Duo-Entitätskontext-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Kontextdaten von Duo-Entitäten mithilfe von Google Cloud Storage in Google Security Operations aufnehmen. Der Parser transformiert die JSON-Logs in ein einheitliches Datenmodell (Unified Data Model, UDM), indem er zuerst Felder aus dem Roh-JSON extrahiert und diese Felder dann UDM-Attributen zuordnet. Es verarbeitet verschiedene Datenszenarien, darunter Nutzer- und Asset-Informationen, Software-Details und Sicherheitslabels, und sorgt so für eine umfassende Darstellung im UDM-Schema.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Privilegierter Zugriff auf den Duo-Mandanten (Admin API-Anwendung mit ausreichenden Administratorberechtigungen zum Verwalten von Anwendungen)
Ein GCP-Projekt mit aktivierter Cloud Storage API
Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs

Duo Admin API-Anwendung konfigurieren

Melden Sie sich im Duo Admin Panel an.
Rufen Sie Anwendungen > Anwendung schützen auf.
Suchen Sie nach Admin API und klicken Sie auf Protect (Schützen).
Notieren Sie die folgenden Werte:
- Integrationsschlüssel (ikey)
- Geheimer Schlüssel (skey)
- API-Hostname (z. B. api-XXXXXXXX.duosecurity.com)
Aktivieren Sie unter Berechtigungen die Option Ressource gewähren – Lesen, um Nutzer, Gruppen, Telefone, Endpunkte, Tokens und WebAuthn-Anmeldedaten lesen zu können.
Klicken Sie auf Speichern.

Hinweis :Sie benötigen in Duo ausreichende Administratorberechtigungen (z. B. die Rolle „Inhaber“ oder eine entsprechende Rolle, mit der Anwendungen verwaltet werden dürfen), um Admin API-Anwendungen zu erstellen oder zu ändern.

Google Cloud Storage-Bucket erstellen

Rufen Sie die Google Cloud Console auf.
Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
Klicken Sie auf Bucket erstellen.

Geben Sie die folgenden Konfigurationsdetails an:

Einstellung	Wert
Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. `duo-context`.
Standorttyp	Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
Standort	Wählen Sie den Speicherort aus, z. B. `us-central1`.
Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
Zugriffssteuerung	Einheitlich (empfohlen)
Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

Klicken Sie auf Erstellen.
Speichern Sie den Bucket-Namen und die Region für die spätere Verwendung.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
Klicken Sie auf Dienstkonto erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Name des Dienstkontos: Geben Sie duo-entity-context-sa ein.
- Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Duo entity context data ein.
Klicken Sie auf Erstellen und fortfahren.
Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
1. Klicken Sie auf Rolle auswählen.
2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
3. Klicken Sie auf + Weitere Rolle hinzufügen.
4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
5. Klicken Sie auf + Weitere Rolle hinzufügen.
6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
Klicken Sie auf Weiter.
Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben
Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

Rufen Sie Cloud Storage > Buckets auf.
Klicken Sie auf den Namen Ihres Buckets.
Wechseln Sie zum Tab Berechtigungen.
Klicken Sie auf Zugriff erlauben.
Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. duo-entity-context-sa@PROJECT_ID.iam.gserviceaccount.com).
- Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

Rufen Sie in der GCP Console Pub/Sub > Themen auf.
Klicken Sie auf Thema erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Themen-ID: Geben Sie duo-entity-context-trigger ein.
- Übernehmen Sie die anderen Einstellungen.
Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Kontextdaten für Entitäten erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Kontextdaten von Einheiten aus der Duo Admin API abzurufen und in GCS zu schreiben.

Rufen Sie in der GCP Console Cloud Run auf.
Klicken Sie auf Dienst erstellen.
Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

Einstellung	Wert
Dienstname	`duo-entity-context-collector`
Region	Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. `us-central1`).
Laufzeit	Wählen Sie Python 3.12 oder höher aus.

Im Abschnitt Trigger (optional):
1. Klicken Sie auf + Trigger hinzufügen.
2. Wählen Sie Cloud Pub/Sub aus.
3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Pub/Sub-Thema (duo-entity-context-trigger) aus.
4. Klicken Sie auf Speichern.
Im Abschnitt Authentifizierung:
1. Wählen Sie Authentifizierung erforderlich aus.
2. Identitäts- und Zugriffsverwaltung
Hinweis: Pub/Sub übernimmt die Authentifizierung beim Aufrufen der Funktion automatisch.
Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.
Rufen Sie den Tab Sicherheit auf:
- Dienstkonto: Wählen Sie das Dienstkonto aus (duo-entity-context-sa).

Rufen Sie den Tab Container auf:

Klicken Sie auf Variablen und Secrets.
Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

Variablenname	Beispielwert
`GCS_BUCKET`	`duo-context`
`GCS_PREFIX`	`duo/context/`
`DUO_IKEY`	`DIXYZ...`
`DUO_SKEY`	`****************`
`DUO_API_HOSTNAME`	`api-XXXXXXXX.duosecurity.com`
`LIMIT`	`100`
`RESOURCES`	`users,groups,phones,endpoints,tokens,webauthncredentials`

Scrollen Sie im Bereich Variablen und Secrets zu Anfragen:
- Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.
Rufen Sie den Tab Einstellungen unter Container auf:
- Im Abschnitt Ressourcen:
  - Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
  - CPU: Wählen Sie 1 aus.
- Klicken Sie auf Fertig.
Scrollen Sie zu Ausführungsumgebung:
- Wählen Sie Standard aus (empfohlen).
Im Abschnitt Versionsskalierung:
- Mindestanzahl von Instanzen: Geben Sie 0 ein.
- Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).
Klicken Sie auf Erstellen.
Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.
Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

Geben Sie main unter Funktionseinstiegspunkt ein.

Erstellen Sie im Inline-Codeeditor zwei Dateien:

Erste Datei: main.py::

import functions_framework
from google.cloud import storage
import json
import os
import time
import hmac
import hashlib
import base64
import email.utils
import urllib.parse
from urllib.request import Request, urlopen

# Environment variables
DUO_IKEY = os.environ["DUO_IKEY"]
DUO_SKEY = os.environ["DUO_SKEY"]
DUO_API_HOSTNAME = os.environ["DUO_API_HOSTNAME"].strip()
GCS_BUCKET = os.environ["GCS_BUCKET"]
GCS_PREFIX = os.environ.get("GCS_PREFIX", "duo/context/")

# Default resources can be adjusted via ENV
RESOURCES = [r.strip() for r in os.environ.get("RESOURCES", "users,groups,phones,endpoints,tokens,webauthncredentials,desktop_authenticators").split(",") if r.strip()]

# Duo paging: default 100; max varies by endpoint
LIMIT = int(os.environ.get("LIMIT", "100"))

# Initialize Storage client
storage_client = storage.Client()

def _canon_params(params: dict) -> str:
    """RFC3986 encoding with '~' unescaped, keys sorted lexicographically."""
    if not params:
        return ""
    parts = []
    for k in sorted(params.keys()):
        v = params[k]
        if v is None:
            continue
        ks = urllib.parse.quote(str(k), safe="~")
        vs = urllib.parse.quote(str(v), safe="~")
        parts.append(f"{ks}={vs}")
    return "&".join(parts)

def _sign(method: str, host: str, path: str, params: dict) -> dict:
    """Construct Duo Admin API Authorization + Date headers (HMAC-SHA1)."""
    now = email.utils.formatdate()
    canon = "\n".join([
        now,
        method.upper(),
        host.lower(),
        path,
        _canon_params(params)
    ])
    sig = hmac.new(
        DUO_SKEY.encode("utf-8"),
        canon.encode("utf-8"),
        hashlib.sha1
    ).hexdigest()
    auth = base64.b64encode(f"{DUO_IKEY}:{sig}".encode("utf-8")).decode("utf-8")
    return {
        "Date": now,
        "Authorization": f"Basic {auth}"
    }

def _call(method: str, path: str, params: dict) -> dict:
    host = DUO_API_HOSTNAME
    assert host.startswith("api-") and host.endswith(".duosecurity.com"), \
        "DUO_API_HOSTNAME must be e.g. api-XXXXXXXX.duosecurity.com"

    qs = _canon_params(params)
    url = f"https://{host}{path}" + (f"?{qs}" if method.upper() == "GET" and qs else "")

    req = Request(url, method=method.upper())
    for k, v in _sign(method, host, path, params).items():
        req.add_header(k, v)

    with urlopen(req, timeout=60) as r:
        return json.loads(r.read().decode("utf-8"))

def _write_json(obj: dict, when: float, resource: str, page: int) -> str:
    bucket = storage_client.bucket(GCS_BUCKET)
    prefix = GCS_PREFIX.strip("/") + "/" if GCS_PREFIX else ""
    key = f"{prefix}{time.strftime('%Y/%m/%d', time.gmtime(when))}/duo-{resource}-{page:05d}.json"

    blob = bucket.blob(key)
    blob.upload_from_string(
        json.dumps(obj, separators=(",", ":")),
        content_type="application/json"
    )
    return key

def _fetch_resource(resource: str) -> dict:
    """Fetch all pages for a list endpoint using limit/offset + metadata.next_offset."""
    path = f"/admin/v1/{resource}"
    offset = 0
    page = 0
    now = time.time()
    total_items = 0

    while True:
        params = {"limit": LIMIT, "offset": offset}
        data = _call("GET", path, params)
        _write_json(data, now, resource, page)
        page += 1

        resp = data.get("response")
        # most endpoints return a list; if not a list, count as 1 object page
        if isinstance(resp, list):
            total_items += len(resp)
        elif resp is not None:
            total_items += 1

        meta = data.get("metadata") or {}
        next_offset = meta.get("next_offset")
        if next_offset is None:
            break

        # Duo returns next_offset as int
        try:
            offset = int(next_offset)
        except Exception:
            break

    return {
        "resource": resource,
        "pages": page,
        "objects": total_items
    }

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Duo entity context data and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """
    results = []
    for res in RESOURCES:
        print(f"Fetching resource: {res}")
        result = _fetch_resource(res)
        results.append(result)
        print(f"Completed {res}: {result['pages']} pages, {result['objects']} objects")

    print(f"All resources fetched successfully: {results}")

Zweite Datei: requirements.txt::

functions-framework==3.*
google-cloud-storage==2.*

Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.
Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Hinweis:Bei der Konfiguration des Pub/Sub-Triggers werden automatisch die erforderlichen Abos und Berechtigungen erstellt.
Hinweis:Für die verschiedenen Admin API-Endpunkte gelten unterschiedliche maximale Grenzwerte. Wenn Sie für einen bestimmten Endpunkt einen höheren Wert als den unterstützten verwenden, wird ein 400-Fehler ausgegeben. Der Standardwert von 100 ist für alle Endpunkte sicher.

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema, wodurch die Cloud Run-Funktion ausgelöst wird.

Rufen Sie in der GCP Console Cloud Scheduler auf.
Klicken Sie auf Job erstellen.

Geben Sie die folgenden Konfigurationsdetails an:

Einstellung	Wert
Name	`duo-entity-context-hourly`
Region	Dieselbe Region wie für die Cloud Run-Funktion auswählen
Frequenz	`0 * * * *` (jede Stunde, zur vollen Stunde)
Zeitzone	Zeitzone auswählen (UTC empfohlen)
Zieltyp	Pub/Sub
Thema	Wählen Sie das Pub/Sub-Thema aus (`duo-entity-context-trigger`).
Nachrichtentext	`{}` (leeres JSON-Objekt)

Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

Wählen Sie die Häufigkeit basierend auf den Anforderungen an die Aktualität der Daten aus:

Häufigkeit	Cron-Ausdruck	Anwendungsfall
Stündlich	`0 * * * *`	Standard (empfohlen)
Alle zwei Stunden	`0 /2 * *`	Mäßige Aktualität
Alle 6 Stunden	`0 /6 * *`	Seltene Aktualisierungen
Täglich	`0 0 * * *`	Minimale Updates

Scheduler-Job testen

Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job (duo-entity-context-hourly).
Klicken Sie auf Force run (Ausführung erzwingen), um die Ausführung manuell auszulösen.
Warten Sie einige Sekunden und rufen Sie dann Cloud Run > Dienste > duo-entity-context-collector > Logs auf.
Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde.
Prüfen Sie im GCS-Bucket, ob Kontextdaten für Entitäten geschrieben wurden.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf Einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Duo Entity Context.
Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
Wählen Sie Duo Entity context data als Log type (Logtyp) aus.
Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Hinweis :Jede Google SecOps-Instanz hat ein eindeutiges Dienstkonto. Verwenden Sie keine Dienstkonten aus anderer Dokumentation oder anderen Beispielen.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

Rufen Sie Cloud Storage > Buckets auf.
Klicken Sie auf den Namen Ihres Buckets.
Wechseln Sie zum Tab Berechtigungen.
Klicken Sie auf Zugriff erlauben.
Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
- Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
Klicken Sie auf Speichern.

Hinweis: Wenn Sie die Löschoption „Übertragene Dateien löschen“ oder „Übertragene Dateien und leere Verzeichnisse löschen“ verwenden möchten, weisen Sie die Rolle Storage-Objekt-Administrator anstelle von „Storage-Objekt-Betrachter“ zu.

Feed in Google SecOps konfigurieren, um Duo Entity Context-Daten aufzunehmen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf Einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Duo Entity Context.
Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
Wählen Sie Duo Entity context data als Log type (Logtyp) aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:
```
gs://duo-context/duo/context/
```
  - Ersetzen Sie:
    - duo-context: Der Name Ihres GCS-Buckets.
    - duo/context/: Präfix/Ordnerpfad, in dem Logs gespeichert werden (muss mit der Umgebungsvariablen GCS_PREFIX übereinstimmen).
  Hinweis :Fügen Sie immer den Schrägstrich (/) am Ende des URI ein.
- Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:
  - Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
  - Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
  - Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.
    
    Hinweis :Wenn Sie eine Löschoption auswählen, muss das Dienstkonto die Rolle Storage-Objekt-Administrator anstelle von „Storage-Objekt-Betrachter“ haben. Aktualisieren Sie die IAM-Berechtigungen entsprechend.
- Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Aktiviert	entity.asset.deployment_status	Wenn „activated“ auf „false“ gesetzt ist, wird „DECOMISSIONED“ festgelegt, andernfalls „ACTIVE“.
browsers.browser_family	entity.asset.software.name	Aus dem Array „browsers“ im Rohlog extrahiert.
browsers.browser_version	entity.asset.software.version	Aus dem Array „browsers“ im Rohlog extrahiert.
Dein Gerät device_name	entity.asset.hostname	Direkt aus dem Rohlog zugeordnet.
disk_encryption_status	entity.asset.attribute.labels.key: "disk_encryption_status", entity.asset.attribute.labels.value	Direkt aus dem Rohlog zugeordnet, in Kleinbuchstaben umgewandelt.
E-Mail	entity.user.email_addresses	Wird direkt aus dem Rohlog zugeordnet, wenn er „@“ enthält. Andernfalls wird „username“ oder „username1“ verwendet, wenn diese „@“ enthalten.
verschlüsselt	entity.asset.attribute.labels.key: "Encrypted", entity.asset.attribute.labels.value	Direkt aus dem Rohlog zugeordnet, in Kleinbuchstaben umgewandelt.
epkey	entity.asset.product_object_id	Wird als „product_object_id“ verwendet, sofern vorhanden. Andernfalls wird „phone_id“ oder „token_id“ verwendet.
fingerprint	entity.asset.attribute.labels.key: „Fingerabdruck“, entity.asset.attribute.labels.value	Direkt aus dem Rohlog zugeordnet, in Kleinbuchstaben umgewandelt.
firewall_status	entity.asset.attribute.labels.key: "firewall_status", entity.asset.attribute.labels.value	Direkt aus dem Rohlog zugeordnet, in Kleinbuchstaben umgewandelt.
hardware_uuid	entity.asset.asset_id	Wird als „asset_id“ verwendet, falls vorhanden. Andernfalls wird „user_id“ verwendet.
last_seen	entity.asset.last_discover_time	Wird als ISO8601-Zeitstempel geparst und zugeordnet.
Modell	entity.asset.hardware.model	Direkt aus dem Rohlog zugeordnet.
Zahl	entity.user.phone_numbers	Direkt aus dem Rohlog zugeordnet.
os_family	entity.asset.platform_software.platform	Wird je nach Wert (Groß-/Kleinschreibung wird nicht berücksichtigt) „WINDOWS“, „LINUX“ oder „MAC“ zugeordnet.
os_version	entity.asset.platform_software.platform_version	Direkt aus dem Rohlog zugeordnet.
password_status	entity.asset.attribute.labels.key: "password_status", entity.asset.attribute.labels.value	Direkt aus dem Rohlog zugeordnet, in Kleinbuchstaben umgewandelt.
phone_id	entity.asset.product_object_id	Wird als „product_object_id“ verwendet, wenn „epkey“ nicht vorhanden ist. Andernfalls wird „token_id“ verwendet.
security_agents.security_agent	entity.asset.software.name	Aus dem Array „security_agents“ im Rohlog extrahiert.
security_agents.version	entity.asset.software.version	Aus dem Array „security_agents“ im Rohlog extrahiert.
timestamp	entity.metadata.collected_timestamp	Füllt das Feld „collected_timestamp“ im Objekt „metadata“ aus.
token_id	entity.asset.product_object_id	Wird als „product_object_id“ verwendet, wenn „epkey“ und „phone_id“ nicht vorhanden sind.
trusted_endpoint	entity.asset.attribute.labels.key: "trusted_endpoint", entity.asset.attribute.labels.value	Direkt aus dem Rohlog zugeordnet, in Kleinbuchstaben umgewandelt.
Typ	entity.asset.type	Wenn der Rohlog-„type“ „mobile“ (unabhängig von der Groß-/Kleinschreibung) enthält, legen Sie „MOBILE“ fest, andernfalls „LAPTOP“.
user_id	entity.asset.asset_id	Wird als „asset_id“ verwendet, wenn „hardware_uuid“ nicht vorhanden ist.
users.email	entity.user.email_addresses	Wird als „email_addresses“ verwendet, wenn es sich um den ersten Nutzer im Array „users“ handelt und „@“ enthält.
users.username	entity.user.userid	Der Nutzername wird vor dem „@“-Zeichen extrahiert und als „userid“ verwendet, wenn er der erste Nutzer im Array „users“ ist.
	entity.metadata.vendor_name	„Duo“
	entity.metadata.product_name	„Duo Entity Context Data“
	entity.metadata.entity_type	ASSET
	entity.relations.entity_type	NUTZER
	entity.relations.relationship	OWNS

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten