Service Name.
DirectoryServiceNameLocalized	security_result.detection_fields.value	Il valore di DirectoryServiceNameLocalized del log non elaborato viene assegnato a un oggetto security_result.detection_fields con la chiave: Directory Service Name Localized.
DirectoryServiceUuid	security_result.detection_fields.value	Il valore di DirectoryServiceUuid dal log non elaborato viene assegnato a un oggetto security_result.detection_fields con la chiave: Directory Service Uuid.
EventMessage	security_result.summary	Il valore di EventMessage del log non elaborato viene assegnato al campo security_result.summary.
EventType	metadata.product_event_type	Il valore di EventType del log non elaborato viene assegnato al campo metadata.product_event_type. Viene utilizzato anche per determinare metadata.event_type.
FailReason	security_result.summary	Il valore di FailReason del log non elaborato viene assegnato al campo security_result.summary, se presente.
FailUserName	target.user.email_addresses	Il valore di FailUserName del log non elaborato viene assegnato al campo target.user.email_addresses, se presente.
FromIPAddress	principal.ip	Il valore di FromIPAddress del log non elaborato viene assegnato al campo principal.ip.
ID	security_result.detection_fields.value	Il valore dell'ID del log non elaborato viene assegnato a un oggetto security_result.detection_fields con la chiave ID.
InternalTrackingID	metadata.product_log_id	Il valore di InternalTrackingID del log non elaborato viene assegnato al campo metadata.product_log_id.
JumpType	additional.fields.value.string_value	Il valore di JumpType del log non elaborato viene assegnato a un oggetto additional.fields con la chiave Jump Type.
NormalizedUser	target.user.email_addresses	Il valore di NormalizedUser del log non elaborato viene assegnato al campo target.user.email_addresses.
OperationMode	additional.fields.value.string_value	Il valore di OperationMode del log non elaborato viene assegnato a un oggetto additional.fields con la chiave: Operation Mode.
ProxyId	security_result.detection_fields.value	Il valore di ProxyId del log non elaborato viene assegnato a un oggetto security_result.detection_fields con la chiave Proxy Id.
RequestUserAgent	network.http.user_agent	Il valore di RequestUserAgent del log non elaborato viene assegnato al campo network.http.user_agent.
SessionGuid	network.session_id	Il valore di SessionGuid del log non elaborato viene assegnato al campo network.session_id.
Tenant	additional.fields.value.string_value	Il valore di Tenant del log non elaborato viene assegnato a un oggetto additional.fields con la chiave Tenant.
ThreadType	additional.fields.value.string_value	Il valore di ThreadType del log non elaborato viene assegnato a un oggetto additional.fields con la chiave Thread Type.
UserType	principal.user.attribute.roles.name	Il valore di UserType del log non elaborato viene assegnato al campo principal.user.attribute.roles.name.
WhenOccurred	metadata.event_timestamp	Il valore di WhenOccurred del log non elaborato viene analizzato e assegnato al campo metadata.event_timestamp. Questo campo compila anche il campo timestamp di primo livello.
Valore hardcoded	metadata.product_name	"SSO".
Valore hardcoded	metadata.event_type	Determinato dal campo EventType. Se EventType non è presente o non corrisponde a criteri specifici, il valore predefinito è STATUS_UPDATE. Può essere USER_LOGIN, USER_CREATION, USER_RESOURCE_ACCESS, USER_LOGOUT o USER_CHANGE_PASSWORD.
Valore hardcoded	metadata.vendor_name	"CENTRIFY_SSO".
Valore hardcoded	metadata.product_version	"SSO".
Valore hardcoded	metadata.log_type	"Centrify".
Estratto dal campo del messaggio	network.session_id	Se il campo del messaggio contiene un ID sessione, questo viene estratto e utilizzato. In caso contrario, il valore predefinito è "1".
Estratto dal campo Host	principal.hostname	Estratto dal campo host, se disponibile, che proviene dall'intestazione syslog.
Estratto dal campo pid	principal.process.pid	Estratto dal campo pid, se disponibile, che proviene dall'intestazione syslog.
UserGuid o estratto dal messaggio	target.user.userid	Se UserGuid è presente, viene utilizzato il relativo valore. In caso contrario, se il campo del messaggio contiene un ID utente, questo viene estratto e utilizzato.
Determinato da Level e FailReason	security_result.action	Imposta "ALLOW" se Level è "Info" e "BLOCK" se FailReason è presente.
Determinato da FailReason	security_result.category	Impostato su "AUTH_VIOLATION" se FailReason è presente.
Determinato dal campo Livello	security_result.severity	Determinato dal campo Livello. Impostato su "INFORMATIONAL" se Level è "Info", "MEDIUM" se Level è "Warning" e "ERROR" se Level è "Error".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.