Oracle Cloud Infrastructure-Audit-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Oracle Cloud Infrastructure-Audit-Logs mit Amazon S3 in Google Security Operations aufnehmen.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Oracle Cloud Infrastructure-Konto mit Berechtigungen zum Erstellen und Verwalten von:
    • Service Connector Hub
    • Oracle Functions
    • Vaults und Secrets
    • Dynamische Gruppen und IAM-Richtlinien
    • Logging
  • AWS-Konto mit Berechtigungen zum Erstellen und Verwalten von:
    • S3-Buckets
    • IAM-Nutzer und ‑Richtlinien

Amazon S3-Bucket erstellen

  1. Melden Sie sich bei der AWS Management Console an.
  2. Gehen Sie zu S3 > Bucket erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Bucket-Name: Geben Sie einen eindeutigen Namen ein, z. B. oci-audit-logs-bucket.
    • AWS-Region: Wählen Sie eine Region aus, z. B. us-east-1.
    • Behalten Sie für die anderen Optionen die Standardeinstellungen bei.
  4. Klicken Sie auf Bucket erstellen.
  5. Speichern Sie den Namen und die Region des Buckets für die spätere Verwendung.

IAM-Nutzer in AWS für OCI Functions erstellen

  1. Melden Sie sich bei der AWS Management Console an.
  2. Klicken Sie auf IAM > Nutzer > Nutzer hinzufügen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Nutzername: Geben Sie einen Nutzernamen ein, z. B. oci-functions-s3-user.
    • Zugriffstyp: Wählen Sie Zugriffsschlüssel – programmatischer Zugriff aus.
  4. Klicken Sie auf Next: Permissions.
  5. Klicken Sie auf Vorhandene Richtlinien direkt anhängen.
  6. Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
  7. Klicken Sie auf Weiter: Tags.
  8. Klicken Sie auf Weiter: Überprüfen.
  9. Klicken Sie auf Nutzer erstellen.
  10. Wichtig: Kopieren und speichern Sie auf der Erfolgsseite die folgenden Anmeldedaten:
    • Zugriffsschlüssel-ID
    • Secret-Zugriffsschlüssel

AWS-Anmeldedaten in OCI Vault speichern

Um AWS-Anmeldedaten sicher zu speichern, müssen Sie Oracle Cloud Infrastructure Vault verwenden, anstatt sie im Funktionscode fest zu codieren.

Vault und Master-Verschlüsselungsschlüssel erstellen

  1. Melden Sie sich in der Oracle Cloud Console an.
  2. Rufen Sie Identität und Sicherheit > Vault auf.
  3. Wenn Sie noch keinen Vault haben, klicken Sie auf Vault erstellen.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Im Bereich erstellen: Wählen Sie den gewünschten Bereich aus.
    • Name: Geben Sie einen Namen ein, z. B. oci-functions-vault.
  5. Klicken Sie auf Vault erstellen.
  6. Klicken Sie nach dem Erstellen des Tresors auf den Namen, um ihn zu öffnen.
  7. Klicken Sie unter Master-Verschlüsselungsschlüssel auf Schlüssel erstellen.
  8. Geben Sie die folgenden Konfigurationsdetails an:
    • Schutzmodus: Software
    • Name: Geben Sie einen Namen ein, z. B. oci-functions-key.
    • Key Shape: Algorithm (Schlüsselform: Algorithmus): AES
    • Schlüsselform: Länge: 256 Bit
  9. Klicken Sie auf Schlüssel erstellen.

Secrets für AWS-Anmeldedaten erstellen

  1. Klicken Sie im Vault unter Secrets auf Secret erstellen.
  2. Geben Sie die folgenden Konfigurationsdetails für den AWS-Zugriffsschlüssel an:
    • Im Bereich erstellen: Wählen Sie den gewünschten Bereich aus.
    • Name: aws-access-key
    • Beschreibung: AWS-Zugriffsschlüssel für S3
    • Verschlüsselungsschlüssel: Wählen Sie den von Ihnen erstellten Master-Verschlüsselungsschlüssel aus.
    • Inhalte des Secret-Typs: Nur-Text
    • Secret Contents (Geheimer Inhalt): Fügen Sie Ihre AWS-Zugriffsschlüssel-ID ein.
  3. Klicken Sie auf Secret erstellen.
  4. Kopieren und speichern Sie die OCID dieses Secrets (sie sieht so aus: ocid1.vaultsecret.oc1...).
  5. Klicken Sie noch einmal auf Secret erstellen, um das zweite Secret zu erstellen.
  6. Geben Sie die folgenden Konfigurationsdetails für den geheimen AWS-Schlüssel an:
    • Im Bereich erstellen: Wählen Sie den gewünschten Bereich aus.
    • Name: aws-secret-key
    • Beschreibung: Geheimer AWS-Schlüssel für S3
    • Verschlüsselungsschlüssel: Wählen Sie denselben Master-Verschlüsselungsschlüssel aus.
    • Inhalte des Secret-Typs: Nur-Text
    • Secret-Inhalt: Fügen Sie Ihren geheimen AWS-Zugriffsschlüssel ein.
  7. Klicken Sie auf Secret erstellen.
  8. Kopieren und speichern Sie die OCID dieses Secrets.

Dynamische Gruppe für OCI Functions erstellen

  1. Melden Sie sich in der Oracle Cloud Console an.
  2. Rufen Sie Identität & Sicherheit> Identität > Dynamische Gruppen auf.
  3. Klicken Sie auf Dynamische Gruppe erstellen.

  4. Geben Sie die folgenden Konfigurationsdetails an:

    • Name: oci-functions-dynamic-group
    • Beschreibung: Dynamische Gruppe für OCI-Funktionen für den Zugriff auf Vault-Secrets

    • Abgleichsregeln: Geben Sie die folgende Regel ein und ersetzen Sie <your_compartment_ocid> durch die OCID Ihres Compartments:

      ALL {resource.type = 'fnfunc', resource.compartment.id = '<your_compartment_ocid>'}

  5. Klicken Sie auf Erstellen.

IAM-Richtlinie für Vault-Zugriff erstellen

  1. Melden Sie sich in der Oracle Cloud Console an.
  2. Rufen Sie Identität & Sicherheit> Identität > Richtlinien auf.
  3. Wählen Sie das Compartment aus, in dem Sie die Richtlinie erstellen möchten.
  4. Klicken Sie auf Richtlinie erstellen.

  5. Geben Sie die folgenden Konfigurationsdetails an:

    • Name: oci-functions-vault-access-policy
    • Beschreibung: OCI Functions erlauben, Secrets aus Vault zu lesen
    • Policy Builder: Aktivieren Sie Manuellen Editor anzeigen.

    • Richtlinienanweisungen: Geben Sie Folgendes ein (ersetzen Sie <compartment_name> durch den Namen Ihres Compartments):

      allow dynamic-group oci-functions-dynamic-group to manage secret-family in compartment <compartment_name>

  6. Klicken Sie auf Erstellen.

OCI-Funktionsanwendung erstellen

  1. Melden Sie sich in der Oracle Cloud Console an.
  2. Rufen Sie Developer Services> Anwendungen (unter „Funktionen“) auf.
  3. Klicken Sie auf Anwendung erstellen.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Name: Geben Sie einen Namen ein, z. B. oci-logs-to-s3-app.
    • VCN: Wählen Sie ein VCN in Ihrem Compartment aus.
    • Subnetze: Wählen Sie ein oder mehrere Subnetze aus.
  5. Klicken Sie auf Erstellen.

OCI-Funktion erstellen und bereitstellen

  1. Klicken Sie in der Oracle Cloud Console rechts oben auf das Cloud Shell-Symbol.
  2. Warten Sie, bis Cloud Shell initialisiert wurde.

Funktion erstellen

  1. Erstellen Sie in Cloud Shell ein neues Verzeichnis für Ihre Funktion:

    mkdir pushlogs
cd pushlogs

  2. So initialisieren Sie eine neue Python-Funktion:

    fn init --runtime python

  3. Dadurch werden drei Dateien erstellt: func.py, func.yaml und requirements.txt.

func.py aktualisieren

  • Ersetzen Sie den Inhalt von func.py durch den folgenden Code:

    import io
import json
import logging
import boto3
import oci
import base64
import os
from fdk import response

def handler(ctx, data: io.BytesIO = None):
    """
    OCI Function to push audit logs from OCI Logging to AWS S3
    """
    try:
        # Parse incoming log data from Service Connector
        funDataStr = data.read().decode('utf-8')
        funData = json.loads(funDataStr)

        logging.getLogger().info(f"Received {len(funData)} log entries")

        # Replace these with your actual OCI Vault secret OCIDs
        secret_key_id = "ocid1.vaultsecret.oc1..<your_secret_key_ocid>"
        access_key_id = "ocid1.vaultsecret.oc1..<your_access_key_ocid>"

        # Replace with your S3 bucket name
        s3_bucket_name = "oci-audit-logs-bucket"

        # Use Resource Principals for OCI authentication
        signer = oci.auth.signers.get_resource_principals_signer()
        secret_client = oci.secrets.SecretsClient({}, signer=signer)

        def read_secret_value(secret_client, secret_id):
            """Retrieve and decode secret value from OCI Vault"""
            response = secret_client.get_secret_bundle(secret_id)
            base64_secret_content = response.data.secret_bundle_content.content
            base64_secret_bytes = base64_secret_content.encode('ascii')
            base64_message_bytes = base64.b64decode(base64_secret_bytes)
            secret_content = base64_message_bytes.decode('ascii')
            return secret_content

        # Retrieve AWS credentials from OCI Vault
        awsaccesskey = read_secret_value(secret_client, access_key_id)
        awssecretkey = read_secret_value(secret_client, secret_key_id)

        # Initialize boto3 session with AWS credentials
        session = boto3.Session(
            aws_access_key_id=awsaccesskey,
            aws_secret_access_key=awssecretkey
        )
        s3 = session.resource('s3')

        # Process each log entry
        for i in range(0, len(funData)):
            # Use timestamp as filename
            filename = funData[i].get('time', f'log_{i}')
            # Remove special characters from filename
            filename = filename.replace(':', '-').replace('.', '-')

            logging.getLogger().info(f"Processing log entry: {filename}")

            # Write log entry to temporary file
            temp_file = f'/tmp/{filename}.json'
            with open(temp_file, 'w', encoding='utf-8') as f:
                json.dump(funData[i], f, ensure_ascii=False, indent=4)

            # Upload to S3
            s3_key = f'{filename}.json'
            s3.meta.client.upload_file(
                Filename=temp_file,
                Bucket=s3_bucket_name,
                Key=s3_key
            )

            logging.getLogger().info(f"Uploaded {s3_key} to S3 bucket {s3_bucket_name}")

            # Clean up temporary file
            os.remove(temp_file)

        return response.Response(
            ctx,
            response_data=json.dumps({
                "status": "success",
                "processed_logs": len(funData)
            }),
            headers={"Content-Type": "application/json"}
        )

    except Exception as e:
        logging.getLogger().error(f"Error processing logs: {str(e)}")
        return response.Response(
            ctx,
            response_data=json.dumps({
                "status": "error",
                "message": str(e)
            }),
            headers={"Content-Type": "application/json"},
            status_code=500
        )
    • Ersetzen Sie secret_key_id durch die tatsächliche OCID des Vault-Secrets für den geheimen AWS-Schlüssel.
    • Ersetzen Sie access_key_id durch die tatsächliche OCID des Vault-Secrets für den AWS-Zugriffsschlüssel.
    • Ersetzen Sie s3_bucket_name durch den Namen Ihres tatsächlichen S3-Buckets.

func.yaml aktualisieren

Ersetzen Sie den Inhalt von func.yaml durch:

  schema_version: 20180708
  name: pushlogs
  version: 0.0.1
  runtime: python
  build_image: fnproject/python:3.9-dev
  run_image: fnproject/python:3.9
  entrypoint: /python/bin/fdk /function/func.py handler
  memory: 256

requirements.txt aktualisieren

  • Ersetzen Sie den Inhalt von requirements.txt durch:

    fdk>=0.1.56
boto3
oci

Funktion implementieren

  1. Legen Sie den Fn-Kontext fest, um Ihre Anwendung zu verwenden:

    fn use context <region-context>
fn update context oracle.compartment-id <compartment-ocid>

  2. Die Funktion bereitstellen:

    fn -v deploy --app oci-logs-to-s3-app

  3. Warten Sie, bis die Bereitstellung abgeschlossen ist. Die Ausgabe sollte darauf hinweisen, dass die Funktion erfolgreich bereitgestellt wurde.

  4. Prüfen Sie, ob die Funktion erstellt wurde:

    fn list functions oci-logs-to-s3-app

Service Connector erstellen, um OCI-Audit-Logs an die Funktion zu senden

  1. Melden Sie sich in der Oracle Cloud Console an.
  2. Gehen Sie zu Analytics & AI > Messaging > Service Connector Hub.
  3. Wählen Sie das Compartment aus, in dem Sie den Serviceconnector erstellen möchten.
  4. Klicken Sie auf Service Connector erstellen.

Service Connector-Details konfigurieren

  1. Geben Sie die folgenden Konfigurationsdetails an:

Service Connector-Informationen: * Connector-Name: Geben Sie einen aussagekräftigen Namen ein, z. B. audit-logs-to-s3-connector. * Beschreibung: Optionale Beschreibung, z. B. „OCI-Audit-Logs an AWS S3 weiterleiten“. * Ressourcenbereich: Wählen Sie den Bereich aus.

Quelle konfigurieren

  1. Unter Quelle konfigurieren:
    • Quelle: Wählen Sie Protokollierung aus.
    • Compartment: Wählen Sie das Compartment mit den Audit-Logs aus.
    • Loggruppe: Wählen Sie _Audit aus. Dies ist die Standard-Loggruppe für Audit-Logs.
    • Logs: Klicken Sie auf + Another Log (+ Weiteren Log).
    • Wählen Sie das Audit-Log für Ihr Compartment aus (z. B. _Audit_Include_Subcompartment).

Ziel konfigurieren

  1. Unter Ziel konfigurieren:
    • Ziel: Wählen Sie Funktionen aus.
    • Compartment: Wählen Sie das Compartment aus, das Ihre Funktionsanwendung enthält.
    • Funktionsanwendung: Wählen Sie oci-logs-to-s3-app aus (die Anwendung, die Sie zuvor erstellt haben).
    • Funktion: Wählen Sie pushlogs (die Funktion, die Sie bereitgestellt haben) aus.

Richtlinie konfigurieren

  1. Unter Richtlinie konfigurieren:

    • Sehen Sie sich die angezeigten erforderlichen IAM-Richtlinienanweisungen an.
    • Klicken Sie auf Erstellen, um die erforderlichen Richtlinien automatisch zu erstellen.

  2. Klicken Sie auf Erstellen, um den Service Connector zu erstellen.

  3. Warten Sie, bis der Service Connector erstellt und aktiviert wurde. Der Status sollte sich in Aktiv ändern.

Prüfen, ob Logs an AWS S3 gesendet werden

  1. Melden Sie sich in der Oracle Cloud Console an.
  2. Führen Sie einige Aktionen aus, die Audit-Logs generieren (z. B. eine Ressource erstellen oder ändern).
  3. Warten Sie zwei bis fünf Minuten, bis die Protokolle verarbeitet wurden.
  4. Melden Sie sich bei der AWS Management Console an.
  5. Rufen Sie S3 > Buckets auf.
  6. Klicken Sie auf Ihren Bucket (z. B. oci-audit-logs-bucket).
  7. Prüfen Sie, ob JSON-Logdateien im Bucket angezeigt werden.

AWS S3-Bucket und IAM für Google SecOps konfigurieren

IAM-Nutzer für Chronicle erstellen

  1. Melden Sie sich bei der AWS Management Console an.
  2. Klicken Sie auf IAM > Nutzer > Nutzer hinzufügen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Nutzername: Geben Sie chronicle-s3-reader ein.
    • Zugriffstyp: Wählen Sie Zugriffsschlüssel – programmatischer Zugriff aus.
  4. Klicken Sie auf Next: Permissions.
  5. Klicken Sie auf Vorhandene Richtlinien direkt anhängen.
  6. Suchen Sie nach der Richtlinie AmazonS3ReadOnlyAccess und wählen Sie sie aus.
  7. Klicken Sie auf Weiter: Tags.
  8. Klicken Sie auf Weiter: Überprüfen.
  9. Klicken Sie auf Nutzer erstellen.
  10. Klicken Sie auf CSV-Datei herunterladen, um die Access Key ID (Zugriffsschlüssel-ID) und den Secret Access Key (geheimer Zugriffsschlüssel) zu speichern.
  11. Klicken Sie auf Schließen.

Optional: Benutzerdefinierte IAM-Richtlinie für Zugriff mit der geringsten Berechtigung erstellen

Wenn Sie den Zugriff auf den jeweiligen Bucket beschränken möchten, gehen Sie so vor:

  1. Rufen Sie IAM > Richtlinien > Richtlinie erstellen auf.
  2. Klicken Sie auf den Tab JSON.

  3. Geben Sie die folgende Richtlinie ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::oci-audit-logs-bucket",
        "arn:aws:s3:::oci-audit-logs-bucket/*"
      ]
    }
  ]
}
    • Ersetzen Sie oci-audit-logs-bucket durch den Namen Ihres Buckets.

  4. Klicken Sie auf Weiter: Tags.

  5. Klicken Sie auf Weiter: Überprüfen.

  6. Geben Sie die folgenden Konfigurationsdetails an:

    • Name: chronicle-s3-read-policy
    • Beschreibung: Lesezugriff auf den OCI-Audit-Logs-Bucket

  7. Klicken Sie auf Richtlinie erstellen.

  8. Kehren Sie zu IAM > Nutzer zurück und wählen Sie den Nutzer chronicle-s3-reader aus.

  9. Klicken Sie auf Berechtigungen hinzufügen > Richtlinien direkt anhängen.

  10. Suchen Sie nach chronicle-s3-read-policy und wählen Sie den Eintrag aus.

  11. Entfernen Sie die Richtlinie AmazonS3ReadOnlyAccess, falls Sie sie zuvor hinzugefügt haben.

  12. Klicken Sie auf Berechtigungen hinzufügen.

Feed in Google SecOps konfigurieren, um Oracle Cloud-Audit-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Oracle Cloud Audit Logs.
  5. Wählen Sie Amazon S3 V2 als Quelltyp aus.
  6. Wählen Sie Oracle Cloud Infrastructure als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Geben Sie Werte für die folgenden Eingabeparameter an:
    • S3-URI: Geben Sie den S3-Bucket-URI ein, z. B. s3://oci-audit-logs-bucket/.
    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus:
      • Nie: Empfohlen für Tests und die Ersteinrichtung.
      • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Aufnahme gelöscht. Diese Option ist für die Produktion vorgesehen, um Speicherkosten zu senken.
    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
    • Access Key ID (Zugriffsschlüssel-ID): Geben Sie die Zugriffsschlüssel-ID des von Ihnen erstellten Chronicle IAM-Nutzers ein.
    • Secret Access Key (Geheimer Zugriffsschlüssel): Geben Sie den geheimen Zugriffsschlüssel des von Ihnen erstellten Chronicle IAM-Nutzers ein.
    • Asset-Namespace: Der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
data.request.headers.authorization.0 event.idm.read_only_udm.additional.fields Der Wert wird aus data.request.headers.authorization.0 übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „Request Headers Authorization“ lautet.
data.compartmentId event.idm.read_only_udm.additional.fields Der Wert wird aus data.compartmentId übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „compartmentId“ ist.
data.compartmentName event.idm.read_only_udm.additional.fields Der Wert wird aus data.compartmentName übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „compartmentName“ ist.
data.response.headers.Content-Length.0 event.idm.read_only_udm.additional.fields Der Wert wird aus data.response.headers.Content-Length.0 übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „Response Headers Content-Length“ ist.
data.response.headers.Content-Type.0 event.idm.read_only_udm.additional.fields Der Wert wird aus data.response.headers.Content-Type.0 übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „Response Headers Content-Type“ ist.
data.eventGroupingId event.idm.read_only_udm.additional.fields Der Wert wird aus data.eventGroupingId übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „eventGroupingId“ ist.
oracle.tenantid, data.identity.tenantId event.idm.read_only_udm.additional.fields Der Wert wird aus oracle.tenantid übernommen, falls vorhanden, andernfalls aus data.identity.tenantId. Sie wird als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „tenantId“ ist.
data.message event.idm.read_only_udm.metadata.description Wert aus data.message.
time event.idm.read_only_udm.metadata.event_timestamp Der Wert wird aus time übernommen und als ISO8601-Zeitstempel geparst.
event.idm.read_only_udm.metadata.event_type Standardmäßig auf GENERIC_EVENT festgelegt. Auf NETWORK_CONNECTION setzen, wenn ein Prinzipal (IP oder Hostname) und eine Ziel-IP vorhanden sind. Wird auf STATUS_UPDATE gesetzt, wenn nur ein Prinzipal vorhanden ist.
time event.idm.read_only_udm.metadata.ingested_timestamp Wenn oracle.ingestedtime nicht leer ist, wird der Wert aus dem Feld time übernommen und als ISO8601-Zeitstempel geparst.
oracle.tenantid event.idm.read_only_udm.metadata.product_deployment_id Wert aus oracle.tenantid.
type event.idm.read_only_udm.metadata.product_event_type Wert aus type.
oracle.logid event.idm.read_only_udm.metadata.product_log_id Wert aus oracle.logid.
specversion event.idm.read_only_udm.metadata.product_version Wert aus specversion.
data.request.action event.idm.read_only_udm.network.http.method Wert aus data.request.action.
data.identity.userAgent event.idm.read_only_udm.network.http.parsed_user_agent Wert aus data.identity.userAgent, der geparst wurde.
data.response.status event.idm.read_only_udm.network.http.response_code Wert aus data.response.status, der in eine Ganzzahl konvertiert wurde.
data.protocol event.idm.read_only_udm.network.ip_protocol Der numerische Wert aus data.protocol wird in seine Stringdarstellung konvertiert (z.B. 6 wird zu „TCP“, 17 wird zu „UDP“.
data.bytesOut event.idm.read_only_udm.network.sent_bytes Der Wert wird aus data.bytesOut übernommen und in eine vorzeichenlose Ganzzahl konvertiert.
data.packets event.idm.read_only_udm.network.sent_packets Wert aus data.packets, der in eine Ganzzahl konvertiert wurde.
data.identity.consoleSessionId event.idm.read_only_udm.network.session_id Wert aus data.identity.consoleSessionId.
id event.idm.read_only_udm.principal.asset.product_object_id Wert aus id.
source event.idm.read_only_udm.principal.hostname Wert aus source.
data.sourceAddress, data.identity.ipAddress event.idm.read_only_udm.principal.ip Werte aus data.sourceAddress und data.identity.ipAddress werden in diesem Feld zusammengeführt.
data.sourcePort event.idm.read_only_udm.principal.port Wert aus data.sourcePort, der in eine Ganzzahl konvertiert wurde.
data.request.headers.X-Forwarded-For.0 event.idm.read_only_udm.principal.resource.attribute.labels Der Wert wird aus data.request.headers.X-Forwarded-For.0 übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „x forward“ ist.
oracle.compartmentid event.idm.read_only_udm.principal.resource.attribute.labels Der Wert wird aus oracle.compartmentid übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „compartmentid“ ist.
oracle.loggroupid event.idm.read_only_udm.principal.resource.attribute.labels Der Wert wird aus oracle.loggroupid übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „loggroupid“ ist.
oracle.vniccompartmentocid event.idm.read_only_udm.principal.resource.attribute.labels Der Wert wird aus oracle.vniccompartmentocid übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „vniccompartmentocid“ ist.
oracle.vnicocid event.idm.read_only_udm.principal.resource.attribute.labels Der Wert wird aus oracle.vnicocid übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „vnicocid“ ist.
oracle.vnicsubnetocid event.idm.read_only_udm.principal.resource.attribute.labels Der Wert wird aus oracle.vnicsubnetocid übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „vnicsubnetocid“ ist.
data.flowid event.idm.read_only_udm.principal.resource.product_object_id Wert aus data.flowid.
data.identity.credentials event.idm.read_only_udm.principal.user.attribute.labels Der Wert wird aus data.identity.credentials übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „credentials“ lautet.
data.identity.principalName event.idm.read_only_udm.principal.user.user_display_name Wert aus data.identity.principalName.
data.identity.principalId event.idm.read_only_udm.principal.user.userid Wert aus data.identity.principalId.
data.action event.idm.read_only_udm.security_result.action Standardmäßig auf UNKNOWN_ACTION festgelegt. Wenn data.action „REJECT“ ist, wird dieser Wert auf BLOCK gesetzt. Wenn data.action „ACCEPT“ ist, wird dieser Wert auf ALLOW festgelegt.
data.endTime event.idm.read_only_udm.security_result.detection_fields Der Wert wird aus data.endTime übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „endTime“ ist.
data.startTime event.idm.read_only_udm.security_result.detection_fields Der Wert wird aus data.startTime übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „startTime“ ist.
data.status event.idm.read_only_udm.security_result.detection_fields Der Wert wird aus data.status übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „status“ ist.
data.version event.idm.read_only_udm.security_result.detection_fields Der Wert wird aus data.version übernommen und als Schlüssel/Wert-Paar hinzugefügt, wobei der Schlüssel „version“ ist.
data.destinationAddress event.idm.read_only_udm.target.ip Wert aus data.destinationAddress.
data.destinationPort event.idm.read_only_udm.target.port Wert aus data.destinationPort, der in eine Ganzzahl konvertiert wurde.
data.request.path event.idm.read_only_udm.target.url Wert aus data.request.path.
event.idm.read_only_udm.metadata.product_name Legen Sie diesen Wert auf „ORACLE CLOUD AUDIT“ fest.
event.idm.read_only_udm.metadata.vendor_name Legen Sie diesen Wert auf „ORACLE“ fest.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten