Recopila registros de autenticación de Duo

Se admite en los siguientes sistemas operativos:

En este documento, se explica cómo transferir registros de autenticación de Duo a Google Security Operations. El analizador extrae los registros de los mensajes con formato JSON. Transforma los datos de registro sin procesar en el Modelo de datos unificado (UDM), asignando campos como el usuario, el dispositivo, la aplicación, la ubicación y los detalles de autenticación, y también controla varios factores y resultados de autenticación para categorizar los eventos de seguridad. El analizador también realiza la limpieza de datos, la conversión de tipos y el control de errores para garantizar la calidad y la coherencia de los datos.

Elige entre dos métodos de recopilación:

  • Opción 1: Transferencia directa con la API de terceros
  • Opción 2: Recopila registros con la función de Cloud Run y Google Cloud Storage

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Acceso con privilegios al panel de administración de Duo (se requiere el rol de propietario para crear aplicaciones de la API de Admin)
  • Acceso privilegiado a GCP si se usa la opción 2

Opción 1: Ingresa los registros de autenticación de Duo con la API de terceros

Recopila los requisitos previos de Duo (credenciales de API)

  1. Accede al panel de administración de Duo como administrador con el rol de Propietario, Administrador o Administrador de aplicaciones.
  2. Ve a Aplicaciones > Catálogo de aplicaciones.
  3. Ubica la entrada de la API de Admin en el catálogo.
  4. Haz clic en + Agregar para crear la aplicación.
  5. Copia y guarda en una ubicación segura los siguientes detalles:
    • Clave de integración
    • Clave de secreto
    • Nombre de host de la API (por ejemplo, api-XXXXXXXX.duosecurity.com)
  6. Ve a la sección Permisos.
  7. Anula la selección de todas las opciones de permisos, excepto Grant read log.
  8. Haz clic en Guardar cambios.

Configura un feed en Google SecOps para transferir registros de autenticación de Duo

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en + Agregar feed nuevo.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Duo Authentication Logs).
  4. Selecciona API de terceros como el Tipo de origen.
  5. Selecciona Duo Auth como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifica valores para los siguientes parámetros de entrada:
    • Nombre de usuario: Ingresa la clave de integración de Duo.
    • Secreto: Ingresa la clave secreta de Duo.
    • Nombre de host de la API: Ingresa el nombre de host de tu API (por ejemplo, api-XXXXXXXX.duosecurity.com).
    • Espacio de nombres del recurso: Opcional. Es el espacio de nombres del recurso.
    • Etiquetas de transferencia: Opcional. Es la etiqueta que se aplicará a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Opción 2: Transfiere registros de autenticación de Duo con Google Cloud Storage

Recopila las credenciales de la API de Duo Admin

  1. Accede al panel de administración de Duo.
  2. Ve a Aplicaciones > Catálogo de aplicaciones.
  3. Ubica la API de Admin en el catálogo de aplicaciones.
  4. Haz clic en + Agregar para agregar la aplicación de la API de Admin.
  5. Copia y guarda los siguientes valores:
    • Clave de integración (ikey)
    • Clave secreta (skey)
    • Nombre de host de la API (por ejemplo, api-XXXXXXXX.duosecurity.com)
  6. En Permisos, habilita Otorga acceso al registro de lectura.
  7. Haz clic en Guardar cambios.

Crea un bucket de Google Cloud Storage

  1. Ve a Google Cloud Console.
  2. Selecciona tu proyecto o crea uno nuevo.
  3. En el menú de navegación, ve a Cloud Storage > Buckets.
  4. Haz clic en Crear bucket.

  5. Proporciona los siguientes detalles de configuración:

    Configuración Valor
    Asigna un nombre a tu bucket Ingresa un nombre global único (por ejemplo, duo-auth-logs).
    Tipo de ubicación Elige según tus necesidades (región, birregional, multirregional)
    Ubicación Selecciona la ubicación (por ejemplo, us-central1).
    Clase de almacenamiento Estándar (recomendado para los registros a los que se accede con frecuencia)
    Control de acceso Uniforme (recomendado)
    Herramientas de protección Opcional: Habilita el control de versiones de objetos o la política de retención

  6. Haz clic en Crear.

Crea una cuenta de servicio para la Cloud Run Function

La Cloud Run Function necesita una cuenta de servicio con permisos para escribir en el bucket de GCS.

Crear cuenta de servicio

  1. En GCP Console, ve a IAM y administración > Cuentas de servicio.
  2. Haz clic en Crear cuenta de servicio.
  3. Proporciona los siguientes detalles de configuración:
    • Nombre de la cuenta de servicio: Ingresa duo-auth-collector-sa.
    • Descripción de la cuenta de servicio: Ingresa Service account for Cloud Run function to collect Duo authentication logs.
  4. Haz clic en Crear y continuar.
  5. En la sección Otorga a esta cuenta de servicio acceso al proyecto, agrega los siguientes roles:
    1. Haz clic en Selecciona un rol.
    2. Busca y selecciona Administrador de objetos de almacenamiento.
    3. Haz clic en + Agregar otra función.
    4. Busca y selecciona Invocador de Cloud Run.
    5. Haz clic en + Agregar otra función.
    6. Busca y selecciona Cloud Functions Invoker.
  6. Haz clic en Continuar.
  7. Haz clic en Listo.

Estos roles son necesarios para las siguientes acciones:

  • Administrador de objetos de almacenamiento: Escribe registros en el bucket de GCS y administra archivos de estado
  • Invocador de Cloud Run: Permite que Pub/Sub invoque la función
  • Cloud Functions Invoker: Permite la invocación de funciones

Otorga permisos de IAM en el bucket de GCS

Otorga permisos de escritura a la cuenta de servicio en el bucket de GCS:

  1. Ve a Cloud Storage > Buckets.
  2. Haz clic en el nombre de tu bucket.
  3. Ve a la pestaña Permisos.
  4. Haz clic en Otorgar acceso.
  5. Proporciona los siguientes detalles de configuración:
    • Agregar principales: Ingresa el correo electrónico de la cuenta de servicio (por ejemplo, duo-auth-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Asignar roles: Selecciona Administrador de objetos de Storage.
  6. Haz clic en Guardar.

Crear tema de Pub/Sub

Crea un tema de Pub/Sub en el que Cloud Scheduler publicará y al que se suscribirá la función de Cloud Run.

  1. En GCP Console, ve a Pub/Sub > Temas.
  2. Haz clic en Crear un tema.
  3. Proporciona los siguientes detalles de configuración:
    • ID del tema: Ingresa duo-auth-trigger.
    • Deja el resto de la configuración con sus valores predeterminados.
  4. Haz clic en Crear.

Crea una función de Cloud Run para recopilar registros

La función de Cloud Run se activa con los mensajes de Pub/Sub de Cloud Scheduler para recuperar registros de la API de Duo Admin y escribirlos en GCS.

  1. En GCP Console, ve a Cloud Run.
  2. Haz clic en Crear servicio.
  3. Selecciona Función (usa un editor intercalado para crear una función).

  4. En la sección Configurar, proporciona los siguientes detalles de configuración:

    Configuración Valor
    Nombre del servicio duo-auth-collector
    Región Selecciona la región que coincida con tu bucket de GCS (por ejemplo, us-central1).
    Tiempo de ejecución Selecciona Python 3.12 o una versión posterior.

  5. En la sección Activador (opcional), haz lo siguiente:

    1. Haz clic en + Agregar activador.
    2. Selecciona Cloud Pub/Sub.
    3. En Selecciona un tema de Cloud Pub/Sub, elige el tema duo-auth-trigger.
    4. Haz clic en Guardar.

  6. En la sección Autenticación, haz lo siguiente:

    1. Selecciona Solicitar autenticación.
    2. Verifica Identity and Access Management (IAM).

  7. Desplázate hacia abajo y expande Contenedores, redes y seguridad.

  8. Ve a la pestaña Seguridad:

    • Cuenta de servicio: Selecciona la cuenta de servicio duo-auth-collector-sa.

  9. Ve a la pestaña Contenedores:

    1. Haz clic en Variables y secretos.
    2. Haz clic en + Agregar variable para cada variable de entorno:
    Nombre de la variable Valor de ejemplo
    GCS_BUCKET duo-auth-logs
    GCS_PREFIX duo/auth/
    STATE_KEY duo/auth/state.json
    DUO_IKEY DIXYZ...
    DUO_SKEY ****************
    DUO_API_HOSTNAME api-XXXXXXXX.duosecurity.com
    LIMIT 500

  10. En la pestaña Variables y Secrets, desplázate hacia abajo hasta Requests:

    • Tiempo de espera de la solicitud: Ingresa 600 segundos (10 minutos).

  11. Ve a la pestaña Configuración en Contenedores:

    • En la sección Recursos, haz lo siguiente:
      • Memoria: Selecciona 512 MiB o más.
      • CPU: Selecciona 1.
    • Haz clic en Listo.

  12. Desplázate hasta Entorno de ejecución:

    • Selecciona Predeterminado (recomendado).

  13. En la sección Ajuste de escala de revisión, haz lo siguiente:

    • Cantidad mínima de instancias: Ingresa 0.
    • Cantidad máxima de instancias: Ingresa 100 (o ajusta según la carga esperada).

  14. Haz clic en Crear.

  15. Espera a que se cree el servicio (de 1 a 2 minutos).

  16. Después de crear el servicio, se abrirá automáticamente el editor de código intercalado.

Agregar el código de función

  1. Ingresa main en Punto de entrada de la función.

  2. En el editor de código intercalado, crea dos archivos:

    • Primer archivo: main.py:
    #!/usr/bin/env python3
# Cloud Run Function: Pull Duo Admin API v2 Authentication Logs to GCS (raw JSON pages)
# Notes:
# - Duo v2 requires mintime/maxtime in *milliseconds* (13-digit epoch).
# - Pagination via metadata.next_offset ("<millis>,<txid>").
# - We save state (mintime_ms) in ms to resume next run without gaps.

import functions_framework
from google.cloud import storage
import os
import json
import time
import hmac
import hashlib
import base64
import email.utils
import urllib.parse
from urllib.request import Request, urlopen
from urllib.error import HTTPError, URLError

DUO_IKEY = os.environ["DUO_IKEY"]
DUO_SKEY = os.environ["DUO_SKEY"]
DUO_API_HOSTNAME = os.environ["DUO_API_HOSTNAME"].strip()
GCS_BUCKET = os.environ["GCS_BUCKET"]
GCS_PREFIX = os.environ.get("GCS_PREFIX", "duo/auth/").strip("/")
STATE_KEY = os.environ.get("STATE_KEY", "duo/auth/state.json")
LIMIT = min(int(os.environ.get("LIMIT", "500")), 1000)  # default 500, max 1000

storage_client = storage.Client()

def _canon_params(params: dict) -> str:
    parts = []
    for k in sorted(params.keys()):
        v = params[k]
        if v is None:
            continue
        parts.append(f"{urllib.parse.quote(str(k), '~')}={urllib.parse.quote(str(v), '~')}")
    return "&".join(parts)

def _sign(method: str, host: str, path: str, params: dict) -> dict:
    now = email.utils.formatdate()
    canon = "\n".join([
        now,
        method.upper(),
        host.lower(),
        path,
        _canon_params(params)
    ])
    sig = hmac.new(
        DUO_SKEY.encode("utf-8"),
        canon.encode("utf-8"),
        hashlib.sha1
    ).hexdigest()
    auth = base64.b64encode(f"{DUO_IKEY}:{sig}".encode()).decode()
    return {
        "Date": now,
        "Authorization": f"Basic {auth}"
    }

def _http(method: str, path: str, params: dict, timeout: int = 60, max_retries: int = 5) -> dict:
    host = DUO_API_HOSTNAME
    assert host.startswith("api-") and host.endswith(".duosecurity.com"), \
        "DUO_API_HOSTNAME must be like api-XXXXXXXX.duosecurity.com"

    qs = _canon_params(params)
    url = f"https://{host}{path}" + (f"?{qs}" if qs else "")

    attempt, backoff = 0, 1.0
    while True:
        req = Request(url, method=method.upper())
        req.add_header("Accept", "application/json")
        for k, v in _sign(method, host, path, params).items():
            req.add_header(k, v)

        try:
            with urlopen(req, timeout=timeout) as r:
                return json.loads(r.read().decode("utf-8"))
        except HTTPError as e:
            if (e.code == 429 or 500 <= e.code <= 599) and attempt < max_retries:
                time.sleep(backoff)
                attempt += 1
                backoff *= 2
                continue
            raise
        except URLError:
            if attempt < max_retries:
                time.sleep(backoff)
                attempt += 1
                backoff *= 2
                continue
            raise

def _read_state_ms() -> int | None:
    try:
        bucket = storage_client.bucket(GCS_BUCKET)
        blob = bucket.blob(STATE_KEY)
        if blob.exists():
            state_data = blob.download_as_text()
            val = json.loads(state_data).get("mintime")
            if val is None:
                return None
            # Backward safety: if seconds were stored, convert to ms
            return int(val) * 1000 if len(str(int(val))) <= 10 else int(val)
    except Exception:
        return None

def _write_state_ms(mintime_ms: int):
    bucket = storage_client.bucket(GCS_BUCKET)
    blob = bucket.blob(STATE_KEY)
    body = json.dumps({"mintime": int(mintime_ms)}).encode("utf-8")
    blob.upload_from_string(body, content_type="application/json")

def _write_page(payload: dict, when_epoch_s: int, page: int) -> str:
    bucket = storage_client.bucket(GCS_BUCKET)
    key = f"{GCS_PREFIX}/{time.strftime('%Y/%m/%d', time.gmtime(when_epoch_s))}/duo-auth-{page:05d}.json"
    blob = bucket.blob(key)
    blob.upload_from_string(
        json.dumps(payload, separators=(",", ":")).encode("utf-8"),
        content_type="application/json"
    )
    return key

def fetch_and_store():
    now_s = int(time.time())
    # Duo recommends a ~2-minute delay buffer; use maxtime = now - 120 seconds (in ms)
    maxtime_ms = (now_s - 120) * 1000
    mintime_ms = _read_state_ms() or (maxtime_ms - 3600 * 1000)  # 1 hour on first run

    page = 0
    total = 0
    next_offset = None

    while True:
        params = {
            "mintime": mintime_ms,
            "maxtime": maxtime_ms,
            "limit": LIMIT
        }
        if next_offset:
            params["next_offset"] = next_offset

        data = _http("GET", "/admin/v2/logs/authentication", params)
        _write_page(data, maxtime_ms // 1000, page)
        page += 1

        resp = data.get("response")
        items = resp if isinstance(resp, list) else []
        total += len(items)

        meta = data.get("metadata") or {}
        next_offset = meta.get("next_offset")
        if not next_offset:
            break

    # Advance window to maxtime_ms for next run
    _write_state_ms(maxtime_ms)

    return {
        "ok": True,
        "pages": page,
        "events": total,
        "next_mintime_ms": maxtime_ms
    }

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Duo authentication logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """
    try:
        result = fetch_and_store()
        print(f"Successfully processed {result['events']} events in {result['pages']} pages")
        print(f"Next mintime_ms: {result['next_mintime_ms']}")
    except Exception as e:
        print(f"Error processing logs: {str(e)}")
        raise
    • Segundo archivo: requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*

  3. Haz clic en Implementar para guardar y, luego, implementar la función.

  4. Espera a que se complete la implementación (de 2 a 3 minutos).

Crea un trabajo de Cloud Scheduler

Cloud Scheduler publica mensajes en el tema de Pub/Sub a intervalos regulares, lo que activa la función de Cloud Run.

  1. En GCP Console, ve a Cloud Scheduler.
  2. Haz clic en Crear trabajo.

  3. Proporciona los siguientes detalles de configuración:

    Configuración Valor
    Nombre duo-auth-collector-hourly
    Región Selecciona la misma región que la función de Cloud Run
    Frecuencia 0 * * * * (cada hora, en punto)
    Zona horaria Selecciona la zona horaria (se recomienda UTC)
    Tipo de orientación Pub/Sub
    Tema Selecciona el tema duo-auth-trigger.
    Cuerpo del mensaje {} (objeto JSON vacío)

  4. Haz clic en Crear.

Opciones de frecuencia de programación

  • Elige la frecuencia según los requisitos de latencia y volumen de registros:

    Frecuencia Expresión cron Caso de uso
    Cada 5 minutos */5 * * * * Alto volumen y baja latencia
    Cada 15 minutos */15 * * * * Volumen medio
    Cada 1 hora 0 * * * * Estándar (opción recomendada)
    Cada 6 horas 0 */6 * * * Procesamiento por lotes y volumen bajo
    Diario 0 0 * * * Recopilación de datos históricos

Prueba el trabajo de Scheduler

  1. En la consola de Cloud Scheduler, busca tu trabajo.
  2. Haz clic en Forzar ejecución para activarlo de forma manual.
  3. Espera unos segundos y ve a Cloud Run > Servicios > duo-auth-collector > Registros.
  4. Verifica que la función se haya ejecutado correctamente.
  5. Verifica el bucket de GCS para confirmar que se escribieron los registros.

Recupera la cuenta de servicio de Google SecOps

Las Operaciones de seguridad de Google usan una cuenta de servicio única para leer datos de tu bucket de GCS. Debes otorgar acceso a tu bucket a esta cuenta de servicio.

Obtén el correo electrónico de la cuenta de servicio

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. Haz clic en Configura un feed único.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Duo Authentication Logs).
  5. Selecciona Google Cloud Storage V2 como el Tipo de fuente.
  6. Selecciona Duo Auth como el Tipo de registro.

  7. Haz clic en Obtener cuenta de servicio. Se muestra un correo electrónico único de la cuenta de servicio, por ejemplo:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copia esta dirección de correo electrónico para usarla en el siguiente paso.

Otorga permisos de IAM a la cuenta de servicio de Google SecOps

La cuenta de servicio de Google SecOps necesita el rol de visualizador de objetos de almacenamiento en tu bucket de GCS.

  1. Ve a Cloud Storage > Buckets.
  2. Haz clic en el nombre de tu bucket.
  3. Ve a la pestaña Permisos.
  4. Haz clic en Otorgar acceso.
  5. Proporciona los siguientes detalles de configuración:
    • Agregar principales: Pega el correo electrónico de la cuenta de servicio de Google SecOps.
    • Asignar roles: Selecciona Visualizador de objetos de Storage.

  6. Haz clic en Guardar.

Configura un feed en Google SecOps para transferir registros de autenticación de Duo

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. Haz clic en Configura un feed único.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Duo Authentication Logs).
  5. Selecciona Google Cloud Storage V2 como el Tipo de fuente.
  6. Selecciona Duo Auth como el Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URL del bucket de almacenamiento: Ingresa el URI del bucket de GCS con la ruta de acceso del prefijo:

      gs://duo-auth-logs/duo/auth/

      • Reemplaza lo siguiente:

        • duo-auth-logs: Es el nombre de tu bucket de GCS.
        • duo/auth/: Es el prefijo o la ruta de carpeta opcionales en los que se almacenan los registros (déjalo vacío para la raíz).

      • Ejemplos:

        • Bucket raíz: gs://company-logs/
        • Con prefijo: gs://company-logs/duo-logs/
        • Con subcarpeta: gs://company-logs/duo/auth/

    • Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:

      • Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
      • Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.

      • Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.

    • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
access_device.browser target.resource.attribute.labels.value Si access_device.browser está presente, su valor se asigna al UDM.
access_device.hostname principal.hostname Si access_device.hostname está presente y no está vacío, su valor se asigna al UDM. Si está vacío y el valor de event_type es USER_CREATION, se cambia el valor de event_type a USER_UNCATEGORIZED. Si access_device.hostname está vacío y existe el campo hostname, se usa el valor de hostname.
access_device.ip principal.ip Si access_device.ip existe y es una dirección IPv4 válida, su valor se asigna al UDM. Si no es una dirección IPv4 válida, se agrega como un valor de cadena a additional.fields con la clave access_device.ip.
access_device.location.city principal.location.city Si está presente, el valor se asigna al UDM.
access_device.location.country principal.location.country_or_region Si está presente, el valor se asigna al UDM.
access_device.location.state principal.location.state Si está presente, el valor se asigna al UDM.
access_device.os principal.platform Si está presente, el valor se traduce al valor de UDM correspondiente (MAC, WINDOWS, LINUX).
access_device.os_version principal.platform_version Si está presente, el valor se asigna al UDM.
application.key target.resource.id Si está presente, el valor se asigna al UDM.
application.name target.application Si está presente, el valor se asigna al UDM.
auth_device.ip target.ip Si está presente y no es "None", el valor se asigna al UDM.
auth_device.location.city target.location.city Si está presente, el valor se asigna al UDM.
auth_device.location.country target.location.country_or_region Si está presente, el valor se asigna al UDM.
auth_device.location.state target.location.state Si está presente, el valor se asigna al UDM.
auth_device.name target.hostname O target.user.phone_numbers Si auth_device.name está presente y es un número de teléfono (después de la normalización), se agrega a target.user.phone_numbers. De lo contrario, se asigna a target.hostname.
client_ip target.ip Si está presente y no es "None", el valor se asigna al UDM.
client_section target.resource.attribute.labels.value Si client_section está presente, su valor se asigna al UDM con la clave client_section.
dn target.user.userid Si el campo dn está presente y los campos user.name y username no lo están, el ID de usuario se extrae del campo dn con grok y se asigna al UDM. El valor de event_type se establece en USER_LOGIN.
event_type metadata.product_event_type Y metadata.event_type El valor se asigna a metadata.product_event_type. También se usa para determinar el valor de metadata.event_type: "authentication" se convierte en USER_LOGIN, "enrollment" se convierte en USER_CREATION y, si está vacío o no es ninguno de esos valores, se convierte en GENERIC_EVENT.
factor extensions.auth.mechanism Y extensions.auth.auth_details El valor se traduce al valor correspondiente de auth.mechanism del UDM (HARDWARE_KEY, REMOTE_INTERACTIVE, LOCAL, OTP). El valor original también se asigna a extensions.auth.auth_details.
Nombre de host principal.hostname Si está presente y access_device.hostname está vacío, el valor se asigna al UDM.
log_format target.resource.attribute.labels.value Si log_format está presente, su valor se asigna al UDM con la clave log_format.
loglevel._classuuid_ target.resource.attribute.labels.value Si está presente loglevel._classuuid_, su valor se asigna al UDM con la clave class_uuid.
log_level.name target.resource.attribute.labels.value AND security_result.severity Si log_level.name está presente, su valor se asigna al UDM con el nombre de la clave. Si el valor es "info", security_result.severity se establece en INFORMATIONAL.
log_logger.unpersistable target.resource.attribute.labels.value Si log_logger.unpersistable está presente, su valor se asigna al UDM con la clave unpersistable.
log_namespace target.resource.attribute.labels.value Si log_namespace está presente, su valor se asigna al UDM con la clave log_namespace.
log_source target.resource.attribute.labels.value Si log_source está presente, su valor se asigna al UDM con la clave log_source.
msg security_result.summary Si está presente y el motivo está vacío, el valor se asigna al UDM.
Reason security_result.summary Si está presente, el valor se asigna al UDM.
resultado security_result.action_details Y security_result.action Si está presente, el valor se asigna a security_result.action_details. "success" o "SUCCESS" se traducen a security_result.action ALLOW; de lo contrario, se traducen a BLOCK.
server_section target.resource.attribute.labels.value Si server_section está presente, su valor se asigna al UDM con la clave server_section.
server_section_ikey target.resource.attribute.labels.value Si server_section_ikey está presente, su valor se asigna al UDM con la clave server_section_ikey.
estado security_result.action_details Y security_result.action Si está presente, el valor se asigna a security_result.action_details. “Permitir” se traduce como security_result.action ALLOW, y “Rechazar” se traduce como BLOCK.
timestamp metadata.event_timestamp Y event.timestamp El valor se convierte en una marca de tiempo y se asigna a metadata.event_timestamp y event.timestamp.
txid metadata.product_log_id Y network.session_id El valor se asigna a metadata.product_log_id y a network.session_id.
user.groups target.user.group_identifiers Todos los valores del array se agregan a target.user.group_identifiers.
user.key target.user.product_object_id Si está presente, el valor se asigna al UDM.
user.name target.user.userid Si está presente, el valor se asigna al UDM.
nombre de usuario target.user.userid Si está presente y no está user.name, el valor se asigna al UDM. El valor de event_type se establece en USER_LOGIN.
(Lógica del analizador) metadata.vendor_name Siempre se establece en "DUO_SECURITY".
(Lógica del analizador) metadata.product_name Siempre se establece en "MULTI-FACTOR_AUTHENTICATION".
(Lógica del analizador) metadata.log_type Se toma del campo log_type de nivel superior del registro sin procesar.
(Lógica del analizador) extensions.auth.type Siempre se establece en "SSO".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.