Collecter les journaux ForgeRock OpenIDM

Compatible avec :

Ce document explique comment ingérer des journaux ForgeRock OpenIDM dans Google Security Operations à l'aide de Google Cloud Storage V2.

ForgeRock OpenIDM (désormais appelé PingIDM) est une plate-forme de gestion des identités qui permet le provisionnement des utilisateurs, la synchronisation, la gestion des mots de passe et la gouvernance des accès. Il consigne les événements de cycle de vie liés à l'identité, les tentatives d'authentification, les opérations de réconciliation et les modifications de configuration dans des journaux d'audit accessibles via REST.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Une instance Google SecOps
  • Un projet GCP avec l'API Cloud Storage activée
  • Autorisations pour créer et gérer des buckets GCS
  • Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
  • Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
  • Accès privilégié à l'instance ForgeRock OpenIDM ou PingIDM avec des identifiants d'administrateur

Créer un bucket Google Cloud Storage

  1. Accédez à Google Cloud Console.
  2. Sélectionnez votre projet ou créez-en un.
  3. Dans le menu de navigation, accédez à Cloud Storage> Buckets.
  4. Cliquez sur Créer un bucket.

  5. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nommer votre bucket Saisissez un nom unique (par exemple, forgerock-openidm-audit-logs).
    Type d'emplacement Choisissez en fonction de vos besoins (région, birégion ou multirégion).
    Emplacement Sélectionnez l'emplacement (par exemple, us-central1).
    Classe de stockage Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
    Access control (Contrôle des accès) Uniforme (recommandé)
    Outils de protection Facultatif : Activer la gestion des versions des objets ou la règle de conservation

  6. Cliquez sur Créer.

Collecter les identifiants ForgeRock OpenIDM

Obtenir l'URL de base ForgeRock OpenIDM

  1. Connectez-vous à votre instance ForgeRock OpenIDM ou PingIDM.
  2. Notez votre URL de base dans la barre d'adresse du navigateur.
    • Format : https://openidm.example.com
    • N'incluez pas de barre oblique finale ni de chemin d'accès comme /admin.

Obtenir des identifiants d'administrateur

  1. Obtenez des identifiants d'administrateur pour votre instance ForgeRock OpenIDM.

  2. Vous avez alors besoin de :

    • Nom d'utilisateur : nom d'utilisateur administrateur (par exemple, openidm-admin)
    • Mot de passe : mot de passe administrateur

Vérifier les autorisations

Pour vérifier que le compte dispose des autorisations requises :

  1. Connectez-vous à ForgeRock OpenIDM.
  2. Accédez à Configurer > Préférences système > Audit.
  3. Si vous pouvez voir la configuration et les thèmes d'audit, vous disposez des autorisations requises.
  4. Si vous ne voyez pas cette option, contactez votre administrateur pour qu'il vous accorde les autorisations de lecture des journaux d'audit.

Tester l'accès à l'API

Testez vos identifiants avant de procéder à l'intégration :

# Replace with your actual credentials
OPENIDM_BASE_URL="https://openidm.example.com"
OPENIDM_USERNAME="openidm-admin"
OPENIDM_PASSWORD="your-admin-password"

# Test API access to authentication audit topic
curl -v \
    -H "X-OpenIDM-Username: ${OPENIDM_USERNAME}" \
    -H "X-OpenIDM-Password: ${OPENIDM_PASSWORD}" \
    -H "Accept-API-Version: resource=1.0" \
    -H "Accept: application/json" \
    "${OPENIDM_BASE_URL}/openidm/audit/authentication?_queryFilter=true&_pageSize=1"

Réponse attendue : HTTP 200 avec un fichier JSON contenant les événements d'audit.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

  1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
  2. Cliquez sur Créer un compte de service.
  3. Fournissez les informations de configuration suivantes :
    • Nom du compte de service : saisissez forgerock-openidm-collector-sa.
    • Description du compte de service : saisissez Service account for Cloud Run function to collect ForgeRock OpenIDM logs.
  4. Cliquez sur Créer et continuer.
  5. Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
    1. Cliquez sur Sélectionner un rôle.
    2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
    3. Cliquez sur + Ajouter un autre rôle.
    4. Recherchez et sélectionnez Demandeur Cloud Run.
    5. Cliquez sur + Ajouter un autre rôle.
    6. Recherchez et sélectionnez Demandeur Cloud Functions.
  6. Cliquez sur Continuer.
  7. Cliquez sur OK.

Ces rôles sont requis pour :

  • Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
  • Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
  • Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur le nom de votre bucket (par exemple, forgerock-openidm-audit-logs).
  3. Accédez à l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Fournissez les informations de configuration suivantes :
    • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, forgerock-openidm-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
  6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

  1. Dans la console GCP, accédez à Pub/Sub > Sujets.
  2. Cliquez sur Create topic (Créer un sujet).
  3. Fournissez les informations de configuration suivantes :
    • ID du sujet : saisissez forgerock-openidm-trigger.
    • Conservez les valeurs par défaut des autres paramètres.
  4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run sera déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API ForgeRock OpenIDM et les écrire dans GCS.

  1. Dans la console GCP, accédez à Cloud Run.
  2. Cliquez sur Créer un service.
  3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

  4. Dans la section Configurer, fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom du service forgerock-openidm-collector
    Région Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
    Durée d'exécution Sélectionnez Python 3.12 ou version ultérieure.

  5. Dans la section Déclencheur (facultatif) :

    1. Cliquez sur + Ajouter un déclencheur.
    2. Sélectionnez Cloud Pub/Sub.
    3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet Pub/Sub forgerock-openidm-trigger.
    4. Cliquez sur Enregistrer.

  6. Dans la section Authentification :

    1. Sélectionnez Exiger l'authentification.
    2. Consultez Identity and Access Management (IAM).

  7. Faites défiler la page jusqu'à Conteneurs, mise en réseau, sécurité, puis développez cette section.

  8. Accédez à l'onglet Sécurité :

    • Compte de service : sélectionnez le compte de service forgerock-openidm-collector-sa.

  9. Accédez à l'onglet Conteneurs :

    1. Cliquez sur Variables et secrets.

    2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

      Nom de la variable Exemple de valeur Description
      GCS_BUCKET forgerock-openidm-audit-logs Nom du bucket GCS
      GCS_PREFIX openidm Préfixe des fichiers journaux
      STATE_KEY openidm/state.json Chemin d'accès au fichier d'état
      OPENIDM_BASE_URL https://openidm.example.com URL de base OpenIDM
      OPENIDM_USERNAME openidm-admin Nom d'utilisateur de l'administrateur OpenIDM
      OPENIDM_PASSWORD your-admin-password Mot de passe administrateur OpenIDM
      AUDIT_TOPICS access,activity,authentication,config,sync Thèmes d'audit séparés par une virgule
      PAGE_SIZE 100 Enregistrements par page
      MAX_PAGES 50 Nombre maximal de pages par thème

  10. Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :

    • Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).

  11. Accédez à l'onglet Paramètres :

    • Dans la section Ressources :
      • Mémoire : sélectionnez 512 Mio ou plus.
      • CPU : sélectionnez 1.
    • Dans la section Scaling de révision :
      • Nombre minimal d'instances : saisissez 0.
      • Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).

  12. Cliquez sur Créer.

  13. Attendez que le service soit créé (1 à 2 minutes).

  14. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

  1. Saisissez main dans le champ Point d'entrée.

  2. Dans l'éditeur de code intégré, créez deux fichiers :

    • Premier fichier : main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'openidm')
STATE_KEY = os.environ.get('STATE_KEY', 'openidm/state.json')
OPENIDM_BASE_URL = os.environ.get('OPENIDM_BASE_URL')
OPENIDM_USERNAME = os.environ.get('OPENIDM_USERNAME')
OPENIDM_PASSWORD = os.environ.get('OPENIDM_PASSWORD')
AUDIT_TOPICS = os.environ.get('AUDIT_TOPICS', 'access,activity,authentication,config,sync').split(',')
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
MAX_PAGES = int(os.environ.get('MAX_PAGES', '50'))

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch ForgeRock OpenIDM logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, OPENIDM_BASE_URL, OPENIDM_USERNAME, OPENIDM_PASSWORD]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        all_events = []
        for topic in AUDIT_TOPICS:
            topic = topic.strip()
            print(f"Fetching audit logs for topic: {topic}")
            events = fetch_audit_logs(topic, state.get(topic, {}))
            all_events.extend(events)

            if events:
                latest_timestamp = max(e.get('timestamp', '') for e in events)
                state[topic] = {
                    'last_timestamp': latest_timestamp,
                    'last_run': datetime.now(timezone.utc).isoformat(),
                    'events_count': len(events)
                }

        if all_events:
            write_to_gcs(bucket, all_events)
            save_state(bucket, STATE_KEY, state)
            print(f"Successfully processed {len(all_events)} audit events")
        else:
            print("No new audit events to process")

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f"Warning: Could not load state: {e}")

    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
        print(f"Saved state: {json.dumps(state)}")
    except Exception as e:
        print(f"Warning: Could not save state: {e}")

def fetch_audit_logs(topic, topic_state):
    """
    Fetch audit logs from ForgeRock OpenIDM API with pagination.

    Args:
        topic: Audit topic name
        topic_state: State dictionary for this topic

    Returns:
        List of audit events
    """
    base_url = OPENIDM_BASE_URL.rstrip('/')

    all_events = []
    last_timestamp = topic_state.get('last_timestamp')

    query_filter = 'true'
    if last_timestamp:
        query_filter = f'timestamp gt "{last_timestamp}"'

    page_offset = 0
    page_count = 0

    while page_count < MAX_PAGES:
        try:
            url = f"{base_url}/openidm/audit/{topic}"
            params = {
                '_queryFilter': query_filter,
                '_pageSize': str(PAGE_SIZE),
                '_pagedResultsOffset': str(page_offset),
                '_sortKeys': 'timestamp'
            }

            query_string = '&'.join([f"{k}={urllib3.request.urlencode({k: v})[len(k)+1:]}" for k, v in params.items()])
            full_url = f"{url}?{query_string}"

            headers = {
                'X-OpenIDM-Username': OPENIDM_USERNAME,
                'X-OpenIDM-Password': OPENIDM_PASSWORD,
                'Accept-API-Version': 'resource=1.0',
                'Accept': 'application/json'
            }

            response = http.request('GET', full_url, headers=headers)

            if response.status != 200:
                print(f"API error for topic {topic}: {response.status} - {response.data.decode('utf-8')}")
                break

            data = json.loads(response.data.decode('utf-8'))
            events = data.get('result', [])

            if not events:
                print(f"No more events for topic {topic}")
                break

            all_events.extend(events)
            page_offset += PAGE_SIZE
            page_count += 1

            print(f"Fetched page {page_count} for topic {topic}, total events: {len(all_events)}")

            if len(events) < PAGE_SIZE:
                break

        except urllib3.exceptions.HTTPError as e:
            print(f"HTTP error for topic {topic}: {str(e)}")
            break
        except json.JSONDecodeError as e:
            print(f"JSON decode error for topic {topic}: {str(e)}")
            break
        except Exception as e:
            print(f"Unexpected error for topic {topic}: {str(e)}")
            break

    return all_events

def write_to_gcs(bucket, events):
    """Write events to GCS as NDJSON."""
    timestamp = datetime.now(timezone.utc).strftime('%Y%m%d_%H%M%S')
    filename = f"{GCS_PREFIX}/openidm_audit_{timestamp}.json"

    ndjson_content = '\n'.join([json.dumps(event) for event in events])

    blob = bucket.blob(filename)
    blob.upload_from_string(
        ndjson_content.encode('utf-8'),
        content_type='application/x-ndjson'
    )

    print(f"Wrote {len(events)} events to gs://{GCS_BUCKET}/{filename}")
    • Deuxième fichier : requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

  4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

  1. Dans la console GCP, accédez à Cloud Scheduler.
  2. Cliquez sur Créer une tâche.

  3. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom forgerock-openidm-collector-hourly
    Région Sélectionnez la même région que la fonction Cloud Run.
    Fréquence 0 * * * * (toutes les heures)
    Fuseau horaire Sélectionnez un fuseau horaire (UTC recommandé).
    Type de cible Pub/Sub
    Sujet Sélectionnez le sujet Pub/Sub forgerock-openidm-trigger.
    Corps du message {} (objet JSON vide)

  4. Cliquez sur Créer.

Options de fréquence de planification

Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

Fréquence Expression Cron Cas d'utilisation
Toutes les 5 minutes */5 * * * * Volume élevé, faible latence
Toutes les 15 minutes */15 * * * * Volume moyen
Toutes les heures 0 * * * * Standard (recommandé)
Toutes les 6 heures 0 */6 * * * Traitement par lot à faible volume
Tous les jours 0 0 * * * Collecte de données historiques

Tester l'intégration

  1. Dans la console Cloud Scheduler, recherchez votre job forgerock-openidm-collector-hourly.
  2. Cliquez sur Exécuter de force pour déclencher le job manuellement.
  3. Patientez quelques secondes.
  4. Accédez à Cloud Run > Services.
  5. Cliquez sur le nom de votre fonction forgerock-openidm-collector.
  6. Cliquez sur l'onglet Journaux.

  7. Vérifiez que la fonction s'est exécutée correctement. Par exemple :

    Fetching audit logs for topic: access
Fetched page 1 for topic access, total events: X
Wrote X events to gs://forgerock-openidm-audit-logs/openidm/openidm_audit_YYYYMMDD_HHMMSS.json
Successfully processed X audit events

  8. Accédez à Cloud Storage > Buckets.

  9. Cliquez sur le nom de votre bucket forgerock-openidm-audit-logs.

  10. Accédez au dossier de préfixe openidm/.

  11. Vérifiez qu'un fichier .json a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

  • HTTP 401 : vérifiez les identifiants OpenIDM dans les variables d'environnement
  • HTTP 403 : vérifiez que le compte dispose des autorisations de lecture des journaux d'audit.
  • HTTP 404 : vérifiez que OPENIDM_BASE_URL est correct et n'inclut pas de chemins d'accès finaux.
  • Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Configurer un flux dans Google SecOps pour ingérer les journaux ForgeRock OpenIDM

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur Configurer un flux unique.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, ForgeRock OpenIDM Audit Logs).
  5. Sélectionnez Google Cloud Storage V2 comme Type de source.

  6. Sélectionnez FORGEROCK_OPENIDM comme type de journal.

  7. Cliquez sur Obtenir un compte de service.

  8. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  9. Copiez cette adresse e-mail. Vous en aurez besoin lors de la tâche suivante.

  10. Cliquez sur Suivant.

  11. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :
    gs://forgerock-openidm-audit-logs/openidm/
    • Remplacez :
      • forgerock-openidm-audit-logs : nom de votre bucket GCS.
      • openidm : préfixe du chemin d'accès où les journaux sont stockés.
    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :
      • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
      • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.
    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

  12. Cliquez sur Suivant.

  13. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur le nom de votre bucket forgerock-openidm-audit-logs.
  3. Accédez à l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Fournissez les informations de configuration suivantes :
    • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
    • Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.

  6. Cliquez sur Enregistrer.

Table de mappage UDM

Champ du journal Mappage UDM Logique
additional_label, additional_elapsed_time, additional_ContentLength, additional_accept_encoding, additional_Accept, additional_accept_language, additional_origin_hop, additional_cache_control, additional_Connection, additional_Cookie, additional_Pragma, additional_exchange_id, additional_contentType, additional_X-content_type-Options, fluenttag_label, source_label, topic_label, request_protocol_label, taskName_label, linkQualifier_label, situation_label, mapping_label, eventid_label, context_roles_label, field_names_label additional.fields Paires clé-valeur supplémentaires
Via intermediary.hostname Nom d'hôte de l'intermédiaire
x_forwarded_ip, ip, caller.callerIps intermediary.ip Adresse IP de l'intermédiaire
timestamp metadata.event_timestamp Code temporel de l'événement
metadata.event_type Type d'événement
transactionId metadata.product_deployment_id Identifiant de déploiement du produit
eventName metadata.product_event_type Type d'événement du produit
_id, trackingIds metadata.product_log_id Identifiant du journal du produit
http.request.secure network.application_protocol Protocole d'application
http_version network.application_protocol_version Version du protocole d'application
request_method, http.request.method network.http.method Méthode HTTP
user_agent, http.request.headers.user_agent.0 network.http.parsed_user_agent User-agent analysé
refferal_url network.http.referral_url URL du site référent
response.statusCode, status_code network.http.response_code Code de réponse HTTP
user_agent, http.request.headers.user_agent network.http.user_agent Chaîne user-agent
transaction_id, transactionId network.session_id Identifiant de session
Hôte principal.asset.hostname Nom d'hôte de l'élément principal
true_client_ip, client.ip, context.ipAddress, entry.info.ipAddress, src_ip principal.asset.ip Adresse IP de l'élément du compte principal
Hôte principal.hostname Nom d'hôte du principal
true_client_ip, client.ip, context.ipAddress, entry.info.ipAddress, src_ip principal.ip Adresse IP du principal
client.port, src_port principal.port Port du mandant
component_label, moduleId_label, query_id_label principal.resource.attribute.labels Libellés d'attributs pour la ressource du principal
entry.info.treeName principal.resource.name Nom de la ressource du compte principal
sourceObjectId, objectId, entry.info.nodeId principal.resource.product_object_id ID de l'objet produit pour la ressource du principal
entry.info.authLevel principal.resource.resource_subtype Sous-type de la ressource du compte principal
user_roles_property_label, authentication_id_label, authentication_id_property_label principal.user.attribute.labels Libellés d'attributs pour l'utilisateur du principal
userId, principalData.0 principal.user.userid ID utilisateur du principal
security_action security_result.action Action effectuée dans le résultat de sécurité
résultat, action security_result.action_details Détails de l'action
result_label, moduleId_label, nodeType_label, displayName_label, nodeOutcome_label, elapsedTimeUnits_label, elapsedTime_label, operation_label, taskName_label, linkQualifier_label, situation_label, mapping_label security_result.detection_fields Champs de détection
level security_result.severity Gravité du résultat de sécurité
level security_result.severity_details Détails de la gravité
response_detail_reason security_result.summary Résumé du résultat de sécurité
http.request.headers.host.0 target.asset.hostname Nom d'hôte de l'élément cible
server.ip, x_forwarded_ip target.asset.ip Adresse IP de l'élément cible
http.request.headers.host.0 target.hostname Nom d'hôte de la cible
server.ip, x_forwarded_ip target.ip Adresse IP de la cible
server.port target.port Port de la cible
targetObjectId target.resource.product_object_id ID d'objet produit pour la ressource de la cible
http.request.path target.url URL de la cible
metadata.product_name Nom du produit
metadata.vendor_name Nom du fournisseur

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.