Duo-Telefonie-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Duo Telephony-Logs mit Google Cloud Storage in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus den Logs, transformiert sie und ordnet sie dem Unified Data Model (UDM) zu. Es verarbeitet verschiedene Duo-Logformate, konvertiert Zeitstempel, extrahiert Nutzerinformationen, Netzwerkdetails und Sicherheitsergebnisse und strukturiert die Ausgabe schließlich im standardisierten UDM-Format.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Ein GCP-Projekt mit aktivierter Cloud Storage API
• Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
• Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
• Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
• Privilegierter Zugriff auf das Duo-Admin-Panel mit der Rolle „Inhaber“

Duo-Voraussetzungen (API-Anmeldedaten) erfassen

1. Melden Sie sich als Administrator mit der Rolle „Inhaber“ im Duo-Admin-Steuerfeld an.
2. Rufen Sie Anwendungen > App-Katalog auf.
3. Suchen Sie im Katalog nach dem Eintrag für die Admin API.
4. Klicken Sie auf + Hinzufügen, um die Anwendung zu erstellen.
5. Kopieren und speichern Sie die folgenden Details an einem sicheren Ort:
   • Integrationsschlüssel
   • Geheimer Schlüssel
   • API-Hostname (z. B. api-yyyyyyyy.duosecurity.com)
6. Setzen Sie im Bereich Berechtigungen nur ein Häkchen bei der Berechtigung Telefonie lesen und entfernen Sie die Häkchen bei allen anderen Berechtigungen.
7. Klicken Sie auf Änderungen speichern.

Berechtigungen prüfen

So prüfen Sie, ob die Admin API-Anwendung die erforderlichen Berechtigungen hat:

1. Melden Sie sich im Duo Admin-Steuerfeld an.
2. Rufen Sie Anwendungen > Anwendung schützen auf.
3. Suchen Sie nach Ihrer Admin API-Anwendung.
4. Klicken Sie auf den Namen der Anwendung, um Details aufzurufen.
5. Prüfen Sie im Bereich Berechtigungen, ob nur Telefonie lesen angekreuzt ist.
6. Wenn andere Berechtigungen aktiviert sind oder „Telefonie lesen“ nicht aktiviert ist, aktualisieren Sie die Berechtigungen und klicken Sie auf Änderungen speichern.

API-Zugriff testen

• Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

  # Replace with your actual credentials
  DUO_IKEY="your-integration-key"
  DUO_SKEY="your-secret-key"
  DUO_HOST="api-yyyyyyyy.duosecurity.com"
  
  # Test API access (requires signing - use Duo's API test tool or Python script)
  # Visit https://duo.com/docs/adminapi#testing to test your credentials
  

Google Cloud Storage-Bucket erstellen

1. Rufen Sie die Google Cloud Console auf.
2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
4. Klicken Sie auf Bucket erstellen.

5. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. duo-telephony-logs.
   Standorttyp	Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
   Standort	Wählen Sie den Speicherort aus, z. B. us-central1.
   Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
   Zugriffssteuerung	Einheitlich (empfohlen)
   Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

6. Klicken Sie auf Erstellen.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
2. Klicken Sie auf Dienstkonto erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Name des Dienstkontos: Geben Sie duo-telephony-collector-sa ein.
   • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Duo Telephony logs ein.
4. Klicken Sie auf Erstellen und fortfahren.
5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
   1. Klicken Sie auf Rolle auswählen.
   2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
   3. Klicken Sie auf + Weitere Rolle hinzufügen.
   4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
   5. Klicken Sie auf + Weitere Rolle hinzufügen.
   6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
6. Klicken Sie auf Weiter.
7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

• Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
• Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
• Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets, z. B. duo-telephony-logs.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. duo-telephony-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
2. Klicken Sie auf Thema erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Themen-ID: Geben Sie duo-telephony-trigger ein.
   • Übernehmen Sie die anderen Einstellungen.
4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der Duo Telephony API abzurufen und in GCS zu schreiben.

1. Rufen Sie in der GCP Console Cloud Run auf.
2. Klicken Sie auf Dienst erstellen.
3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Dienstname	duo-telephony-logs-collector
   Region	Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
   Laufzeit	Wählen Sie Python 3.12 oder höher aus.

5. Im Abschnitt Trigger (optional):

   1. Klicken Sie auf + Trigger hinzufügen.
   2. Wählen Sie Cloud Pub/Sub aus.
   3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Pub/Sub-Thema (duo-telephony-trigger) aus.
   4. Klicken Sie auf Speichern.

6. Im Abschnitt Authentifizierung:

   1. Wählen Sie Authentifizierung erforderlich aus.
   2. Identitäts- und Zugriffsverwaltung

7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

8. Rufen Sie den Tab Sicherheit auf:

   • Dienstkonto: Wählen Sie das Dienstkonto aus (duo-telephony-collector-sa).

9. Rufen Sie den Tab Container auf:

   1. Klicken Sie auf Variablen und Secrets.
   2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

   Variablenname	Beispielwert
   GCS_BUCKET	duo-telephony-logs
   GCS_PREFIX	duo-telephony
   STATE_KEY	duo-telephony/state.json
   DUO_IKEY	<your-integration-key>
   DUO_SKEY	<your-secret-key>
   DUO_API_HOST	api-yyyyyyyy.duosecurity.com
   MAX_ITERATIONS	10

10. Scrollen Sie auf dem Tab Variablen und Secrets nach unten zu Anfragen:

    • Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.

11. Rufen Sie den Tab Einstellungen unter Container auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.
    • Klicken Sie auf Fertig.

12. Scrollen Sie zu Ausführungsumgebung:

    • Wählen Sie Standard aus (empfohlen).

13. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

14. Klicken Sie auf Erstellen.

15. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

16. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

1. Geben Sie main in das Feld Einstiegspunkt ein.

2. Erstellen Sie im Inline-Codeeditor zwei Dateien:

   • Erste Datei: main.py::

   import functions_framework
   from google.cloud import storage
   import json
   import os
   import hmac
   import hashlib
   import base64
   import urllib.parse
   import urllib3
   import email.utils
   from datetime import datetime, timedelta, timezone
   from typing import Dict, Any, List, Optional
   
   # Initialize HTTP client with timeouts
   http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=5.0, read=30.0),
       retries=False,
   )
   
   # Initialize Storage client
   storage_client = storage.Client()
   
   @functions_framework.cloud_event
   def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch Duo telephony logs and write to GCS.
   
       Args:
           cloud_event: CloudEvent object containing Pub/Sub message
       """
   
       # Get environment variables
       bucket_name = os.environ.get('GCS_BUCKET')
       prefix = os.environ.get('GCS_PREFIX', 'duo-telephony').rstrip('/')
       state_key = os.environ.get('STATE_KEY', 'duo-telephony/state.json')
       integration_key = os.environ.get('DUO_IKEY')
       secret_key = os.environ.get('DUO_SKEY')
       api_hostname = os.environ.get('DUO_API_HOST')
   
       if not all([bucket_name, integration_key, secret_key, api_hostname]):
           print('Error: Missing required environment variables')
           return
   
       try:
           # Get GCS bucket
           bucket = storage_client.bucket(bucket_name)
   
           # Load state
           state = load_state(bucket, state_key)
   
           # Calculate time range
           now = datetime.now(timezone.utc)
   
           if state.get('last_offset'):
               # Continue from last offset
               next_offset = state['last_offset']
               logs = []
               has_more = True
           else:
               # Start from last timestamp or 24 hours ago
               mintime = state.get('last_timestamp_ms', int((now - timedelta(hours=24)).timestamp() * 1000))
               # Apply 2-minute delay as recommended by Duo
               maxtime = int((now - timedelta(minutes=2)).timestamp() * 1000)
               next_offset = None
               logs = []
               has_more = True
   
           # Fetch logs with pagination
           total_fetched = 0
           max_iterations = int(os.environ.get('MAX_ITERATIONS', '10'))
   
           while has_more and total_fetched < max_iterations:
               page_num = total_fetched + 1
   
               if next_offset:
                   # Use offset for pagination
                   params = {
                       'limit': '100',
                       'next_offset': next_offset
                   }
               else:
                   # Initial request with time range
                   params = {
                       'mintime': str(mintime),
                       'maxtime': str(maxtime),
                       'limit': '100',
                       'sort': 'ts:asc'
                   }
   
               # Make API request with retry logic
               response = duo_api_call_with_retry(
                   'GET',
                   api_hostname,
                   '/admin/v2/logs/telephony',
                   params,
                   integration_key,
                   secret_key
               )
   
               if 'items' in response:
                   logs.extend(response['items'])
                   total_fetched += 1
   
               # Check for more data
               if 'metadata' in response and 'next_offset' in response['metadata']:
                   next_offset = response['metadata']['next_offset']
                   state['last_offset'] = next_offset
               else:
                   has_more = False
                   state['last_offset'] = None
   
                   # Update timestamp for next run
                   if logs:
                       # Get the latest timestamp from logs (ISO 8601 format)
                       latest_ts = max([log.get('ts', '') for log in logs])
                       if latest_ts:
                           # Convert ISO timestamp to milliseconds
                           dt = datetime.fromisoformat(latest_ts.replace('Z', '+00:00'))
                           state['last_timestamp_ms'] = int(dt.timestamp() * 1000) + 1
   
           # Save logs to GCS if any were fetched
           if logs:
               timestamp = datetime.now(timezone.utc).strftime('%Y%m%d_%H%M%S')
               blob_name = f"{prefix}/telephony_{timestamp}.json"
   
               # Format logs as newline-delimited JSON
               log_data = '\n'.join(json.dumps(log) for log in logs)
   
               blob = bucket.blob(blob_name)
               blob.upload_from_string(
                   log_data,
                   content_type='application/x-ndjson'
               )
   
               print(f"Saved {len(logs)} telephony logs to gs://{bucket_name}/{blob_name}")
           else:
               print("No new telephony logs found")
   
           # Save state
           save_state(bucket, state_key, state)
   
       except Exception as e:
           print(f'Error processing logs: {str(e)}')
           raise
   
   def duo_api_call_with_retry(
       method: str,
       host: str,
       path: str,
       params: Dict[str, str],
       ikey: str,
       skey: str,
       max_retries: int = 3
   ) -> Dict[str, Any]:
       """Make an authenticated API call to Duo Admin API with retry logic."""
       for attempt in range(max_retries):
           try:
               return duo_api_call(method, host, path, params, ikey, skey)
           except Exception as e:
               if '429' in str(e) or '5' in str(e)[:1]:
                   if attempt < max_retries - 1:
                       wait_time = (2 ** attempt) * 2
                       print(f"Retrying after {wait_time} seconds...")
                       import time
                       time.sleep(wait_time)
                       continue
               raise
   
   def duo_api_call(
       method: str,
       host: str,
       path: str,
       params: Dict[str, str],
       ikey: str,
       skey: str
   ) -> Dict[str, Any]:
       """Make an authenticated API call to Duo Admin API."""
       # Create canonical string for signing using RFC 2822 date format
       now = email.utils.formatdate()
       canon = [now, method.upper(), host.lower(), path]
   
       # Add parameters
       args = []
       for key in sorted(params.keys()):
           val = params[key]
           args.append(f"{urllib.parse.quote(key, '~')}={urllib.parse.quote(val, '~')}")
       canon.append('&'.join(args))
   
       canon_str = '\n'.join(canon)
   
       # Sign the request
       sig = hmac.new(
           skey.encode('utf-8'),
           canon_str.encode('utf-8'),
           hashlib.sha1
       ).hexdigest()
   
       # Create authorization header
       auth = base64.b64encode(f"{ikey}:{sig}".encode('utf-8')).decode('utf-8')
   
       # Build URL
       url = f"https://{host}{path}"
       if params:
           url += '?' + '&'.join(args)
   
       # Make request
       headers = {
           'Authorization': f'Basic {auth}',
           'Date': now,
           'Host': host,
           'User-Agent': 'duo-telephony-gcs-ingestor/1.0'
       }
   
       try:
           response = http.request('GET', url, headers=headers)
           data = json.loads(response.data.decode('utf-8'))
   
           if data.get('stat') == 'OK':
               return data.get('response', {})
           else:
               raise Exception(f"API error: {data.get('message', 'Unknown error')}")
       except urllib3.exceptions.HTTPError as e:
           raise Exception(f"HTTP error: {str(e)}")
   
   def load_state(bucket, key):
       """Load state from GCS."""
       try:
           blob = bucket.blob(key)
           if blob.exists():
               state_data = blob.download_as_text()
               return json.loads(state_data)
       except Exception as e:
           print(f'Warning: Could not load state: {str(e)}')
       return {}
   
   def save_state(bucket, key, state):
       """Save state to GCS."""
       try:
           blob = bucket.blob(key)
           blob.upload_from_string(
               json.dumps(state),
               content_type='application/json'
           )
       except Exception as e:
           print(f'Warning: Could not save state: {str(e)}')
   

   • Zweite Datei: requirements.txt::

   functions-framework==3.*
   google-cloud-storage==2.*
   urllib3>=2.0.0
   

3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema, wodurch die Cloud Run-Funktion ausgelöst wird.

1. Rufen Sie in der GCP Console Cloud Scheduler auf.
2. Klicken Sie auf Job erstellen.

3. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Name	duo-telephony-logs-1h
   Region	Dieselbe Region wie für die Cloud Run-Funktion auswählen
   Frequenz	0 * * * * (jede Stunde, zur vollen Stunde)
   Zeitzone	Zeitzone auswählen (UTC empfohlen)
   Zieltyp	Pub/Sub
   Thema	Wählen Sie das Pub/Sub-Thema aus (duo-telephony-trigger).
   Nachrichtentext	{} (leeres JSON-Objekt)

4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

• Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

  Häufigkeit	Cron-Ausdruck	Anwendungsfall
  Alle 5 Minuten	*/5 * * * *	Hohes Volumen, niedrige Latenz
  Alle 15 Minuten	*/15 * * * *	Mittleres Suchvolumen
  Stündlich	0 * * * *	Standard (empfohlen)
  Alle 6 Stunden	0 */6 * * *	Geringes Volumen, Batchverarbeitung
  Täglich	0 0 * * *	Erhebung von Verlaufsdaten

Scheduler-Job testen

1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job (duo-telephony-logs-1h).
2. Klicken Sie auf Force run (Ausführung erzwingen), um die Ausführung manuell auszulösen.
3. Warten Sie einige Sekunden und rufen Sie dann Cloud Run > Dienste auf.
4. Klicken Sie auf den Funktionsnamen (duo-telephony-logs-collector).
5. Klicken Sie auf den Tab Logs.
6. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde.
7. Rufen Sie Cloud Storage > Buckets auf.
8. Klicken Sie auf den Namen Ihres Buckets (duo-telephony-logs).
9. Rufen Sie den Präfixordner (duo-telephony/) auf.
10. Prüfen Sie, ob eine neue .json-Datei mit Protokollen erstellt wurde.

Wenn in den Logs Fehler angezeigt werden, gehen Sie so vor:

• HTTP 401: API-Anmeldedaten (DUO_IKEY, DUO_SKEY, DUO_API_HOST) in Umgebungsvariablen prüfen
• HTTP 403: Prüfen Sie, ob für die Admin API-Anwendung die Berechtigung Telefonie lesen aktiviert ist.
• HTTP 429: Ratenbegrenzung – die Funktion wird automatisch mit exponentiellem Backoff wiederholt.
• Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen in der Cloud Run-Funktionskonfiguration festgelegt sind.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf Einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Duo Telephony logs.
5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
6. Wählen Sie Duo-Telefonie-Logs als Logtyp aus.

7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets, z. B. duo-telephony-logs.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

6. Klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um Duo-Telefonielogs aufzunehmen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf Einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Duo Telephony logs.
5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
6. Wählen Sie Duo-Telefonie-Logs als Logtyp aus.
7. Klicken Sie auf Weiter.

8. Geben Sie Werte für die folgenden Eingabeparameter an:

   • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

     gs://duo-telephony-logs/duo-telephony/
     

     • Ersetzen Sie:

       • duo-telephony-logs: Der Name Ihres GCS-Buckets.
       • duo-telephony: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden (für den Stamm leer lassen).

     • Beispiele:

       • Root-Bucket: gs://duo-telephony-logs/
       • Mit Präfix: gs://duo-telephony-logs/duo-telephony/

   • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

     • Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
     • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
     • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.

   • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

   • Asset-Namespace: Der Asset-Namespace.

   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

9. Klicken Sie auf Weiter.

10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
context	metadata.product_event_type	Direkt aus dem Kontextfeld im Rohlog zugeordnet.
Guthaben	security_result.detection_fields.value	Direkt aus dem Feld „credits“ im Rohlog zugeordnet, das in einem „detection_fields“-Objekt mit dem entsprechenden Schlüssel „credits“ verschachtelt ist.
eventtype	security_result.detection_fields.value	Direkt aus dem Feld „eventtype“ im Rohlog zugeordnet, das in einem „detection_fields“-Objekt mit dem entsprechenden Schlüssel „eventtype“ verschachtelt ist.
Host	principal.hostname	Direkt aus dem Hostfeld im Rohlog zugeordnet, wenn es sich nicht um eine IP-Adresse handelt.
	security_result.action	Im Parser auf den statischen Wert „ALLOW“ festlegen.
	security_result.detection_fields.value	Wird im Parser auf den statischen Wert „MECHANISM_UNSPECIFIED“ gesetzt.
	metadata.event_timestamp	Wird aus dem Feld „ts“ im Rohlog geparst. Dabei handelt es sich um einen ISO 8601-Zeitstempelstring.
	metadata.event_type	Auf „USER_UNCATEGORIZED“ festgelegt, wenn sowohl Kontext- als auch Hostfelder im Rohlog vorhanden sind. Auf „STATUS_UPDATE“ setzen, wenn nur der Host vorhanden ist. Andernfalls auf „GENERIC_EVENT“ setzen.
	metadata.log_type	Direkt aus dem Feld „log_type“ des Rohlogs.
	metadata.product_name	Im Parser auf den statischen Wert „Telephony“ festlegen.
	metadata.vendor_name	Legen Sie im Parser einen statischen Wert von „Duo“ fest.
Telefon	principal.user.phone_numbers	Direkt aus dem Feld „phone“ im Rohlog zugeordnet.
Telefon	principal.user.userid	Direkt aus dem Feld „phone“ im Rohlog zugeordnet.
	security_result.severity	Im Parser auf den statischen Wert „INFORMATIONAL“ festlegen.
	security_result.summary	Im Parser auf den statischen Wert „Duo Telephony“ festlegen.
ts	metadata.event_timestamp	Wird aus dem Feld „ts“ im Rohlog geparst. Dabei handelt es sich um einen ISO 8601-Zeitstempelstring.
Typ	security_result.summary	Direkt aus dem Feld „type“ im Rohlog zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten