Raccogliere i log di sicurezza di Keeper Enterprise

Supportato in:

Questo documento spiega come importare i log di Keeper Enterprise Security in Google Security Operations utilizzando Google Cloud Storage V2.

Keeper Enterprise Security è un gestore di password aziendale e una piattaforma di gestione dell'accesso con privilegi che protegge le credenziali, i segreti e i dati sensibili. Genera log di controllo per l'accesso al vault, le modifiche alle password, gli eventi di condivisione e le azioni amministrative tramite l'API Reporting and Alerts.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Un progetto GCP con l'API Storage Cloud abilitata
  • Autorizzazioni per creare e gestire bucket GCS
  • Autorizzazioni per gestire le policy IAM nei bucket GCS
  • Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
  • Accesso privilegiato alla Console di amministrazione Keeper con autorizzazioni di amministratore
  • Un piano Keeper Enterprise o Business con il modulo Advanced Reporting and Alerts (ARAM) attivato

Crea un bucket Cloud Storage

  1. Vai alla console Google Cloud.
  2. Seleziona il tuo progetto o creane uno nuovo.
  3. Nel menu di navigazione, vai a Cloud Storage > Bucket.
  4. Fai clic su Crea bucket.

  5. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Assegna un nome al bucket Inserisci un nome univoco globale (ad esempio keeper-audit-logs).
    Tipo di località Scegli in base alle tue esigenze (regione singola, a due regioni, multiregionale)
    Località Seleziona la posizione (ad esempio, us-central1).
    Classe di archiviazione Standard (consigliato per i log a cui si accede di frequente)
    Controllo dell'accesso Uniforme (consigliato)
    Strumenti di protezione (Facoltativo) Attivare il controllo delle versioni degli oggetti o la policy di conservazione

  6. Fai clic su Crea.

Raccogli le credenziali dell'API Keeper Enterprise Security

Crea chiave API

  1. Accedi alla console di amministrazione di Keeper.
  2. Vai ad Amministrazione > Report e avvisi.
  3. Fai clic su Chiavi API o vai alla sezione di gestione delle chiavi API.
  4. Fai clic su Crea chiave API.
  5. Inserisci un nome per la chiave API (ad esempio, Google Security Operations Integration).
  6. Copia e salva i seguenti dettagli in una posizione sicura:
    • Chiave API: il valore della chiave API generata
    • Chiave privata: scarica il file della chiave privata (utilizzato per la generazione di token)

  7. Prendi nota dell'ID enterprise di Keeper Enterprise dalla Console di amministrazione.

Determinare l'URL di base dell'API

  • L'URL di base dell'API Keeper dipende dalla regione del data center:

    Regione URL di base dell'API
    US https://keepersecurity.com
    UE https://keepersecurity.eu
    AU https://keepersecurity.com.au
    CA https://keepersecurity.ca
    JP https://keepersecurity.jp
    US GovCloud https://govcloud.keepersecurity.us

Verifica le autorizzazioni

Per verificare che l'account disponga delle autorizzazioni richieste:

  1. Accedi alla console di amministrazione di Keeper.
  2. Vai ad Amministrazione > Report e avvisi.
  3. Se riesci a visualizzare la dashboard Report e avvisi e la sezione Chiavi API, disponi delle autorizzazioni necessarie.
  4. Se non riesci a visualizzare questa opzione, contatta l'amministratore di Keeper per attivare il modulo ARAM e concedere l'accesso amministrativo.

Testare l'accesso API

  • Verifica le tue credenziali prima di procedere con l'integrazione:

    # Replace with your actual credentials
KEEPER_API_KEY="your-api-key"
KEEPER_BASE="https://keepersecurity.com"

# Test API access - get audit events (requires signed token)
# Note: Keeper uses a signed JWT for authentication.
# Refer to Keeper Commander CLI for testing:
keeper audit-report --format json --limit 1

Crea un account di servizio per la funzione Cloud Run

La funzione Cloud Run richiede un account di servizio con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.

Crea service account

  1. Nella console Google Cloud, vai a IAM e amministrazione > Service account.
  2. Fai clic su Crea account di servizio.
  3. Fornisci i seguenti dettagli di configurazione:
    • Nome del service account: inserisci keeper-logs-collector-sa
    • Descrizione service account: inserisci Service account for Cloud Run function to collect Keeper Enterprise Security logs
  4. Fai clic su Crea e continua.
  5. Nella sezione Concedi a questo account di servizio l'accesso al progetto, aggiungi i seguenti ruoli:
    1. Fai clic su Seleziona un ruolo.
    2. Cerca e seleziona Amministratore oggetti di archiviazione.
    3. Fai clic su + Aggiungi un altro ruolo.
    4. Cerca e seleziona Cloud Run Invoker.
    5. Fai clic su + Aggiungi un altro ruolo.
    6. Cerca e seleziona Invoker di Cloud Functions.
  6. Fai clic su Continua.
  7. Fai clic su Fine.

Questi ruoli sono necessari per:

  • Storage Object Admin: scrive i log nel bucket GCS e gestisce i file di stato
  • Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
  • Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al account di servizio le autorizzazioni di scrittura sul bucket GCS:

  1. Vai a Cloud Storage > Bucket.
  2. Fai clic sul nome del bucket (ad esempio keeper-audit-logs).
  3. Vai alla scheda Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Fornisci i seguenti dettagli di configurazione:
    • Aggiungi entità: inserisci l'email del account di servizio (ad esempio, keeper-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Assegna i ruoli: seleziona Storage Object Admin.
  6. Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

  1. Nella console GCP, vai a Pub/Sub > Argomenti.
  2. Fai clic su Crea argomento.
  3. Fornisci i seguenti dettagli di configurazione:
    • ID argomento: inserisci keeper-logs-trigger
    • Lascia invariate le altre impostazioni predefinite
  4. Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run verrà attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API Keeper Reporting and Alerts e scriverli in GCS.

  1. Nella console GCP, vai a Cloud Run.
  2. Fai clic su Crea servizio.
  3. Seleziona Funzione (usa un editor in linea per creare una funzione).

  4. Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Nome servizio keeper-logs-collector
    Regione Seleziona la regione corrispondente al tuo bucket GCS (ad esempio, us-central1)
    Tempo di esecuzione Seleziona Python 3.12 o versioni successive

  5. Nella sezione Trigger (facoltativo):

    1. Fai clic su + Aggiungi trigger.
    2. Seleziona Cloud Pub/Sub.
    3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento keeper-logs-trigger.
    4. Fai clic su Salva.

  6. Nella sezione Autenticazione:

    1. Seleziona Richiedi autenticazione.
    2. Controlla Identity and Access Management (IAM).

  7. Scorri verso il basso ed espandi Container, networking, sicurezza.

  8. Vai alla scheda Sicurezza:

    • Service account: seleziona il account di servizio keeper-logs-collector-sa.

  9. Vai alla scheda Container:

    1. Fai clic su Variabili e secret.
    2. Fai clic su + Aggiungi variabile per ogni variabile di ambiente:
    Nome variabile Valore di esempio Descrizione
    GCS_BUCKET keeper-audit-logs Nome del bucket GCS
    GCS_PREFIX keeper Prefisso per i file di log
    STATE_KEY keeper/state.json Percorso file di stato
    KEEPER_API_BASE https://keepersecurity.com URL di base dell'API Keeper
    KEEPER_API_KEY your-api-key Chiave API di Keeper
    KEEPER_PRIVATE_KEY base64-encoded-private-key Chiave privata con codifica Base64
    KEEPER_ENTERPRISE_ID 12345 ID azienda
    MAX_RECORDS 5000 Numero massimo di record per esecuzione
    PAGE_SIZE 1000 Record per pagina
    LOOKBACK_HOURS 24 Periodo di riferimento iniziale

  10. Nella sezione Variabili e secret, scorri verso il basso fino a Richieste:

    • Timeout richiesta: inserisci 600 secondi (10 minuti)

  11. Vai alla scheda Impostazioni:

    • Nella sezione Risorse:
      • Memoria: seleziona 512 MiB o superiore
      • CPU: seleziona 1

  12. Nella sezione Scalabilità della revisione:

    • Numero minimo di istanze: inserisci 0
    • Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto)

  13. Fai clic su Crea.

  14. Attendi la creazione del servizio (1-2 minuti).

  15. Dopo aver creato il servizio, si aprirà automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

  1. Inserisci main nel campo Entry point (Punto di ingresso).

  2. Nell'editor di codice incorporato, crea due file:

    • Primo file:main.py:

        import functions_framework
  from google.cloud import storage
  import json
  import os
  import urllib3
  from datetime import datetime, timezone, timedelta
  import time
  import base64
  import hashlib
  import hmac

  # Initialize HTTP client with timeouts
  http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
  )

  # Initialize Storage client
  storage_client = storage.Client()

  # Environment variables
  GCS_BUCKET = os.environ.get('GCS_BUCKET')
  GCS_PREFIX = os.environ.get('GCS_PREFIX', 'keeper')
  STATE_KEY = os.environ.get('STATE_KEY', 'keeper/state.json')
  KEEPER_API_BASE = os.environ.get('KEEPER_API_BASE', 'https://keepersecurity.com')
  KEEPER_API_KEY = os.environ.get('KEEPER_API_KEY')
  KEEPER_PRIVATE_KEY = os.environ.get('KEEPER_PRIVATE_KEY')
  KEEPER_ENTERPRISE_ID = os.environ.get('KEEPER_ENTERPRISE_ID')
  MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '5000'))
  PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '1000'))
  LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))

  def to_unix_millis(dt: datetime) -> int:
    """Convert datetime to Unix epoch milliseconds."""
    if dt.tzinfo is None:
      dt = dt.replace(tzinfo=timezone.utc)
    dt = dt.astimezone(timezone.utc)
    return int(dt.timestamp() * 1000)

  def parse_datetime(value: str) -> datetime:
    """Parse ISO datetime string to datetime object."""
    if value.endswith("Z"):
      value = value[:-1] + "+00:00"
    return datetime.fromisoformat(value)

  def get_auth_token():
    """
    Generate authentication token for Keeper Reporting API.
    Uses HMAC-SHA512 signing with the private key.
    """
    api_base = KEEPER_API_BASE.rstrip('/')
    token_url = f"{api_base}/api/rest/enterprise/auth/token"

    # Build token request
    timestamp = str(int(time.time()))
    message = f"{KEEPER_API_KEY}:{timestamp}"

    # Decode private key from base64
    private_key_bytes = base64.b64decode(KEEPER_PRIVATE_KEY)

    # Sign with HMAC-SHA512
    signature = hmac.new(
      private_key_bytes,
      message.encode('utf-8'),
      hashlib.sha512
    ).digest()
    signature_b64 = base64.b64encode(signature).decode('utf-8')

    body = json.dumps({
      'api_key': KEEPER_API_KEY,
      'timestamp': timestamp,
      'signature': signature_b64,
      'enterprise_id': KEEPER_ENTERPRISE_ID
    })

    headers = {
      'Content-Type': 'application/json',
      'Accept': 'application/json'
    }

    backoff = 1.0
    for attempt in range(3):
      response = http.request('POST', token_url, body=body, headers=headers)

      if response.status == 429:
        retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
        print(f"Rate limited (429) on token request. Retrying after {retry_after}s...")
        time.sleep(retry_after)
        backoff = min(backoff * 2, 30.0)
        continue

      if response.status != 200:
        raise RuntimeError(f"Failed to get auth token: {response.status} - {response.data.decode('utf-8')}")

      data = json.loads(response.data.decode('utf-8'))
      return data.get('token', data.get('access_token'))

    raise RuntimeError("Failed to get auth token after 3 retries")

  @functions_framework.cloud_event
  def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Keeper Enterprise
    Security audit logs and write to GCS.

    Args:
      cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, KEEPER_API_KEY, KEEPER_PRIVATE_KEY, KEEPER_ENTERPRISE_ID]):
      print('Error: Missing required environment variables')
      return

    try:
      bucket = storage_client.bucket(GCS_BUCKET)

      # Load state
      state = load_state(bucket, STATE_KEY)

      # Determine time window
      now = datetime.now(timezone.utc)
      last_time = None

      if isinstance(state, dict) and state.get("last_event_time"):
        try:
          last_time = parse_datetime(state["last_event_time"])
          # Overlap by 2 minutes to catch any delayed events
          last_time = last_time - timedelta(minutes=2)
        except Exception as e:
          print(f"Warning: Could not parse last_event_time: {e}")

      if last_time is None:
        last_time = now - timedelta(hours=LOOKBACK_HOURS)

      print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")

      # Get auth token
      token = get_auth_token()

      # Fetch logs
      records, newest_event_time = fetch_logs(
        token=token,
        start_time=last_time,
        end_time=now,
        page_size=PAGE_SIZE,
        max_records=MAX_RECORDS,
      )

      if not records:
        print("No new log records found.")
        save_state(bucket, STATE_KEY, now.isoformat())
        return

      # Write to GCS as NDJSON
      timestamp = now.strftime('%Y%m%d_%H%M%S')
      object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
      blob = bucket.blob(object_key)

      ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
      blob.upload_from_string(ndjson, content_type='application/x-ndjson')

      print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

      # Update state with newest event time
      if newest_event_time:
        save_state(bucket, STATE_KEY, newest_event_time)
      else:
        save_state(bucket, STATE_KEY, now.isoformat())

      print(f"Successfully processed {len(records)} records")

    except Exception as e:
      print(f'Error processing logs: {str(e)}')
      raise

  def load_state(bucket, key):
    """Load state from GCS."""
    try:
      blob = bucket.blob(key)
      if blob.exists():
        state_data = blob.download_as_text()
        return json.loads(state_data)
    except Exception as e:
      print(f"Warning: Could not load state: {e}")

    return {}

  def save_state(bucket, key, last_event_time_iso: str):
    """Save the last event timestamp to GCS state file."""
    try:
      state = {'last_event_time': last_event_time_iso}
      blob = bucket.blob(key)
      blob.upload_from_string(
        json.dumps(state, indent=2),
        content_type='application/json'
      )
      print(f"Saved state: last_event_time={last_event_time_iso}")
    except Exception as e:
      print(f"Warning: Could not save state: {e}")

  def fetch_logs(token: str, start_time: datetime, end_time: datetime, page_size: int, max_records: int):
    """
    Fetch audit event logs from Keeper Reporting and Alerts API
    with pagination and rate limiting.

    Args:
      token: Authentication token
      start_time: Start time for log query
      end_time: End time for log query
      page_size: Number of records per page
      max_records: Maximum total records to fetch

    Returns:
      Tuple of (records list, newest_event_time ISO string)
    """
    api_base = KEEPER_API_BASE.rstrip('/')
    endpoint = f"{api_base}/api/rest/enterprise/audit-events"

    headers = {
      'Authorization': f'Bearer {token}',
      'Accept': 'application/json',
      'Content-Type': 'application/json',
      'User-Agent': 'GoogleSecOps-KeeperCollector/1.0'
    }

    records = []
    newest_time = None
    page_num = 0
    backoff = 1.0

    # Convert to Unix epoch seconds for Keeper API
    start_epoch = int(start_time.timestamp())
    end_epoch = int(end_time.timestamp())
    cursor = None

    while True:
      page_num += 1

      if len(records) >= max_records:
        print(f"Reached max_records limit ({max_records})")
        break

      # Build request body
      body = {
        'start_time': start_epoch,
        'end_time': end_epoch,
        'limit': min(page_size, max_records - len(records)),
        'enterprise_id': KEEPER_ENTERPRISE_ID
      }
      if cursor:
        body['cursor'] = cursor

      try:
        response = http.request(
          'POST',
          endpoint,
          body=json.dumps(body),
          headers=headers
        )

        # Handle rate limiting with exponential backoff
        if response.status == 429:
          retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
          print(f"Rate limited (429). Retrying after {retry_after}s...")
          time.sleep(retry_after)
          backoff = min(backoff * 2, 30.0)
          continue

        backoff = 1.0

        if response.status != 200:
          print(f"HTTP Error: {response.status}")
          response_text = response.data.decode('utf-8')
          print(f"Response body: {response_text}")
          return [], None

        data = json.loads(response.data.decode('utf-8'))

        page_results = data.get('audit_events', data.get('events', []))

        if not page_results:
          print(f"No more results (empty page)")
          break

        print(f"Page {page_num}: Retrieved {len(page_results)} events")
        records.extend(page_results)

        # Track newest event time
        for event in page_results:
          try:
            event_ts = event.get('timestamp') or event.get('created')
            if event_ts:
              if isinstance(event_ts, (int, float)):
                event_dt = datetime.fromtimestamp(event_ts, tz=timezone.utc)
                event_time = event_dt.isoformat()
              else:
                event_time = str(event_ts)
              if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                newest_time = event_time
          except Exception as e:
            print(f"Warning: Could not parse event time: {e}")

        # Check for more results
        cursor = data.get('cursor') or data.get('next_cursor')
        if not cursor:
          print("No more pages (no next cursor)")
          break

      except Exception as e:
        print(f"Error fetching logs: {e}")
        return [], None

    print(f"Retrieved {len(records)} total records from {page_num} pages")
    return records, newest_time

    • Secondo file:requirements.txt:

        functions-framework==3.*
  google-cloud-storage==2.*
  urllib3>=2.0.0

  3. Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.

  4. Attendi il completamento del deployment (2-3 minuti).

Crea job Cloud Scheduler

Cloud Scheduler pubblicherà messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

  1. Nella console di GCP, vai a Cloud Scheduler.
  2. Fai clic su Crea job.

  3. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Nome keeper-logs-collector-hourly
    Regione Seleziona la stessa regione della funzione Cloud Run
    Frequenza 0 * * * * (ogni ora, all'ora)
    Fuso orario Seleziona il fuso orario (UTC consigliato)
    Tipo di target Pub/Sub
    Argomento Seleziona l'argomento keeper-logs-trigger
    Corpo del messaggio {} (oggetto JSON vuoto)

  4. Fai clic su Crea.

Opzioni di frequenza di pianificazione

Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

Frequenza Espressione cron Caso d'uso
Ogni 5 minuti */5 * * * * Volume elevato, bassa latenza
Ogni 15 minuti */15 * * * * Volume medio
Ogni ora 0 * * * * Standard (consigliato)
Ogni 6 ore 0 */6 * * * Volume basso, elaborazione batch
Ogni giorno 0 0 * * * Raccolta dei dati storici

Testare l'integrazione

  1. Nella console Cloud Scheduler, trova il job.
  2. Fai clic su Forza esecuzione per attivare il job manualmente.
  3. Attendi qualche secondo.
  4. Vai a Cloud Run > Servizi.
  5. Fai clic su keeper-logs-collector.
  6. Fai clic sulla scheda Log.

  7. Verifica che la funzione sia stata eseguita correttamente. Cerca:

    Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote X records to gs://keeper-audit-logs/keeper/logs_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

  8. Vai a Cloud Storage > Bucket.

  9. Fai clic sul nome del bucket (keeper-audit-logs).

  10. Vai alla cartella keeper/.

  11. Verifica che sia stato creato un nuovo file .ndjson con il timestamp corrente.

Se visualizzi errori nei log:

  • HTTP 401: controlla le credenziali API nelle variabili di ambiente
  • HTTP 403: verifica che l'account disponga delle autorizzazioni ARAM richieste nella Console di amministrazione Keeper
  • HTTP 429: limitazione di frequenza: la funzione riproverà automaticamente con backoff
  • Variabili di ambiente mancanti: controlla che tutte le variabili richieste siano impostate

Configura un feed in Google SecOps per importare i log di Keeper Enterprise Security

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Keeper Enterprise Security Logs).
  5. Seleziona Google Cloud Storage V2 come Tipo di origine.
  6. Seleziona Keeper Enterprise Security come Tipo di log.

  7. Fai clic su Ottieni service account. Verrà visualizzata un'email dell'account di servizio univoca, ad esempio:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copia l'indirizzo email.

  9. Fai clic su Avanti.

  10. Specifica i valori per i seguenti parametri di input:

    • URL bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:

      gs://keeper-audit-logs/keeper/
      • Sostituisci:
        • keeper-audit-logs: il nome del bucket GCS.
        • keeper: (Facoltativo) prefisso/percorso della cartella in cui vengono archiviati i log (lascia vuoto per la radice).

    • Opzione di eliminazione della fonte: seleziona l'opzione di eliminazione in base alle tue preferenze:

      • Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
      • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.

      • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni (il valore predefinito è 180 giorni)

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed

  11. Fai clic su Avanti.

  12. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Concedi le autorizzazioni IAM al account di servizio Google SecOps

Il account di servizio Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

  1. Vai a Cloud Storage > Bucket.
  2. Fai clic sul nome del bucket.
  3. Vai alla scheda Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Fornisci i seguenti dettagli di configurazione:
    • Aggiungi entità: incolla l'email del account di servizio Google SecOps
    • Assegna i ruoli: seleziona Visualizzatore oggetti Storage.
  6. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
logData.channel extensions.auth.type Imposta il valore in maiuscolo se in ["SSO", "MACHINE", "VPN", "PHYSICAL", "TACACS"], altrimenti "AUTHTYPE_UNSPECIFIED"
logData.timestamp metadata.event_timestamp Convertito utilizzando il formato ISO8601
logData.audit_event, logData.remote_address metadata.event_type Impostato su "USER_LOGIN" se audit_event corrisponde a "login" e remote_address non è vuoto, altrimenti "STATUS_UPDATE" se remote_address non è vuoto, altrimenti "GENERIC_EVENT"
logData.audit_event metadata.product_event_type Valore copiato direttamente
logData.enterprise_id metadata.product_log_id Convertito in stringa
metadata.product_name Impostato su "KEEPER"
metadata.vendor_name Impostato su "KEEPER"
logData.client_version network.http.parsed_user_agent Valore copiato direttamente, poi convertito in parseduseragent
logData.client_version network.http.user_agent Valore copiato direttamente
logData.remote_address principal.asset.ip Valore copiato direttamente
logData.remote_address principal.ip Valore copiato direttamente
logData.category security_result.category_details Unito dall'origine
logData.shared_folder_uid, logData.folder_uid security_result.detection_fields Unite come etichette con le chiavi "shared_folder_uid" e "folder_uid"
logData.email target.user.email_addresses Unito dall'origine
logData.username target.user.userid Valore copiato direttamente

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.