Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Recopila registros de Netwrix Auditor

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de Netwrix Auditor a Google Security Operations con Google Cloud Storage V2.

Netwrix Auditor es una plataforma de visibilidad para el análisis del comportamiento del usuario y la mitigación de riesgos que permite controlar los cambios, las configuraciones y el acceso en entornos de TI híbridos. La plataforma proporciona estadísticas de seguridad para detectar anomalías en el comportamiento del usuario y analizar patrones de amenazas antes de que se produzca una violación de la seguridad de los datos. Con una API de integración basada en REST, la plataforma ofrece visibilidad y control en todos tus sistemas de TI locales o basados en la nube de forma unificada.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Un proyecto de GCP con las APIs de Cloud Storage, Cloud Run, Pub/Sub y Cloud Scheduler habilitadas
Permisos para crear y administrar buckets de GCS
Permisos para administrar políticas de IAM en buckets de GCS
Permisos para crear servicios de Cloud Run, temas de Pub/Sub y trabajos de Cloud Scheduler
Acceso administrativo al servidor de Netwrix Auditor
Una cuenta de dominio de Windows con los permisos adecuados para el acceso a la API
Servidor de Netwrix Auditor con la API de integración habilitada (habilitada de forma predeterminada)
Base de datos de auditoría configurada en Netwrix Auditor
Conectividad de red desde la función de Cloud Run al servidor de Netwrix Auditor en el puerto 9699 (predeterminado)

Configura el acceso a la API de Netwrix Auditor

Para habilitar la función de Cloud Run para recuperar registros de actividad, debes verificar que la API de Integration esté habilitada y crear una cuenta de dominio de Windows con el rol adecuado en Netwrix Auditor.

Verifica que la API de Integration esté habilitada

En la computadora en la que está instalado Netwrix Auditor Server, inicia Netwrix Auditor.
Navega a Configuración > Integraciones.
Verifica que la opción Leverage Integration API esté habilitada.
Ten en cuenta el número de Puerto (el valor predeterminado es 9699).
Si necesitas cambiar el puerto, haz lo siguiente:
1. Haz clic en Modificar en la sección Configuración de la API.
2. Especifica un número de puerto nuevo.
3. Haz clic en Aceptar.
Nota: La API de integración de Netwrix Auditor está habilitada de forma predeterminada y se comunica a través del puerto 9699 por HTTPS con un certificado generado automáticamente.

Crea una cuenta de servicio para acceder a la API

En el controlador de dominio de Windows, abre Usuarios y equipos de Active Directory.
Navega a la unidad organizativa en la que deseas crear la cuenta de servicio.
Haz clic con el botón derecho en la unidad organizacional > Nuevo > Usuario.
En el campo Nombre, ingresa Chronicle Integration.
En el campo Nombre de inicio de sesión del usuario, ingresa chronicle-api (o tu nombre de usuario preferido).
Haz clic en Siguiente.
Ingresa una contraseña segura y configura los parámetros de configuración de contraseñas según la política de tu organización.
Borra la casilla de verificación El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
Selecciona La contraseña nunca vence (recomendado para cuentas de servicio).
Haz clic en Siguiente > Finalizar.

Asigna el rol de revisor global

En la ventana principal de Netwrix Auditor, navega a Monitoring Plans.
En el árbol de planes de supervisión, selecciona Todos los planes de supervisión (la carpeta raíz).
Haz clic en Delegar.
En el cuadro de diálogo Delegación, haz clic en Agregar usuario.
En el cuadro de diálogo Seleccionar usuario o grupo, haz lo siguiente:
1. Haz clic en Explorar.
2. En el campo Enter the object name to select, ingresa el nombre de usuario chronicle-api.
3. Haz clic en Check Names para verificar la cuenta.
4. Haz clic en Aceptar.
En el menú desplegable Rol, selecciona Revisor global.
Haz clic en Aceptar.
Haz clic en Guardar.

Nota: El rol de revisor global proporciona acceso de solo lectura a todos los registros de actividad recopilados por Netwrix Auditor. Este rol es el mínimo requerido para recuperar registros de actividad a través de la API de Integration.

Registra las credenciales de la API

Registra la siguiente información para configurar las variables de entorno de la función de Cloud Run:

Nombre de usuario: La cuenta de dominio en el formato DOMAIN\username (por ejemplo, ENTERPRISE\chronicle-api)
Contraseña: Es la contraseña de la cuenta de servicio.
Nombre de host: Es el nombre de dominio completamente calificado (FQDN) o la dirección IP del servidor de Netwrix Auditor (por ejemplo, auditor.enterprise.local o 172.28.6.15).
Puerto: Es el puerto de la API de Integration (el valor predeterminado es 9699).

Nota: Si la autenticación de NTLM está inhabilitada a través de una política de grupo, no podrás acceder al servidor de Netwrix Auditor por su dirección IP. En este caso, usa el nombre de dominio completamente calificado (FQDN).

Verifica los permisos

Para verificar que la cuenta tenga los permisos necesarios, sigue estos pasos:

En Netwrix Auditor, navega a Monitoring Plans.
Selecciona Todos los planes de supervisión.
Haz clic en Delegar.
Verifica que la cuenta de chronicle-api aparezca con el rol de Revisor global.
Si no aparece la cuenta, sigue los pasos anteriores para asignar el rol de revisor global.

Prueba el acceso a la API

Prueba tus credenciales antes de continuar con la integración:

# Replace with your actual values
NETWRIX_HOST="auditor.enterprise.local"
NETWRIX_PORT="9699"
NETWRIX_USER="ENTERPRISE\\chronicle-api"
NETWRIX_PASS="your-password"

# Test API access (retrieve first batch of activity records)
curl -k --ntlm -u "${NETWRIX_USER}:${NETWRIX_PASS}" \
    "https://${NETWRIX_HOST}:${NETWRIX_PORT}/netwrix/api/v1/activity_records/enum" \
    -H "Content-Type: application/json" \
    -H "Accept: application/json"

Una respuesta correcta devuelve un objeto JSON que contiene un array de registros de actividad y un ContinuationMark para la paginación.

Crea un bucket de Google Cloud Storage

Ve a Google Cloud Console.
Selecciona tu proyecto o crea uno nuevo.
En el menú de navegación, ve a Cloud Storage > Buckets.
Haz clic en Crear bucket.

Proporciona los siguientes detalles de configuración:

Parámetro de configuración	Valor
Asigna un nombre a tu bucket	Ingresa un nombre global único (por ejemplo, `netwrix-auditor-logs`).
Tipo de ubicación	Elige según tus necesidades (región, birregional, multirregional)
Ubicación	Selecciona la ubicación (por ejemplo, `us-central1`).
Clase de almacenamiento	Estándar (recomendado para los registros a los que se accede con frecuencia)
Control de acceso	Uniforme (recomendado)
Herramientas de protección	Opcional: Habilita el control de versiones de objetos o la política de retención

Haz clic en Crear.

Crea una cuenta de servicio para la función de Cloud Run

En Google Cloud Console, ve a IAM y administración > Cuentas de servicio.
Haz clic en Crear cuenta de servicio.
Proporciona los siguientes detalles de configuración:
- Nombre de la cuenta de servicio: Ingresa netwrix-audit-collector-sa.
- Descripción de la cuenta de servicio: Ingresa Service account for Cloud Run function to collect Netwrix Auditor logs.
Haz clic en Crear y continuar.
En la sección Otorga a esta cuenta de servicio acceso al proyecto, agrega los siguientes roles:
1. Haz clic en Selecciona un rol.
2. Busca y selecciona Administrador de objetos de Storage.
3. Haz clic en + Agregar otro rol.
4. Busca y selecciona Invocador de Cloud Run.
5. Haz clic en + Agregar otro rol.
6. Busca y selecciona Invocador de Cloud Functions.
Haz clic en Continuar.
Haz clic en Listo.

Otorga permisos de IAM en el bucket de GCS

Ve a Cloud Storage > Buckets.
Haz clic en el nombre de tu bucket (netwrix-auditor-logs).
Ve a la pestaña Permisos.
Haz clic en Otorgar acceso.
Proporciona los siguientes detalles de configuración:
- Agregar entidades: Ingresa el correo electrónico de la cuenta de servicio (netwrix-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Asignar roles: Selecciona Administrador de objetos de almacenamiento.
Haz clic en Guardar.

Crear tema de Pub/Sub

En Google Cloud Console, ve a Pub/Sub > Temas.
Haz clic en Crear tema.
Proporciona los siguientes detalles de configuración:
- ID del tema: Ingresa netwrix-audit-trigger.
- Deja el resto de la configuración con sus valores predeterminados.
Haz clic en Crear.

Crea una función de Cloud Run para recopilar registros

La función de Cloud Run se activará con mensajes de Pub/Sub de Cloud Scheduler para recuperar registros de actividad de la API de Netwrix Auditor Integration y escribirlos en GCS.

En Google Cloud Console, ve a Cloud Run.
Haz clic en Crear servicio.
Selecciona Función (usa un editor intercalado para crear una función).

En la sección Configurar, proporciona los siguientes detalles de configuración:

Parámetro de configuración	Valor
Nombre del servicio	`netwrix-audit-collector`
Región	Selecciona la región que coincida con tu bucket de GCS (por ejemplo, `us-central1`).
Tiempo de ejecución	Selecciona Python 3.12 o una versión posterior.

En la sección Activador (opcional), haz lo siguiente:
1. Haz clic en + Agregar activador.
2. Selecciona Cloud Pub/Sub.
3. En Selecciona un tema de Cloud Pub/Sub, elige netwrix-audit-trigger.
4. Haz clic en Guardar.
En la sección Autenticación, haz lo siguiente:
1. Selecciona Necesita autenticación.
2. Verifica Identity and Access Management (IAM).
Nota: Pub/Sub controlará automáticamente la autenticación cuando invoque la función.
Desplázate hacia abajo y expande Contenedores, redes y seguridad.
Ve a la pestaña Seguridad:
- Cuenta de servicio: Selecciona netwrix-audit-collector-sa.

Ve a la pestaña Contenedores:

Haz clic en Variables y secretos.
Haz clic en + Agregar variable para cada variable de entorno:

Nombre de la variable	Valor de ejemplo	Descripción
`GCS_BUCKET`	`netwrix-auditor-logs`	Nombre del bucket de GCS
`GCS_PREFIX`	`netwrix-audit`	Prefijo para los archivos de registro
`STATE_KEY`	`netwrix-audit/state.json`	Ruta de acceso al archivo de estado
`NETWRIX_HOST`	`auditor.enterprise.local`	FQDN o IP del servidor de Netwrix Auditor
`NETWRIX_PORT`	`9699`	Puerto de la API de integración
`NETWRIX_USER`	`ENTERPRISE\chronicle-api`	Cuenta de dominio en formato DOMINIO\nombre de usuario
`NETWRIX_PASS`	`your-password`	Contraseña de la cuenta de servicio
`MAX_RECORDS`	`10000`	Cantidad máxima de registros por ejecución
`LOOKBACK_HOURS`	`24`	Período de visualización inicial

En la sección Variables y Secrets, desplázate hacia abajo hasta Solicitudes:
- Tiempo de espera de la solicitud: Ingresa 600 segundos (10 minutos).
Ve a la pestaña Configuración:
- En la sección Recursos, haz lo siguiente:
  - Memoria: Selecciona 512 MiB o más.
  - CPU: Selecciona 1.
En la sección Escalamiento de revisión, haz lo siguiente:
- Cantidad mínima de instancias: Ingresa 0.
- Cantidad máxima de instancias: Ingresa 100.
Haz clic en Crear.
Espera a que se cree el servicio (de 1 a 2 minutos).
Después de crear el servicio, se abrirá automáticamente el editor de código intercalado.

Nota: La función de Cloud Run debe tener conectividad de red con el servidor de Netwrix Auditor. Si el servidor de Netwrix Auditor es local, configura un conector de VPC o Cloud VPN para permitir que la función de Cloud Run llegue al servidor en el puerto 9699.

Agregar el código de función

Ingresa main en el campo Punto de entrada.

En el editor de código intercalado, crea dos archivos:

main.py:

import functions_framework
from google.cloud import storage
import json
import os
import requests
from requests_ntlm import HttpNtlmAuth
from datetime import datetime, timezone, timedelta
import time
import urllib3

# Suppress insecure HTTPS warnings for self-signed certificates
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'netwrix-audit')
STATE_KEY = os.environ.get('STATE_KEY', 'netwrix-audit/state.json')
NETWRIX_HOST = os.environ.get('NETWRIX_HOST')
NETWRIX_PORT = os.environ.get('NETWRIX_PORT', '9699')
NETWRIX_USER = os.environ.get('NETWRIX_USER')
NETWRIX_PASS = os.environ.get('NETWRIX_PASS')
MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '10000'))
LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))

def parse_datetime(value):
  """Parse ISO datetime string to datetime object."""
  if value.endswith("Z"):
    value = value[:-1] + "+00:00"
  return datetime.fromisoformat(value)

@functions_framework.cloud_event
def main(cloud_event):
  """
  Cloud Run function triggered by Pub/Sub to fetch Netwrix Auditor
  activity records and write to GCS.

  Args:
    cloud_event: CloudEvent object containing Pub/Sub message
  """

  if not all([GCS_BUCKET, NETWRIX_HOST, NETWRIX_USER, NETWRIX_PASS]):
    print('Error: Missing required environment variables')
    return

  try:
    bucket = storage_client.bucket(GCS_BUCKET)
    state = load_state(bucket)
    now = datetime.now(timezone.utc)

    if isinstance(state, dict) and state.get('last_event_time'):
      try:
        last_time = parse_datetime(state['last_event_time'])
        last_time = last_time - timedelta(minutes=2)
      except Exception as e:
        print(f"Warning: Could not parse last_event_time: {e}")
        last_time = now - timedelta(hours=LOOKBACK_HOURS)
    else:
      last_time = now - timedelta(hours=LOOKBACK_HOURS)

    print(f"Fetching activity records from {last_time.isoformat()} "
        f"to {now.isoformat()}")

    records, newest_event_time = fetch_activity_records(
      last_time, now
    )

    if not records:
      print("No new activity records found.")
      save_state(bucket, now.isoformat())
      return

    timestamp = now.strftime('%Y%m%d_%H%M%S')
    object_key = (
      f"{GCS_PREFIX}/netwrix_audit_{timestamp}.ndjson"
    )
    blob = bucket.blob(object_key)

    ndjson = '\n'.join(
      [json.dumps(r, ensure_ascii=False, default=str)
      for r in records]
    ) + '\n'
    blob.upload_from_string(
      ndjson, content_type='application/x-ndjson'
    )

    print(f"Wrote {len(records)} records to "
        f"gs://{GCS_BUCKET}/{object_key}")

    if newest_event_time:
      save_state(bucket, newest_event_time)
    else:
      save_state(bucket, now.isoformat())

    print(f"Successfully processed {len(records)} records")

  except Exception as e:
    print(f'Error processing activity records: {str(e)}')
    raise

def load_state(bucket):
  """Load state from GCS."""
  try:
    blob = bucket.blob(STATE_KEY)
    if blob.exists():
      return json.loads(blob.download_as_text())
  except Exception as e:
    print(f"Warning: Could not load state: {e}")
  return {}

def save_state(bucket, last_event_time_iso):
  """Save the last event timestamp to GCS state file."""
  try:
    state = {
      'last_event_time': last_event_time_iso,
      'last_run': datetime.now(timezone.utc).isoformat()
    }
    blob = bucket.blob(STATE_KEY)
    blob.upload_from_string(
      json.dumps(state, indent=2),
      content_type='application/json'
    )
    print(f"Saved state: last_event_time={last_event_time_iso}")
  except Exception as e:
    print(f"Warning: Could not save state: {e}")

def fetch_activity_records(start_time, end_time):
  """
  Fetch activity records from Netwrix Auditor Integration API
  using the enum endpoint with continuation mark pagination.

  The API returns up to 1000 records per request. Subsequent
  requests include the ContinuationMark from the previous
  response to retrieve the next batch.

  Args:
    start_time: Start time for filtering records
    end_time: End time for filtering records

  Returns:
    Tuple of (records list, newest_event_time ISO string)
  """
  base_url = (
    f"https://{NETWRIX_HOST}:{NETWRIX_PORT}"
    f"/netwrix/api/v1/activity_records/enum"
  )
  auth = HttpNtlmAuth(NETWRIX_USER, NETWRIX_PASS)
  session = requests.Session()
  session.auth = auth
  session.verify = False
  session.headers.update({
    'Content-Type': 'application/json',
    'Accept': 'application/json',
    'User-Agent': 'GoogleSecOps-NetwrixCollector/1.0'
  })

  all_records = []
  newest_time = None
  continuation_mark = None
  page_num = 0
  backoff = 1.0

  while True:
    page_num += 1

    if len(all_records) >= MAX_RECORDS:
      print(f"Reached max_records limit ({MAX_RECORDS})")
      break

    try:
      if continuation_mark:
        response = session.post(
          base_url,
          json={"ContinuationMark": continuation_mark},
          timeout=(10, 60)
        )
      else:
        response = session.get(
          base_url,
          timeout=(10, 60)
        )

      if response.status_code == 429:
        retry_after = int(
          response.headers.get(
            'Retry-After', str(int(backoff))
          )
        )
        print(f"Rate limited (429). Retrying after "
            f"{retry_after}s...")
        time.sleep(retry_after)
        backoff = min(backoff * 2, 30.0)
        continue

      backoff = 1.0

      if response.status_code != 200:
        print(f"HTTP Error: {response.status_code}")
        print(f"Response body: {response.text}")
        return all_records, newest_time

      data = response.json()

      page_results = data.get('ActivityRecordList', [])
      continuation_mark = data.get('ContinuationMark')

      if not page_results:
        print("No more activity records (empty page)")
        break

      # Filter records by time window
      filtered = []
      for record in page_results:
        when = record.get('When')
        if when:
          try:
            record_time = parse_datetime(when)
            if start_time <= record_time <= end_time:
              filtered.append(record)
            if (newest_time is None or
                record_time >
                parse_datetime(newest_time)):
              newest_time = when
          except Exception as e:
            print(f"Warning: Could not parse "
                f"record time: {e}")
            filtered.append(record)
        else:
          filtered.append(record)

      print(f"Page {page_num}: Retrieved "
          f"{len(page_results)} records, "
          f"{len(filtered)} within time window")
      all_records.extend(filtered)

      if not continuation_mark:
        print("No more pages (no ContinuationMark)")
        break

    except requests.exceptions.Timeout:
      print(f"Request timeout on page {page_num}")
      return all_records, newest_time
    except Exception as e:
      print(f"Error fetching activity records: {e}")
      return all_records, newest_time

  print(f"Retrieved {len(all_records)} total records "
      f"from {page_num} pages")
  return all_records, newest_time

requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
requests>=2.31.0
requests-ntlm>=1.2.0

Haz clic en Implementar para guardar y, luego, implementar la función.
Espera a que se complete la implementación (de 2 a 3 minutos).

Nota: La configuración del activador de Pub/Sub crea automáticamente las suscripciones y los permisos necesarios.

Crea un trabajo de Cloud Scheduler

En Google Cloud Console, ve a Cloud Scheduler.
Haz clic en Crear trabajo.

Proporciona los siguientes detalles de configuración:

Parámetro de configuración	Valor
Nombre	`netwrix-audit-collector-hourly`
Región	Selecciona la misma región que la función de Cloud Run
Frecuencia	`0 * * * *` (cada hora, en punto)
Zona horaria	Selecciona la zona horaria (se recomienda UTC)
Tipo de objetivo	Pub/Sub
Tema	Seleccionar `netwrix-audit-trigger`
Cuerpo del mensaje	`{}` (objeto JSON vacío)

Haz clic en Crear.

Opciones de frecuencia de programación

Elige la frecuencia según los requisitos de latencia y volumen de registros:

Frecuencia	Expresión cron	Caso de uso
Cada 5 minutos	`/5 * * *`	Alto volumen y baja latencia
Cada 15 minutos	`/15 * * *`	Volumen medio
Cada 1 hora	`0 * * * *`	Estándar (recomendado)
Cada 6 horas	`0 /6 * *`	Procesamiento por lotes y volumen bajo
Diario	`0 0 * * *`	Recopilación de datos históricos

Prueba la integración

En la consola de Cloud Scheduler, busca tu trabajo (netwrix-audit-collector-hourly).
Haz clic en Ejecutar forzosamente para activar el trabajo de forma manual.
Espera unos segundos.
Ve a Cloud Run > Servicios.
Haz clic en netwrix-audit-collector:
Haz clic en la pestaña Registros.

Verifica que la función se haya ejecutado correctamente. Busca lo siguiente:

Fetching activity records from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X records, X within time window
Wrote X records to gs://netwrix-auditor-logs/netwrix-audit/netwrix_audit_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

Ve a Cloud Storage > Buckets.
Haz clic en netwrix-auditor-logs:
Navega a la carpeta netwrix-audit/:
Verifica que se haya creado un archivo .ndjson nuevo con la marca de tiempo actual.

Si ves errores en los registros, haz lo siguiente:

HTTP 401: Verifica que las variables de entorno NETWRIX_USER y NETWRIX_PASS sean correctas y usa el formato DOMAIN\username.
HTTP 403: Verifica que la cuenta de servicio tenga el rol de Revisor global en Netwrix Auditor
HTTP 429: Limitación de frecuencia. La función volverá a intentarlo automáticamente con una retirada exponencial.
Tiempo de espera de conexión: Verifica la conectividad de red de Cloud Run al servidor de Netwrix Auditor en el puerto 9691. Asegúrate de que se haya configurado un conector de VPC o Cloud VPN si el servidor es local.
Faltan variables de entorno: Verifica que todas las variables requeridas estén configuradas en la configuración de la función de Cloud Run.

Recupera la cuenta de servicio de Google SecOps

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
Haz clic en Configura un feed único.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Netwrix Auditor Activity Records).
Selecciona Google Cloud Storage V2 como el Tipo de fuente.
Selecciona Netwrix como el Tipo de registro.
Haz clic en Obtener cuenta de servicio.
Se mostrará un correo electrónico único de la cuenta de servicio. Por ejemplo:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia esta dirección de correo electrónico para usarla en el siguiente paso.

Nota: Cada instancia de Google SecOps tiene una cuenta de servicio única. No uses cuentas de servicio de otros ejemplos o documentación.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URL del bucket de almacenamiento: Ingresa el URI del bucket de GCS con la ruta de acceso del prefijo:
```
gs://netwrix-auditor-logs/netwrix-audit/
```
Nota: Siempre incluye la barra diagonal final (/) al final del URI.
- Opción de eliminación del código fuente: Selecciona la opción de eliminación según tu preferencia:
  - Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
  - Borrar archivos transferidos: Borra los archivos después de que se transfirieron correctamente.
  - Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de que se transfirieron correctamente.
Nota: Si seleccionas una opción de eliminación, la cuenta de servicio debe tener el rol de administrador de objetos de Storage en lugar del rol de visualizador de objetos de Storage. Actualiza los permisos de IAM según corresponda.
- Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días más reciente (el valor predeterminado es 180 días).
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Otorga permisos de IAM a la cuenta de servicio de Google SecOps

Ve a Cloud Storage > Buckets.
Haz clic en netwrix-auditor-logs:
Ve a la pestaña Permisos.
Haz clic en Otorgar acceso.
Proporciona los siguientes detalles de configuración:
- Agregar entidades: Pega el correo electrónico de la cuenta de servicio de Google SecOps.
- Asignar roles: Selecciona Visualizador de objetos de Storage.
Haz clic en Guardar.

Nota: Si planeas usar la opción de eliminación "Borrar archivos transferidos" o "Borrar archivos transferidos y directorios vacíos", otorga el rol de Administrador de objetos de Storage en lugar del rol de Visualizador de objetos de Storage.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
Opcode	about.labels	Etiquetas asociadas con la información de Acerca de
Leyenda	about.resource.attribute.labels	Etiquetas de atributo para el recurso en la sección Acerca de
Tarea	additional.fields	Campos adicionales que contienen información adicional sobre el evento
Qué	additional.fields
Aviso	additional.fields
Descripción	additional.fields
Agregado	additional.fields
Quitado	additional.fields
service_type	additional.fields
Detalles	additional.fields
extensions.auth.type	extensions.auth.type	Tipo de autenticación utilizada
EventReceivedTime	metadata.collected_timestamp	Marca de tiempo en la que el sistema recopiló el evento
Mensaje	metadata.description	Descripción del evento
event_type	metadata.event_type	Tipo de evento
EventType	metadata.product_event_type	Tipo de evento específico del producto
EventID	metadata.product_log_id	Identificador de registro específico del producto
SourceModuleType	observer.application	Aplicación que observó el evento
Nombre de host	principal.asset.hostname	Nombre de host del activo asociado con el principal
Dónde	principal.asset.hostname
Estación de trabajo	principal.asset.hostname
device_name	principal.asset.hostname
Estación de trabajo	principal.hostname	Nombre de host de la entidad principal
device_name	principal.hostname
ProcessID	principal.process.pid	ID de proceso de la principal
Nombre	principal.resource.name	Nombre del recurso asociado con el principal
Quién	principal.user.user_display_name	Nombre visible del usuario
SourceName	security_result.about.resource.attribute.labels	Etiquetas de atributos de recursos para la sección Acerca de en el resultado de seguridad
acción	security_result.action	Acción que se tomó en el resultado de seguridad
action_details	security_result.action_details	Detalles de la acción en el resultado de seguridad
backup_name	security_result.description	Descripción del resultado de seguridad
service_failed	security_result.description
Palabras clave	security_result.detection_fields	Campos que se usan para la detección en el resultado de seguridad
RecordNumber	security_result.detection_fields
session_ID	security_result.detection_fields
allow_connection_with_desktop	security_result.detection_fields
service_account	security_result.detection_fields
Gravedad	security_result.severity	Nivel de gravedad del resultado de seguridad
SeverityValue	security_result.severity
resumen	security_result.summary	Resumen del resultado de seguridad
application_name	target.application	Aplicación en el destino
Nombre de host	target.asset.hostname	Nombre de host del activo asociado con el objetivo
Dónde	target.asset.hostname
file_path	target.file.full_path	Ruta de acceso completa del archivo de destino
Tamaño	target.file.size	Tamaño del archivo de destino
Nombre de host	target.hostname	Nombre de host del destino
Dónde	target.hostname
Tipo	target.resource.attribute.labels	Son las etiquetas de atributo del recurso objetivo.
SourceModuleName	target.resource.name	Nombre del recurso de destino
DataSource	metadata.product_name	Nombre del producto que generó el evento
metadata.vendor_name	metadata.vendor_name	Nombre del proveedor

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.