Collecter les journaux d'authentification Duo

Compatible avec :

Ce document explique comment ingérer les journaux d'authentification Duo dans Google Security Operations. L'analyseur extrait les journaux des messages au format JSON. Il transforme les données brutes des journaux en modèle de données unifié (UDM, Unified Data Model), en mappant des champs tels que les détails de l'utilisateur, de l'appareil, de l'application, de l'emplacement et de l'authentification. Il gère également divers facteurs et résultats d'authentification pour catégoriser les événements de sécurité. L'analyseur effectue également le nettoyage des données, la conversion des types et la gestion des erreurs pour garantir la qualité et la cohérence des données.

Choisissez l'une des deux méthodes de collecte :

  • Option 1 : Ingestion directe à l'aide d'une API tierce
  • Option 2 : Collecter les journaux à l'aide de la fonction Cloud Run et de Google Cloud Storage

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Une instance Google SecOps
  • Accès privilégié au panneau d'administration Duo (le rôle de propriétaire est requis pour créer des applications Admin API)
  • Accès privilégié à GCP si vous utilisez l'option 2

Option 1 : Ingérer les journaux d'authentification Duo à l'aide d'une API tierce

Collecter les prérequis Duo (identifiants API)

  1. Connectez-vous au panneau d'administration Duo en tant qu'administrateur disposant du rôle Propriétaire, Administrateur ou Gestionnaire d'applications.
  2. Accédez à Applications > Catalogue d'applications.
  3. Recherchez l'entrée API Admin dans le catalogue.
  4. Cliquez sur + Ajouter pour créer l'application.
  5. Copiez et enregistrez les informations suivantes dans un emplacement sécurisé :
    • Clé d'intégration
    • Clé secrète
    • Nom d'hôte de l'API (par exemple, api-XXXXXXXX.duosecurity.com)
  6. Accédez à la section Autorisations.
  7. Désélectionnez toutes les options d'autorisation, à l'exception de Accorder l'autorisation de lire le journal.
  8. Cliquez sur Enregistrer les modifications.

Configurer un flux dans Google SecOps pour ingérer les journaux d'authentification Duo

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur + Ajouter un flux.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Duo Authentication Logs).
  4. Sélectionnez API tierce comme type de source.
  5. Sélectionnez Duo Auth comme Type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • Nom d'utilisateur : saisissez la clé d'intégration de Duo.
    • Secret : saisissez la clé secrète de Duo.
    • Nom d'hôte de l'API : saisissez le nom d'hôte de votre API (par exemple, api-XXXXXXXX.duosecurity.com).
    • Espace de noms de l'élément : facultatif. L'espace de noms de l'élément.
    • Étiquettes d'ingestion : facultatives. Libellé à appliquer aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Option 2 : Ingérer les journaux d'authentification Duo à l'aide de Google Cloud Storage

Collecter les identifiants de l'API Duo Admin

  1. Connectez-vous au panneau d'administration Duo.
  2. Accédez à Applications > Catalogue d'applications.
  3. Localisez l'API Admin dans le catalogue d'applications.
  4. Cliquez sur + Ajouter pour ajouter l'application de l'API Admin.
  5. Copiez et enregistrez les valeurs suivantes :
    • Clé d'intégration (ikey)
    • Clé secrète (skey)
    • Nom d'hôte de l'API (par exemple, api-XXXXXXXX.duosecurity.com)
  6. Dans Autorisations, activez Accorder l'accès aux journaux de lecture.
  7. Cliquez sur Enregistrer les modifications.

Créer un bucket Google Cloud Storage

  1. Accédez à la console Google Cloud.
  2. Sélectionnez votre projet ou créez-en un.
  3. Dans le menu de navigation, accédez à Cloud Storage> Buckets.
  4. Cliquez sur Créer un bucket.

  5. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nommer votre bucket Saisissez un nom unique (par exemple, duo-auth-logs).
    Type d'emplacement Choisissez en fonction de vos besoins (région, birégion ou multirégion).
    Emplacement Sélectionnez l'emplacement (par exemple, us-central1).
    Classe de stockage Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
    Access control (Contrôle des accès) Uniforme (recommandé)
    Outils de protection Facultatif : Activer la gestion des versions des objets ou la règle de conservation

  6. Cliquez sur Créer.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS.

Créer un compte de service

  1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
  2. Cliquez sur Créer un compte de service.
  3. Fournissez les informations de configuration suivantes :
    • Nom du compte de service : saisissez duo-auth-collector-sa.
    • Description du compte de service : saisissez Service account for Cloud Run function to collect Duo authentication logs.
  4. Cliquez sur Créer et continuer.
  5. Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
    1. Cliquez sur Sélectionner un rôle.
    2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
    3. Cliquez sur + Ajouter un autre rôle.
    4. Recherchez et sélectionnez Demandeur Cloud Run.
    5. Cliquez sur + Ajouter un autre rôle.
    6. Recherchez et sélectionnez Demandeur Cloud Functions.
  6. Cliquez sur Continuer.
  7. Cliquez sur OK.

Ces rôles sont requis pour :

  • Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
  • Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
  • Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur le nom de votre bucket.
  3. Accédez à l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Fournissez les informations de configuration suivantes :
    • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, duo-auth-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
  6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

  1. Dans la console GCP, accédez à Pub/Sub > Sujets.
  2. Cliquez sur Create topic (Créer un sujet).
  3. Fournissez les informations de configuration suivantes :
    • ID du sujet : saisissez duo-auth-trigger.
    • Conservez les valeurs par défaut des autres paramètres.
  4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run est déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API Duo Admin et les écrire dans GCS.

  1. Dans la console GCP, accédez à Cloud Run.
  2. Cliquez sur Créer un service.
  3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

  4. Dans la section Configurer, fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom du service duo-auth-collector
    Région Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
    Runtime (durée d'exécution) Sélectionnez Python 3.12 ou version ultérieure.

  5. Dans la section Déclencheur (facultatif) :

    1. Cliquez sur + Ajouter un déclencheur.
    2. Sélectionnez Cloud Pub/Sub.
    3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet duo-auth-trigger.
    4. Cliquez sur Enregistrer.

  6. Dans la section Authentification :

    1. Sélectionnez Exiger l'authentification.
    2. Consultez Identity and Access Management (IAM).

  7. Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.

  8. Accédez à l'onglet Sécurité :

    • Compte de service : sélectionnez le compte de service duo-auth-collector-sa.

  9. Accédez à l'onglet Conteneurs :

    1. Cliquez sur Variables et secrets.
    2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :
    Nom de la variable Exemple de valeur
    GCS_BUCKET duo-auth-logs
    GCS_PREFIX duo/auth/
    STATE_KEY duo/auth/state.json
    DUO_IKEY DIXYZ...
    DUO_SKEY ****************
    DUO_API_HOSTNAME api-XXXXXXXX.duosecurity.com
    LIMIT 500

  10. Dans l'onglet Variables et secrets, faites défiler la page jusqu'à Requêtes :

    • Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).

  11. Accédez à l'onglet Paramètres dans Conteneurs :

    • Dans la section Ressources :
      • Mémoire : sélectionnez 512 Mio ou plus.
      • CPU : sélectionnez 1.
    • Cliquez sur OK.

  12. Faites défiler la page jusqu'à Environnement d'exécution :

    • Sélectionnez Par défaut (recommandé).

  13. Dans la section Scaling de révision :

    • Nombre minimal d'instances : saisissez 0.
    • Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).

  14. Cliquez sur Créer.

  15. Attendez que le service soit créé (1 à 2 minutes).

  16. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

  1. Saisissez main dans Point d'entrée de la fonction.

  2. Dans l'éditeur de code intégré, créez deux fichiers :

    • Premier fichier : main.py:
    #!/usr/bin/env python3
# Cloud Run Function: Pull Duo Admin API v2 Authentication Logs to GCS (raw JSON pages)
# Notes:
# - Duo v2 requires mintime/maxtime in *milliseconds* (13-digit epoch).
# - Pagination via metadata.next_offset ("<millis>,<txid>").
# - We save state (mintime_ms) in ms to resume next run without gaps.

import functions_framework
from google.cloud import storage
import os
import json
import time
import hmac
import hashlib
import base64
import email.utils
import urllib.parse
from urllib.request import Request, urlopen
from urllib.error import HTTPError, URLError

DUO_IKEY = os.environ["DUO_IKEY"]
DUO_SKEY = os.environ["DUO_SKEY"]
DUO_API_HOSTNAME = os.environ["DUO_API_HOSTNAME"].strip()
GCS_BUCKET = os.environ["GCS_BUCKET"]
GCS_PREFIX = os.environ.get("GCS_PREFIX", "duo/auth/").strip("/")
STATE_KEY = os.environ.get("STATE_KEY", "duo/auth/state.json")
LIMIT = min(int(os.environ.get("LIMIT", "500")), 1000)  # default 500, max 1000

storage_client = storage.Client()

def _canon_params(params: dict) -> str:
    parts = []
    for k in sorted(params.keys()):
        v = params[k]
        if v is None:
            continue
        parts.append(f"{urllib.parse.quote(str(k), '~')}={urllib.parse.quote(str(v), '~')}")
    return "&".join(parts)

def _sign(method: str, host: str, path: str, params: dict) -> dict:
    now = email.utils.formatdate()
    canon = "\n".join([
        now,
        method.upper(),
        host.lower(),
        path,
        _canon_params(params)
    ])
    sig = hmac.new(
        DUO_SKEY.encode("utf-8"),
        canon.encode("utf-8"),
        hashlib.sha1
    ).hexdigest()
    auth = base64.b64encode(f"{DUO_IKEY}:{sig}".encode()).decode()
    return {
        "Date": now,
        "Authorization": f"Basic {auth}"
    }

def _http(method: str, path: str, params: dict, timeout: int = 60, max_retries: int = 5) -> dict:
    host = DUO_API_HOSTNAME
    assert host.startswith("api-") and host.endswith(".duosecurity.com"), \
        "DUO_API_HOSTNAME must be like api-XXXXXXXX.duosecurity.com"

    qs = _canon_params(params)
    url = f"https://{host}{path}" + (f"?{qs}" if qs else "")

    attempt, backoff = 0, 1.0
    while True:
        req = Request(url, method=method.upper())
        req.add_header("Accept", "application/json")
        for k, v in _sign(method, host, path, params).items():
            req.add_header(k, v)

        try:
            with urlopen(req, timeout=timeout) as r:
                return json.loads(r.read().decode("utf-8"))
        except HTTPError as e:
            if (e.code == 429 or 500 <= e.code <= 599) and attempt < max_retries:
                time.sleep(backoff)
                attempt += 1
                backoff *= 2
                continue
            raise
        except URLError:
            if attempt < max_retries:
                time.sleep(backoff)
                attempt += 1
                backoff *= 2
                continue
            raise

def _read_state_ms() -> int | None:
    try:
        bucket = storage_client.bucket(GCS_BUCKET)
        blob = bucket.blob(STATE_KEY)
        if blob.exists():
            state_data = blob.download_as_text()
            val = json.loads(state_data).get("mintime")
            if val is None:
                return None
            # Backward safety: if seconds were stored, convert to ms
            return int(val) * 1000 if len(str(int(val))) <= 10 else int(val)
    except Exception:
        return None

def _write_state_ms(mintime_ms: int):
    bucket = storage_client.bucket(GCS_BUCKET)
    blob = bucket.blob(STATE_KEY)
    body = json.dumps({"mintime": int(mintime_ms)}).encode("utf-8")
    blob.upload_from_string(body, content_type="application/json")

def _write_page(payload: dict, when_epoch_s: int, page: int) -> str:
    bucket = storage_client.bucket(GCS_BUCKET)
    key = f"{GCS_PREFIX}/{time.strftime('%Y/%m/%d', time.gmtime(when_epoch_s))}/duo-auth-{page:05d}.json"
    blob = bucket.blob(key)
    blob.upload_from_string(
        json.dumps(payload, separators=(",", ":")).encode("utf-8"),
        content_type="application/json"
    )
    return key

def fetch_and_store():
    now_s = int(time.time())
    # Duo recommends a ~2-minute delay buffer; use maxtime = now - 120 seconds (in ms)
    maxtime_ms = (now_s - 120) * 1000
    mintime_ms = _read_state_ms() or (maxtime_ms - 3600 * 1000)  # 1 hour on first run

    page = 0
    total = 0
    next_offset = None

    while True:
        params = {
            "mintime": mintime_ms,
            "maxtime": maxtime_ms,
            "limit": LIMIT
        }
        if next_offset:
            params["next_offset"] = next_offset

        data = _http("GET", "/admin/v2/logs/authentication", params)
        _write_page(data, maxtime_ms // 1000, page)
        page += 1

        resp = data.get("response")
        items = resp if isinstance(resp, list) else []
        total += len(items)

        meta = data.get("metadata") or {}
        next_offset = meta.get("next_offset")
        if not next_offset:
            break

    # Advance window to maxtime_ms for next run
    _write_state_ms(maxtime_ms)

    return {
        "ok": True,
        "pages": page,
        "events": total,
        "next_mintime_ms": maxtime_ms
    }

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Duo authentication logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """
    try:
        result = fetch_and_store()
        print(f"Successfully processed {result['events']} events in {result['pages']} pages")
        print(f"Next mintime_ms: {result['next_mintime_ms']}")
    except Exception as e:
        print(f"Error processing logs: {str(e)}")
        raise
    • Deuxième fichier : requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*

  3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

  4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

  1. Dans la console GCP, accédez à Cloud Scheduler.
  2. Cliquez sur Créer une tâche.

  3. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom duo-auth-collector-hourly
    Région Sélectionnez la même région que la fonction Cloud Run.
    Fréquence 0 * * * * (toutes les heures)
    Fuseau horaire Sélectionnez un fuseau horaire (UTC recommandé).
    Type de cible Pub/Sub
    Topic Sélectionnez le thème duo-auth-trigger.
    Corps du message {} (objet JSON vide)

  4. Cliquez sur Créer.

Options de fréquence de planification

  • Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

    Fréquence Expression Cron Cas d'utilisation
    Toutes les 5 minutes */5 * * * * Volume élevé, faible latence
    Toutes les 15 minutes */15 * * * * Volume moyen
    Toutes les heures 0 * * * * Standard (recommandé)
    Toutes les 6 heures 0 */6 * * * Traitement par lot à faible volume
    Tous les jours 0 0 * * * Collecte de données historiques

Tester le job Scheduler

  1. Dans la console Cloud Scheduler, recherchez votre job.
  2. Cliquez sur Forcer l'exécution pour déclencher manuellement l'exécution.
  3. Patientez quelques secondes, puis accédez à Cloud Run > Services > duo-auth-collector > Journaux.
  4. Vérifiez que la fonction s'est exécutée correctement.
  5. Vérifiez le bucket GCS pour confirmer que les journaux ont été écrits.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur Configurer un flux unique.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Duo Authentication Logs).
  5. Sélectionnez Google Cloud Storage V2 comme Type de source.
  6. Sélectionnez Duo Auth comme Type de journal.

  7. Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur le nom de votre bucket.
  3. Accédez à l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Fournissez les informations de configuration suivantes :
    • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
    • Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.

  6. Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux d'authentification Duo

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur Configurer un flux unique.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Duo Authentication Logs).
  5. Sélectionnez Google Cloud Storage V2 comme Type de source.
  6. Sélectionnez Duo Auth comme Type de journal.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :

      gs://duo-auth-logs/duo/auth/

      • Remplacez :

        • duo-auth-logs : nom de votre bucket GCS.
        • duo/auth/ : préfixe/chemin d'accès au dossier facultatif où les journaux sont stockés (laisser vide pour la racine).

      • Exemples :

        • Bucket racine : gs://company-logs/
        • Avec préfixe : gs://company-logs/duo-logs/
        • Avec un sous-dossier : gs://company-logs/duo/auth/

    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

      • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
      • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.

      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

    • Espace de noms de l'élément : espace de noms de l'élément.

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
access_device.browser target.resource.attribute.labels.value Si access_device.browser est présent, sa valeur est mappée à l'UDM.
access_device.hostname principal.hostname Si access_device.hostname est présent et non vide, sa valeur est mappée à l'UDM. Si ce champ est vide et que event_type est défini sur USER_CREATION, event_type est remplacé par USER_UNCATEGORIZED. Si access_device.hostname est vide et que le champ "hostname" existe, la valeur de "hostname" est utilisée.
access_device.ip principal.ip Si access_device.ip existe et est une adresse IPv4 valide, sa valeur est mappée au UDM. Si elle n'est pas une adresse IPv4 valide, elle est ajoutée en tant que valeur de chaîne à additional.fields avec la clé access_device.ip.
access_device.location.city principal.location.city Si elle est présente, la valeur est mappée à l'UDM.
access_device.location.country principal.location.country_or_region Si elle est présente, la valeur est mappée à l'UDM.
access_device.location.state principal.location.state Si elle est présente, la valeur est mappée à l'UDM.
access_device.os principal.platform Si elle est présente, la valeur est traduite en valeur UDM correspondante (MAC, WINDOWS, LINUX).
access_device.os_version principal.platform_version Si elle est présente, la valeur est mappée à l'UDM.
application.key target.resource.id Si elle est présente, la valeur est mappée à l'UDM.
application.name target.application Si elle est présente, la valeur est mappée à l'UDM.
auth_device.ip target.ip Si elle est présente et n'est pas définie sur "Aucune", la valeur est mappée à l'UDM.
auth_device.location.city target.location.city Si elle est présente, la valeur est mappée à l'UDM.
auth_device.location.country target.location.country_or_region Si elle est présente, la valeur est mappée à l'UDM.
auth_device.location.state target.location.state Si elle est présente, la valeur est mappée à l'UDM.
auth_device.name target.hostname OR target.user.phone_numbers Si auth_device.name est présent et correspond à un numéro de téléphone (après normalisation), il est ajouté à target.user.phone_numbers. Sinon, il est mappé sur target.hostname.
client_ip target.ip Si elle est présente et n'est pas définie sur "Aucune", la valeur est mappée à l'UDM.
client_section target.resource.attribute.labels.value Si client_section est présent, sa valeur est mappée à l'UDM avec la clé client_section.
dn target.user.userid Si dn est présent et que user.name et username ne le sont pas, l'ID utilisateur est extrait du champ dn à l'aide de grok et mappé à l'UDM. Le type d'événement est défini sur USER_LOGIN.
event_type metadata.product_event_type AND metadata.event_type La valeur est mappée à metadata.product_event_type. Il est également utilisé pour déterminer le metadata.event_type : "authentication" devient USER_LOGIN, "enrollment" devient USER_CREATION, et s'il est vide ou aucun de ces types, il devient GENERIC_EVENT.
facteur extensions.auth.mechanism ET extensions.auth.auth_details La valeur est traduite en valeur auth.mechanism UDM correspondante (HARDWARE_KEY, REMOTE_INTERACTIVE, LOCAL, OTP). La valeur d'origine est également mappée sur extensions.auth.auth_details.
nom d'hôte principal.hostname Si elle est présente et que access_device.hostname est vide, la valeur est mappée sur l'UDM.
log_format target.resource.attribute.labels.value Si log_format est présent, sa valeur est mappée à l'UDM avec la clé log_format.
loglevel._classuuid_ target.resource.attribute.labels.value Si loglevel._classuuid_ est présent, sa valeur est mappée à l'UDM avec la clé class_uuid.
log_level.name target.resource.attribute.labels.value AND security_result.severity Si log_level.name est présent, sa valeur est mappée à l'UDM avec le nom de clé. Si la valeur est "info", security_result.severity est défini sur INFORMATIONAL.
log_logger.unpersistable target.resource.attribute.labels.value Si log_logger.unpersistable est présent, sa valeur est mappée à l'UDM avec la clé "unpersistable".
log_namespace target.resource.attribute.labels.value Si log_namespace est présent, sa valeur est mappée à l'UDM avec la clé log_namespace.
log_source target.resource.attribute.labels.value Si log_source est présent, sa valeur est mappée à l'UDM avec la clé log_source.
msg security_result.summary Si elle est présente et que le motif est vide, la valeur est mappée à l'UDM.
reason security_result.summary Si elle est présente, la valeur est mappée à l'UDM.
résultat security_result.action_details ET security_result.action Si cette valeur est présente, elle est mappée à security_result.action_details. "success" ou "SUCCESS" se traduit par security_result.action ALLOW, sinon BLOCK.
server_section target.resource.attribute.labels.value Si server_section est présent, sa valeur est mappée à l'UDM avec la clé server_section.
server_section_ikey target.resource.attribute.labels.value Si server_section_ikey est présent, sa valeur est mappée à l'UDM avec la clé server_section_ikey.
état security_result.action_details ET security_result.action Si cette valeur est présente, elle est mappée à security_result.action_details. "Autoriser" correspond à l'action ALLOW de security_result, tandis que "Refuser" correspond à l'action BLOCK.
timestamp metadata.event_timestamp AND event.timestamp La valeur est convertie en code temporel et mappée à metadata.event_timestamp et event.timestamp.
txid metadata.product_log_id ET network.session_id La valeur est mappée à metadata.product_log_id et à network.session_id.
user.groups target.user.group_identifiers Toutes les valeurs du tableau sont ajoutées à target.user.group_identifiers.
user.key target.user.product_object_id Si elle est présente, la valeur est mappée à l'UDM.
user.name target.user.userid Si elle est présente, la valeur est mappée à l'UDM.
nom d'utilisateur target.user.userid Si elle est présente et que user.name ne l'est pas, la valeur est mappée à l'UDM. Le type d'événement est défini sur USER_LOGIN.
(Logique de l'analyseur) metadata.vendor_name Toujours défini sur "DUO_SECURITY".
(Logique de l'analyseur) metadata.product_name Toujours défini sur "MULTI-FACTOR_AUTHENTICATION".
(Logique de l'analyseur) metadata.log_type Extrait du champ log_type de premier niveau du journal brut.
(Logique de l'analyseur) extensions.auth.type Toujours défini sur "SSO".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.