Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengumpulkan log Netwrix Auditor

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Netwrix Auditor ke Google Security Operations menggunakan Google Cloud Storage V2.

Netwrix Auditor adalah platform visibilitas untuk analisis perilaku pengguna dan mitigasi risiko yang memungkinkan kontrol atas perubahan, konfigurasi, dan akses di lingkungan IT hybrid. Platform ini menyediakan analisis keamanan untuk mendeteksi anomali dalam perilaku pengguna dan menyelidiki pola ancaman sebelum pelanggaran data terjadi. Dengan RESTful Integration API, platform ini memberikan visibilitas dan kontrol di semua sistem IT berbasis cloud atau on-premise Anda secara terpadu.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Project GCP dengan Cloud Storage, Cloud Run, Pub/Sub, dan Cloud Scheduler API yang diaktifkan
Izin untuk membuat dan mengelola bucket GCS
Izin untuk mengelola kebijakan IAM di bucket GCS
Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
Akses administratif ke Netwrix Auditor Server
Akun domain Windows dengan izin yang sesuai untuk akses API
Netwrix Auditor Server dengan Integration API yang diaktifkan (diaktifkan secara default)
Audit Database yang dikonfigurasi di Netwrix Auditor
Konektivitas jaringan dari fungsi Cloud Run ke Netwrix Auditor Server di port 9699 (default)

Mengonfigurasi akses Netwrix Auditor API

Untuk mengaktifkan fungsi Cloud Run agar dapat mengambil catatan aktivitas, Anda harus memverifikasi bahwa Integration API diaktifkan dan membuat akun domain Windows dengan peran yang sesuai di Netwrix Auditor.

Memastikan Integration API diaktifkan

Di komputer tempat Netwrix Auditor Server diinstal, luncurkan Netwrix Auditor.
Buka Setelan > Integrasi.
Pastikan opsi Leverage Integration API diaktifkan.
Catat nomor Port (defaultnya adalah 9699).
Jika Anda perlu mengubah port:
1. Klik Ubah di bagian Setelan API.
2. Tentukan nomor port baru.
3. Klik Oke.
Catatan: Netwrix Auditor Integration API diaktifkan secara default dan berkomunikasi melalui port 9699 melalui HTTPS menggunakan sertifikat yang dibuat secara otomatis.

Membuat akun layanan untuk akses API

Di pengontrol domain Windows Anda, buka Active Directory Users and Computers.
Buka unit organisasi tempat Anda ingin membuat akun layanan.
Klik kanan unit organisasi > Baru > Pengguna.
Di kolom Nama depan, masukkan Chronicle Integration.
Di kolom User logon name, masukkan chronicle-api (atau nama pengguna pilihan Anda).
Klik Berikutnya.
Masukkan sandi yang kuat dan konfigurasikan setelan sandi sesuai dengan kebijakan organisasi Anda.
Hapus centang pada kotak User must change password at next logon.
Pilih Password never expires (direkomendasikan untuk akun layanan).
Klik Berikutnya > Selesai.

Menetapkan peran Peninjau global

Di jendela utama Netwrix Auditor, buka Monitoring Plans.
Di hierarki rencana pemantauan, pilih Semua rencana pemantauan (folder root).
Klik Delegasikan.
Pada dialog Delegasi, klik Tambahkan Pengguna.
Dalam dialog Pilih Pengguna atau Grup:
1. Klik Browse.
2. Di kolom Enter the object name to select, masukkan nama pengguna chronicle-api.
3. Klik Check Names untuk memverifikasi akun.
4. Klik Oke.
Di dropdown Role, pilih Global reviewer.
Klik Oke.
Klik Simpan.

Catatan: Peran Peninjau global memberikan akses hanya baca ke semua catatan aktivitas yang dikumpulkan oleh Netwrix Auditor. Peran ini adalah peran minimum yang diperlukan untuk mengambil catatan aktivitas melalui Integration API.

Mencatat kredensial API

Catat informasi berikut untuk mengonfigurasi variabel lingkungan fungsi Cloud Run:

Nama pengguna: Akun domain dalam format DOMAIN\username (misalnya, ENTERPRISE\chronicle-api)
Sandi: Sandi untuk akun layanan
Nama host: Nama domain yang sepenuhnya memenuhi syarat (FQDN) atau alamat IP Server Netwrix Auditor (misalnya, auditor.enterprise.local atau 172.28.6.15)
Port: Port Integration API (default adalah 9699)

Catatan: Jika autentikasi NTLM dinonaktifkan melalui kebijakan grup, Anda tidak akan dapat mengakses Netwrix Auditor Server berdasarkan alamat IP-nya. Dalam hal ini, gunakan nama domain yang sepenuhnya memenuhi syarat (FQDN).

Verifikasi izin

Untuk memverifikasi bahwa akun memiliki izin yang diperlukan:

Di Netwrix Auditor, buka Monitoring Plans.
Pilih Semua paket pemantauan.
Klik Delegasikan.
Pastikan akun chronicle-api muncul dengan peran Peninjau global.
Jika akun tidak muncul, ikuti langkah-langkah Menetapkan peran peninjau Global di atas.

Menguji akses API

Uji kredensial Anda sebelum melanjutkan integrasi:

# Replace with your actual values
NETWRIX_HOST="auditor.enterprise.local"
NETWRIX_PORT="9699"
NETWRIX_USER="ENTERPRISE\\chronicle-api"
NETWRIX_PASS="your-password"

# Test API access (retrieve first batch of activity records)
curl -k --ntlm -u "${NETWRIX_USER}:${NETWRIX_PASS}" \
    "https://${NETWRIX_HOST}:${NETWRIX_PORT}/netwrix/api/v1/activity_records/enum" \
    -H "Content-Type: application/json" \
    -H "Accept: application/json"

Respons yang berhasil menampilkan objek JSON yang berisi array catatan aktivitas dan ContinuationMark untuk penomoran halaman.

Membuat bucket Google Cloud Storage

Buka Konsol Google Cloud.
Pilih project Anda atau buat project baru.
Di menu navigasi, buka Cloud Storage > Buckets.
Klik Create bucket.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Beri nama bucket Anda	Masukkan nama yang unik secara global (misalnya, `netwrix-auditor-logs`)
Location type	Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
Location	Pilih lokasi (misalnya, `us-central1`)
Kelas penyimpanan	Standar (direkomendasikan untuk log yang sering diakses)
Access control	Seragam (direkomendasikan)
Alat perlindungan	Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

Klik Create.

Buat akun layanan untuk Cloud Run Function

Di GCP Console, buka IAM & Admin > Service Accounts.
Klik Create Service Account.
Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan netwrix-audit-collector-sa
- Deskripsi akun layanan: Masukkan Service account for Cloud Run function to collect Netwrix Auditor logs
Klik Create and Continue.
Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
1. Klik Pilih peran.
2. Telusuri dan pilih Storage Object Admin.
3. Klik + Add another role.
4. Telusuri dan pilih Cloud Run Invoker.
5. Klik + Add another role.
6. Telusuri dan pilih Cloud Functions Invoker.
Klik Lanjutkan.
Klik Done.

Memberikan izin IAM pada bucket GCS

Buka Cloud Storage > Buckets.
Klik nama bucket Anda (netwrix-auditor-logs).
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (netwrix-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com)
- Tetapkan peran: Pilih Storage Object Admin
Klik Simpan.

Membuat topik Pub/Sub

Di Konsol GCP, buka Pub/Sub > Topics.
Klik Create topic.
Berikan detail konfigurasi berikut:
- ID Topik: Masukkan netwrix-audit-trigger
- Biarkan setelan lainnya menggunakan setelan default
Klik Create.

Membuat fungsi Cloud Run untuk mengumpulkan log

Fungsi Cloud Run akan dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil catatan aktivitas dari Netwrix Auditor Integration API dan menuliskannya ke GCS.

Di GCP Console, buka Cloud Run.
Klik Create service.
Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:

Setelan Nilai

Nama layanan netwrix-audit-collector

Region Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)

Runtime Pilih Python 3.12 atau yang lebih baru
Di bagian Pemicu (opsional):
1. Klik + Tambahkan pemicu.
2. Pilih Cloud Pub/Sub.
3. Di Select a Cloud Pub/Sub topic, pilih netwrix-audit-trigger.
4. Klik Simpan.
Di bagian Authentication:
1. Pilih Wajibkan autentikasi.
2. Periksa Identity and Access Management (IAM).
Catatan: Pub/Sub akan otomatis menangani autentikasi saat memanggil fungsi.
Scroll ke bawah dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih netwrix-audit-collector-sa

Setelan	Nilai
Nama layanan	`netwrix-audit-collector`
Region	Pilih region yang cocok dengan bucket GCS Anda (misalnya, `us-central1`)
Runtime	Pilih Python 3.12 atau yang lebih baru

Buka tab Containers:

Klik Variables & Secrets.
Klik + Tambahkan variabel untuk setiap variabel lingkungan:

Nama Variabel	Nilai Contoh	Deskripsi
`GCS_BUCKET`	`netwrix-auditor-logs`	Nama bucket GCS
`GCS_PREFIX`	`netwrix-audit`	Awalan untuk file log
`STATE_KEY`	`netwrix-audit/state.json`	Jalur file status
`NETWRIX_HOST`	`auditor.enterprise.local`	FQDN atau IP Server Netwrix Auditor
`NETWRIX_PORT`	`9699`	Port Integration API
`NETWRIX_USER`	`ENTERPRISE\chronicle-api`	Akun domain dalam format DOMAIN\nama pengguna
`NETWRIX_PASS`	`your-password`	Sandi akun layanan
`MAX_RECORDS`	`10000`	Jumlah maksimum data per proses
`LOOKBACK_HOURS`	`24`	Periode lihat balik awal

Di bagian Variables & Secrets, scroll ke bawah ke Requests:
- Waktu tunggu permintaan: Masukkan 600 detik (10 menit)
Buka tab Setelan:
- Di bagian Materi:
  - Memori: Pilih 512 MiB atau yang lebih tinggi
  - CPU: Pilih 1
Di bagian Penskalaan revisi:
- Jumlah minimum instance: Masukkan 0
- Maximum number of instances: Masukkan 100
Klik Create.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.

Catatan: Fungsi Cloud Run harus memiliki konektivitas jaringan ke Server Netwrix Auditor. Jika Server Netwrix Auditor berada di lokal, konfigurasi konektor VPC atau Cloud VPN untuk mengizinkan fungsi Cloud Run menjangkau server di port 9699.

Menambahkan kode fungsi

Masukkan main di kolom Entry point.

Di editor kode inline, buat dua file:

main.py:

import functions_framework
from google.cloud import storage
import json
import os
import requests
from requests_ntlm import HttpNtlmAuth
from datetime import datetime, timezone, timedelta
import time
import urllib3

# Suppress insecure HTTPS warnings for self-signed certificates
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'netwrix-audit')
STATE_KEY = os.environ.get('STATE_KEY', 'netwrix-audit/state.json')
NETWRIX_HOST = os.environ.get('NETWRIX_HOST')
NETWRIX_PORT = os.environ.get('NETWRIX_PORT', '9699')
NETWRIX_USER = os.environ.get('NETWRIX_USER')
NETWRIX_PASS = os.environ.get('NETWRIX_PASS')
MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '10000'))
LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))

def parse_datetime(value):
  """Parse ISO datetime string to datetime object."""
  if value.endswith("Z"):
    value = value[:-1] + "+00:00"
  return datetime.fromisoformat(value)

@functions_framework.cloud_event
def main(cloud_event):
  """
  Cloud Run function triggered by Pub/Sub to fetch Netwrix Auditor
  activity records and write to GCS.

  Args:
    cloud_event: CloudEvent object containing Pub/Sub message
  """

  if not all([GCS_BUCKET, NETWRIX_HOST, NETWRIX_USER, NETWRIX_PASS]):
    print('Error: Missing required environment variables')
    return

  try:
    bucket = storage_client.bucket(GCS_BUCKET)
    state = load_state(bucket)
    now = datetime.now(timezone.utc)

    if isinstance(state, dict) and state.get('last_event_time'):
      try:
        last_time = parse_datetime(state['last_event_time'])
        last_time = last_time - timedelta(minutes=2)
      except Exception as e:
        print(f"Warning: Could not parse last_event_time: {e}")
        last_time = now - timedelta(hours=LOOKBACK_HOURS)
    else:
      last_time = now - timedelta(hours=LOOKBACK_HOURS)

    print(f"Fetching activity records from {last_time.isoformat()} "
        f"to {now.isoformat()}")

    records, newest_event_time = fetch_activity_records(
      last_time, now
    )

    if not records:
      print("No new activity records found.")
      save_state(bucket, now.isoformat())
      return

    timestamp = now.strftime('%Y%m%d_%H%M%S')
    object_key = (
      f"{GCS_PREFIX}/netwrix_audit_{timestamp}.ndjson"
    )
    blob = bucket.blob(object_key)

    ndjson = '\n'.join(
      [json.dumps(r, ensure_ascii=False, default=str)
      for r in records]
    ) + '\n'
    blob.upload_from_string(
      ndjson, content_type='application/x-ndjson'
    )

    print(f"Wrote {len(records)} records to "
        f"gs://{GCS_BUCKET}/{object_key}")

    if newest_event_time:
      save_state(bucket, newest_event_time)
    else:
      save_state(bucket, now.isoformat())

    print(f"Successfully processed {len(records)} records")

  except Exception as e:
    print(f'Error processing activity records: {str(e)}')
    raise

def load_state(bucket):
  """Load state from GCS."""
  try:
    blob = bucket.blob(STATE_KEY)
    if blob.exists():
      return json.loads(blob.download_as_text())
  except Exception as e:
    print(f"Warning: Could not load state: {e}")
  return {}

def save_state(bucket, last_event_time_iso):
  """Save the last event timestamp to GCS state file."""
  try:
    state = {
      'last_event_time': last_event_time_iso,
      'last_run': datetime.now(timezone.utc).isoformat()
    }
    blob = bucket.blob(STATE_KEY)
    blob.upload_from_string(
      json.dumps(state, indent=2),
      content_type='application/json'
    )
    print(f"Saved state: last_event_time={last_event_time_iso}")
  except Exception as e:
    print(f"Warning: Could not save state: {e}")

def fetch_activity_records(start_time, end_time):
  """
  Fetch activity records from Netwrix Auditor Integration API
  using the enum endpoint with continuation mark pagination.

  The API returns up to 1000 records per request. Subsequent
  requests include the ContinuationMark from the previous
  response to retrieve the next batch.

  Args:
    start_time: Start time for filtering records
    end_time: End time for filtering records

  Returns:
    Tuple of (records list, newest_event_time ISO string)
  """
  base_url = (
    f"https://{NETWRIX_HOST}:{NETWRIX_PORT}"
    f"/netwrix/api/v1/activity_records/enum"
  )
  auth = HttpNtlmAuth(NETWRIX_USER, NETWRIX_PASS)
  session = requests.Session()
  session.auth = auth
  session.verify = False
  session.headers.update({
    'Content-Type': 'application/json',
    'Accept': 'application/json',
    'User-Agent': 'GoogleSecOps-NetwrixCollector/1.0'
  })

  all_records = []
  newest_time = None
  continuation_mark = None
  page_num = 0
  backoff = 1.0

  while True:
    page_num += 1

    if len(all_records) >= MAX_RECORDS:
      print(f"Reached max_records limit ({MAX_RECORDS})")
      break

    try:
      if continuation_mark:
        response = session.post(
          base_url,
          json={"ContinuationMark": continuation_mark},
          timeout=(10, 60)
        )
      else:
        response = session.get(
          base_url,
          timeout=(10, 60)
        )

      if response.status_code == 429:
        retry_after = int(
          response.headers.get(
            'Retry-After', str(int(backoff))
          )
        )
        print(f"Rate limited (429). Retrying after "
            f"{retry_after}s...")
        time.sleep(retry_after)
        backoff = min(backoff * 2, 30.0)
        continue

      backoff = 1.0

      if response.status_code != 200:
        print(f"HTTP Error: {response.status_code}")
        print(f"Response body: {response.text}")
        return all_records, newest_time

      data = response.json()

      page_results = data.get('ActivityRecordList', [])
      continuation_mark = data.get('ContinuationMark')

      if not page_results:
        print("No more activity records (empty page)")
        break

      # Filter records by time window
      filtered = []
      for record in page_results:
        when = record.get('When')
        if when:
          try:
            record_time = parse_datetime(when)
            if start_time <= record_time <= end_time:
              filtered.append(record)
            if (newest_time is None or
                record_time >
                parse_datetime(newest_time)):
              newest_time = when
          except Exception as e:
            print(f"Warning: Could not parse "
                f"record time: {e}")
            filtered.append(record)
        else:
          filtered.append(record)

      print(f"Page {page_num}: Retrieved "
          f"{len(page_results)} records, "
          f"{len(filtered)} within time window")
      all_records.extend(filtered)

      if not continuation_mark:
        print("No more pages (no ContinuationMark)")
        break

    except requests.exceptions.Timeout:
      print(f"Request timeout on page {page_num}")
      return all_records, newest_time
    except Exception as e:
      print(f"Error fetching activity records: {e}")
      return all_records, newest_time

  print(f"Retrieved {len(all_records)} total records "
      f"from {page_num} pages")
  return all_records, newest_time

requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
requests>=2.31.0
requests-ntlm>=1.2.0

Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).

Catatan: Konfigurasi pemicu Pub/Sub akan otomatis membuat langganan dan izin yang diperlukan.

Buat tugas Cloud Scheduler

Di GCP Console, buka Cloud Scheduler.
Klik Create Job.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Nama	`netwrix-audit-collector-hourly`
Region	Pilih region yang sama dengan fungsi Cloud Run
Frekuensi	`0 * * * *` (setiap jam, tepat pada waktunya)
Zona Waktu	Pilih zona waktu (UTC direkomendasikan)
Jenis target	Pub/Sub
Topik	Pilih `netwrix-audit-trigger`
Isi pesan	`{}` (objek JSON kosong)

Klik Create.

Opsi frekuensi jadwal

Pilih frekuensi berdasarkan volume log dan persyaratan latensi:

Frekuensi	Ekspresi Cron	Kasus Penggunaan
Setiap 5 menit	`/5 * * *`	Volume tinggi, latensi rendah
Setiap 15 menit	`/15 * * *`	Volume sedang
Setiap jam	`0 * * * *`	Standar (direkomendasikan)
Setiap 6 jam	`0 /6 * *`	Volume rendah, pemrosesan batch
Harian	`0 0 * * *`	Pengumpulan data historis

Menguji integrasi

Di konsol Cloud Scheduler, temukan tugas Anda (netwrix-audit-collector-hourly).
Klik Force run untuk memicu tugas secara manual.
Tunggu beberapa detik.
Buka Cloud Run > Services.
Klik netwrix-audit-collector.
Klik tab Logs.

Pastikan fungsi berhasil dieksekusi. Cari:

Fetching activity records from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X records, X within time window
Wrote X records to gs://netwrix-auditor-logs/netwrix-audit/netwrix_audit_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

Buka Cloud Storage > Buckets.
Klik netwrix-auditor-logs.
Buka folder netwrix-audit/.
Pastikan file .ndjson baru dibuat dengan stempel waktu saat ini.

Jika Anda melihat error dalam log:

HTTP 401: Pastikan variabel lingkungan NETWRIX_USER dan NETWRIX_PASS sudah benar dan menggunakan format DOMAIN\username
HTTP 403: Pastikan akun layanan memiliki peran Global reviewer di Netwrix Auditor
HTTP 429: Pembatasan kecepatan -- fungsi akan otomatis mencoba lagi dengan backoff eksponensial
Waktu koneksi habis: Verifikasi konektivitas jaringan dari Cloud Run ke Server Netwrix Auditor di port 9691. Pastikan konektor VPC atau Cloud VPN dikonfigurasi jika server berada di infrastruktur lokal
Variabel lingkungan tidak ada: Pastikan semua variabel yang diperlukan ditetapkan dalam konfigurasi fungsi Cloud Run

Mengambil akun layanan Google SecOps

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Netwrix Auditor Activity Records).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Netwrix sebagai Jenis log.
Klik Get Service Account.

Email akun layanan yang unik akan ditampilkan. Contoh:

chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

Salin alamat email ini untuk digunakan di langkah berikutnya.

Catatan: Setiap instance Google SecOps memiliki akun layanan yang unik. Jangan gunakan akun layanan dari dokumentasi atau contoh lain.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
```
gs://netwrix-auditor-logs/netwrix-audit/
```
Catatan: Selalu sertakan garis miring (/) di akhir URI.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
  - Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
  - Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
Catatan: Jika Anda memilih opsi penghapusan, akun layanan harus memiliki peran Storage Object Admin, bukan Storage Object Viewer. Perbarui izin IAM yang sesuai.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir (defaultnya adalah 180 hari)
- Namespace aset: Namespace aset
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Memberikan izin IAM ke akun layanan Google SecOps

Buka Cloud Storage > Buckets.
Klik netwrix-auditor-logs.
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps
- Tetapkan peran: Pilih Storage Object Viewer
Klik Simpan.

Catatan: Jika Anda berencana menggunakan opsi penghapusan "Hapus file yang ditransfer" atau "Hapus file yang ditransfer dan direktori kosong", berikan peran Storage Object Admin, bukan Storage Object Viewer.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
Kode operasi	about.labels	Label yang terkait dengan informasi tentang
Teks	about.resource.attribute.labels	Label atribut untuk resource di bagian tentang
Tugas	additional.fields	Kolom tambahan yang berisi informasi tambahan tentang acara
Apa	additional.fields
Pemberitahuan	additional.fields
Deskripsi	additional.fields
Ditambahkan	additional.fields
Dihapus	additional.fields
service_type	additional.fields
Detail	additional.fields
extensions.auth.type	extensions.auth.type	Jenis autentikasi yang digunakan
EventReceivedTime	metadata.collected_timestamp	Stempel waktu saat peristiwa dikumpulkan oleh sistem
Pesan	metadata.description	Deskripsi peristiwa
event_type	metadata.event_type	Jenis acara
EventType	metadata.product_event_type	Jenis acara khusus produk
EventID	metadata.product_log_id	ID log khusus produk
SourceModuleType	observer.application	Aplikasi yang mengamati peristiwa
Hostname	principal.asset.hostname	Nama host aset yang terkait dengan akun utama
Di mana	principal.asset.hostname
Workstation	principal.asset.hostname
device_name	principal.asset.hostname
Workstation	principal.hostname	Nama host prinsipal
device_name	principal.hostname
ProcessID	principal.process.pid	ID proses prinsipal
Nama	principal.resource.name	Nama resource yang terkait dengan akun utama
Siapa	principal.user.user_display_name	Nama tampilan pengguna
SourceName	security_result.about.resource.attribute.labels	Label atribut resource untuk bagian tentang di hasil keamanan
tindakan	security_result.action	Tindakan yang diambil dalam hasil keamanan
action_details	security_result.action_details	Detail tindakan dalam hasil keamanan
backup_name	security_result.description	Deskripsi hasil keamanan
service_failed	security_result.description
Kata kunci	security_result.detection_fields	Kolom yang digunakan untuk deteksi dalam hasil keamanan
RecordNumber	security_result.detection_fields
session_ID	security_result.detection_fields
allow_connection_with_desktop	security_result.detection_fields
service_account	security_result.detection_fields
Keparahan	security_result.severity	Tingkat keparahan hasil keamanan
SeverityValue	security_result.severity
ringkasan	security_result.summary	Ringkasan hasil keamanan
application_name	target.application	Aplikasi di target
Hostname	target.asset.hostname	Nama host aset yang terkait dengan target
Di mana	target.asset.hostname
file_path	target.file.full_path	Jalur lengkap file target
Ukuran	target.file.size	Ukuran file target
Hostname	target.hostname	Nama host target
Di mana	target.hostname
Jenis	target.resource.attribute.labels	Label atribut untuk resource target
SourceModuleName	target.resource.name	Nama resource target
DataSource	metadata.product_name	Nama produk yang menghasilkan peristiwa
metadata.vendor_name	metadata.vendor_name	Nama vendor

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.