Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux d'audit Oracle Cloud Infrastructure

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux d'audit Oracle Cloud Infrastructure dans Google Security Operations à l'aide d'Amazon S3.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Instance Google SecOps.
Compte Oracle Cloud Infrastructure disposant des autorisations nécessaires pour créer et gérer :
- Service Connector Hub
- Oracle Functions
- Coffres-forts et secrets
- Groupes dynamiques et stratégies IAM
- Journalisation
Compte AWS disposant des autorisations nécessaires pour créer et gérer les éléments suivants :
- Buckets S3
- Utilisateurs et stratégies IAM

Créer un bucket Amazon S3

Connectez-vous à l'AWS Management Console.
Accédez à S3 > Créer un bucket.
Fournissez les informations de configuration suivantes :
- Nom du bucket : saisissez un nom unique (par exemple, oci-audit-logs-bucket).
- Région AWS : sélectionnez une région (par exemple, us-east-1).
- Conservez les paramètres par défaut pour les autres options.
Cliquez sur Créer un bucket.
Enregistrez le nom et la région du bucket pour une utilisation ultérieure.

Créer un utilisateur IAM dans AWS pour OCI Functions

Connectez-vous à l'AWS Management Console.
Accédez à IAM > Utilisateurs > Ajouter des utilisateurs.
Fournissez les informations de configuration suivantes :
- Nom d'utilisateur : saisissez un nom d'utilisateur (par exemple, oci-functions-s3-user).
- Type d'accès : sélectionnez Clé d'accès – Accès programmatique.
Cliquez sur Next: Permissions (Suivant : Autorisations).
Cliquez sur Attach existing policies directly (Joindre directement des règles existantes).
Recherchez et sélectionnez la règle AmazonS3FullAccess.
Cliquez sur Next: Tags (Suivant : Tags).
Cliquez sur Suivant : Relire.
Cliquez sur Créer un utilisateur.
Important : Sur la page de confirmation, copiez et enregistrez les identifiants suivants :
- ID de clé d'accès
- Clé d'accès secrète

Stocker les identifiants AWS dans OCI Vault

Pour stocker les identifiants AWS de manière sécurisée, vous devez utiliser Oracle Cloud Infrastructure Vault au lieu de les coder en dur dans le code de la fonction.

Créer un coffre-fort et une clé de chiffrement principale

Connectez-vous à la console Oracle Cloud.
Accédez à Identité et sécurité > Coffre-fort.
Si vous n'avez pas de coffre-fort, cliquez sur Créer un coffre-fort.
Fournissez les informations de configuration suivantes :
- Créer dans le compartiment : sélectionnez votre compartiment.
- Name (Nom) : saisissez un nom (par exemple, oci-functions-vault).
Cliquez sur Créer un coffre-fort.
Une fois le coffre-fort créé, cliquez sur son nom pour l'ouvrir.
Sous Clés de chiffrement principales, cliquez sur Créer une clé.
Fournissez les informations de configuration suivantes :
- Mode Protection : Logiciel
- Name (Nom) : saisissez un nom (par exemple, oci-functions-key).
- Forme de la clé : algorithme : AES
- Forme de la clé : longueur : 256 bits
Cliquez sur Create Key (Créer une clé).

Créer des secrets pour les identifiants AWS

Dans le coffre-fort, sous Secrets, cliquez sur Créer un secret.
Fournissez les informations de configuration suivantes pour la clé d'accès AWS :
- Créer dans le compartiment : sélectionnez votre compartiment.
- Nom : aws-access-key
- Description : clé d'accès AWS pour S3
- Clé de chiffrement : sélectionnez la clé de chiffrement principale que vous avez créée.
- Contenu du type de secret : texte brut
- Contenu secret : collez votre ID de clé d'accès AWS.
Cliquez sur Créer un secret.
Copiez et enregistrez l'OCID de ce secret (il ressemble à ocid1.vaultsecret.oc1...).
Cliquez de nouveau sur Créer un secret pour créer le deuxième secret.
Fournissez les informations de configuration suivantes pour la clé secrète AWS :
- Créer dans le compartiment : sélectionnez votre compartiment.
- Nom : aws-secret-key
- Description : clé secrète AWS pour S3
- Clé de chiffrement : sélectionnez la même clé de chiffrement principale.
- Contenu du type de secret : texte brut
- Contenu secret : collez votre clé d'accès secrète AWS.
Cliquez sur Créer un secret.
Copiez et enregistrez l'OCID de ce secret.

Créer un groupe dynamique pour OCI Functions

Connectez-vous à la console Oracle Cloud.
Accédez à Identité et sécurité> Identité> Groupes dynamiques.
Cliquez sur Créer un groupe dynamique.
Fournissez les informations de configuration suivantes :
- Nom : oci-functions-dynamic-group
- Description : groupe dynamique pour que les fonctions OCI accèdent aux secrets Vault
- Règles de correspondance : saisissez la règle suivante (remplacez <your_compartment_ocid> par l'OCID de votre compartiment) :
```
ALL {resource.type = 'fnfunc', resource.compartment.id = '<your_compartment_ocid>'}
```
Cliquez sur Créer.

Créer une stratégie IAM pour l'accès à Vault

Connectez-vous à la console Oracle Cloud.
Accédez à Identité et sécurité> Identité> Règles.
Sélectionnez le compartiment dans lequel vous souhaitez créer la règle.
Cliquez sur Créer une règle.
Fournissez les informations de configuration suivantes :
- Nom : oci-functions-vault-access-policy
- Description : Autoriser les fonctions OCI à lire les secrets de Vault
- Créateur de règles : activez l'option Afficher l'éditeur manuel.
- Déclarations de stratégie : saisissez les informations suivantes (remplacez <compartment_name> par le nom de votre compartiment) :
```
allow dynamic-group oci-functions-dynamic-group to manage secret-family in compartment <compartment_name>
```
Cliquez sur Créer.

Créer une application de fonction OCI

Connectez-vous à la console Oracle Cloud.
Accédez à Services pour les développeurs > Applications (sous "Fonctions").
Cliquez sur Créer une application.
Fournissez les informations de configuration suivantes :
- Name (Nom) : saisissez un nom (par exemple, oci-logs-to-s3-app).
- VCN : sélectionnez un VCN dans votre compartiment.
- Sous-réseaux : sélectionnez un ou plusieurs sous-réseaux.
Cliquez sur Créer.

Créer et déployer la fonction OCI

Configurer Cloud Shell (recommandé)

Dans la console Oracle Cloud, cliquez sur l'icône Cloud Shell en haut à droite.
Attendez que Cloud Shell s'initialise.

Créer la fonction

Dans Cloud Shell, créez un répertoire pour votre fonction :
```
mkdir pushlogs
cd pushlogs
```
Initialisez une fonction Python :
```
fn init --runtime python
```
Trois fichiers sont alors créés : func.py, func.yaml et requirements.txt.

Mettre à jour func.py

Remplacez le contenu de func.py par le code suivant :

import io
import json
import logging
import boto3
import oci
import base64
import os
from fdk import response

def handler(ctx, data: io.BytesIO = None):
    """
    OCI Function to push audit logs from OCI Logging to AWS S3
    """
    try:
        # Parse incoming log data from Service Connector
        funDataStr = data.read().decode('utf-8')
        funData = json.loads(funDataStr)

        logging.getLogger().info(f"Received {len(funData)} log entries")

        # Replace these with your actual OCI Vault secret OCIDs
        secret_key_id = "ocid1.vaultsecret.oc1..<your_secret_key_ocid>"
        access_key_id = "ocid1.vaultsecret.oc1..<your_access_key_ocid>"

        # Replace with your S3 bucket name
        s3_bucket_name = "oci-audit-logs-bucket"

        # Use Resource Principals for OCI authentication
        signer = oci.auth.signers.get_resource_principals_signer()
        secret_client = oci.secrets.SecretsClient({}, signer=signer)

        def read_secret_value(secret_client, secret_id):
            """Retrieve and decode secret value from OCI Vault"""
            response = secret_client.get_secret_bundle(secret_id)
            base64_secret_content = response.data.secret_bundle_content.content
            base64_secret_bytes = base64_secret_content.encode('ascii')
            base64_message_bytes = base64.b64decode(base64_secret_bytes)
            secret_content = base64_message_bytes.decode('ascii')
            return secret_content

        # Retrieve AWS credentials from OCI Vault
        awsaccesskey = read_secret_value(secret_client, access_key_id)
        awssecretkey = read_secret_value(secret_client, secret_key_id)

        # Initialize boto3 session with AWS credentials
        session = boto3.Session(
            aws_access_key_id=awsaccesskey,
            aws_secret_access_key=awssecretkey
        )
        s3 = session.resource('s3')

        # Process each log entry
        for i in range(0, len(funData)):
            # Use timestamp as filename
            filename = funData[i].get('time', f'log_{i}')
            # Remove special characters from filename
            filename = filename.replace(':', '-').replace('.', '-')

            logging.getLogger().info(f"Processing log entry: {filename}")

            # Write log entry to temporary file
            temp_file = f'/tmp/{filename}.json'
            with open(temp_file, 'w', encoding='utf-8') as f:
                json.dump(funData[i], f, ensure_ascii=False, indent=4)

            # Upload to S3
            s3_key = f'{filename}.json'
            s3.meta.client.upload_file(
                Filename=temp_file,
                Bucket=s3_bucket_name,
                Key=s3_key
            )

            logging.getLogger().info(f"Uploaded {s3_key} to S3 bucket {s3_bucket_name}")

            # Clean up temporary file
            os.remove(temp_file)

        return response.Response(
            ctx,
            response_data=json.dumps({
                "status": "success",
                "processed_logs": len(funData)
            }),
            headers={"Content-Type": "application/json"}
        )

    except Exception as e:
        logging.getLogger().error(f"Error processing logs: {str(e)}")
        return response.Response(
            ctx,
            response_data=json.dumps({
                "status": "error",
                "message": str(e)
            }),
            headers={"Content-Type": "application/json"},
            status_code=500
        )

Remplacez secret_key_id par l'OCID secret de votre coffre pour la clé secrète AWS.
Remplacez access_key_id par l'OCID secret du coffre pour la clé d'accès AWS.
Remplacez s3_bucket_name par le nom de votre bucket S3.

Mettre à jour func.yaml

Remplacez le contenu de func.yaml par :

  schema_version: 20180708
  name: pushlogs
  version: 0.0.1
  runtime: python
  build_image: fnproject/python:3.9-dev
  run_image: fnproject/python:3.9
  entrypoint: /python/bin/fdk /function/func.py handler
  memory: 256

Mettre à jour le fichier requirements.txt

Remplacez le contenu de requirements.txt par :
```
fdk>=0.1.56
boto3
oci
```

Déployer la fonction

Définissez le contexte Fn pour utiliser votre application :

fn use context <region-context>
fn update context oracle.compartment-id <compartment-ocid>

Déployez la fonction :
```
fn -v deploy --app oci-logs-to-s3-app
```
Attendez la fin du déploiement. Le résultat qui s'affiche doit indiquer que la fonction a bien été déployée.
Vérifiez que la fonction a été créée :
```
fn list functions oci-logs-to-s3-app
```

Créer un connecteur de service pour envoyer les journaux d'audit OCI à la fonction

Connectez-vous à la console Oracle Cloud.
Accédez à Analytics et IA > Messagerie > Service Connector Hub.
Sélectionnez le compartiment dans lequel vous souhaitez créer le connecteur de service.
Cliquez sur Créer un connecteur de service.

Configurer les détails du connecteur de service

Fournissez les informations de configuration suivantes :

Informations sur le connecteur de service : * Nom du connecteur : saisissez un nom descriptif (par exemple, audit-logs-to-s3-connector). * Description : description facultative (par exemple, "Transférer les journaux d'audit OCI vers AWS S3"). * Compartiment de ressources : sélectionnez le compartiment.

Configurer la source

Sous Configurer la source :
- Source : sélectionnez Journalisation.
- Compartiment : sélectionnez le compartiment contenant les journaux d'audit.
- Groupe de journaux : sélectionnez _Audit (il s'agit du groupe de journaux par défaut pour les journaux d'audit).
- Journaux : cliquez sur + Autre journal.
- Sélectionnez le journal d'audit de votre compartiment (par exemple, _Audit_Include_Subcompartment).

Configurer la cible

Sous Configurer la cible :
- Cible : sélectionnez Fonctions.
- Compartiment : sélectionnez le compartiment contenant l'application de votre fonction.
- Application de fonction : sélectionnez oci-logs-to-s3-app (l'application que vous avez créée précédemment).
- Fonction : sélectionnez pushlogs (la fonction que vous avez déployée).

Configurer la stratégie

Sous Configurer la stratégie :
- Examinez les instructions de stratégie IAM requises qui s'affichent.
- Cliquez sur Créer pour créer automatiquement les règles requises.
Remarque : Le système créera les stratégies IAM nécessaires pour permettre au connecteur de service d'appeler votre fonction.
Cliquez sur Créer pour créer le connecteur de service.
Attendez que le connecteur de service soit créé et activé. L'état doit passer à Actif.

Vérifier que les journaux sont transférés vers AWS S3

Connectez-vous à la console Oracle Cloud.
Effectuez des actions qui génèrent des journaux d'audit (par exemple, créez ou modifiez une ressource).
Attendez deux à cinq minutes que les journaux soient traités.
Connectez-vous à l'AWS Management Console.
Accédez à S3 > Buckets.
Cliquez sur votre bucket (par exemple, oci-audit-logs-bucket).
Vérifiez que les fichiers journaux JSON s'affichent dans le bucket.

Remarque : Chaque fichier journal est nommé avec un horodatage au format YYYY-MM-DDTHH-MM-SS-ms.json.

Configurer un bucket AWS S3 et IAM pour Google SecOps

Créer un utilisateur IAM pour Chronicle

Connectez-vous à l'AWS Management Console.
Accédez à IAM > Utilisateurs > Ajouter des utilisateurs.
Fournissez les informations de configuration suivantes :
- Nom d'utilisateur : saisissez chronicle-s3-reader.
- Type d'accès : sélectionnez Clé d'accès – Accès programmatique.
Cliquez sur Next: Permissions (Suivant : Autorisations).
Cliquez sur Attach existing policies directly (Joindre directement des règles existantes).
Recherchez et sélectionnez la stratégie AmazonS3ReadOnlyAccess.
Cliquez sur Next: Tags (Suivant : Tags).
Cliquez sur Suivant : Relire.
Cliquez sur Créer un utilisateur.
Cliquez sur Télécharger le fichier CSV pour enregistrer l'ID de clé d'accès et la clé d'accès secrète.
Cliquez sur Fermer.

Facultatif : Créez une stratégie IAM personnalisée pour un accès avec le minimum de privilèges

Si vous souhaitez limiter l'accès à un bucket spécifique :

Accédez à IAM > Stratégies > Créer une stratégie.
Cliquez sur l'onglet JSON.

Saisissez la règle suivante :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::oci-audit-logs-bucket",
        "arn:aws:s3:::oci-audit-logs-bucket/*"
      ]
    }
  ]
}

Remplacez oci-audit-logs-bucket par le nom de votre bucket.

Cliquez sur Next: Tags (Suivant : Tags).
Cliquez sur Suivant : Relire.
Fournissez les informations de configuration suivantes :
- Nom : chronicle-s3-read-policy
- Description : accès en lecture seule au bucket de journaux d'audit OCI
Cliquez sur Créer une règle.
Revenez à IAM > Utilisateurs et sélectionnez l'utilisateur chronicle-s3-reader.
Cliquez sur Ajouter des autorisations> Joindre directement des règles.
Recherchez et sélectionnez chronicle-s3-read-policy.
Supprimez la règle AmazonS3ReadOnlyAccess si vous l'avez ajoutée précédemment.
Cliquez sur Ajouter des autorisations.

Configurer un flux dans Google SecOps pour ingérer les journaux d'audit Oracle Cloud

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Oracle Cloud Audit Logs).
Sélectionnez Amazon S3 V2 comme type de source.
Sélectionnez Oracle Cloud Infrastructure comme Type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- URI S3 : saisissez l'URI du bucket S3 (par exemple, s3://oci-audit-logs-bucket/).
- Option de suppression de la source : sélectionnez l'option de suppression de votre choix :
  - Jamais : recommandé pour les tests et la configuration initiale.
  - Supprimer les fichiers transférés : supprime les fichiers après leur ingestion réussie (à utiliser en production pour gérer les coûts de stockage).
- Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
- ID de clé d'accès : saisissez l'ID de clé d'accès de l'utilisateur Chronicle IAM que vous avez créé.
- Clé d'accès secrète : saisissez la clé d'accès secrète de l'utilisateur IAM Chronicle que vous avez créé.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`data.request.headers.authorization.0`	`event.idm.read_only_udm.additional.fields`	Valeur extraite de `data.request.headers.authorization.0` et ajoutée en tant que paire clé-valeur où la clé est "Request Headers Authorization".
`data.compartmentId`	`event.idm.read_only_udm.additional.fields`	Valeur extraite de `data.compartmentId` et ajoutée en tant que paire clé-valeur où la clé est "compartmentId".
`data.compartmentName`	`event.idm.read_only_udm.additional.fields`	Valeur extraite de `data.compartmentName` et ajoutée en tant que paire clé-valeur où la clé est "compartmentName".
`data.response.headers.Content-Length.0`	`event.idm.read_only_udm.additional.fields`	Valeur extraite de `data.response.headers.Content-Length.0` et ajoutée en tant que paire clé-valeur où la clé est "Response Headers Content-Length".
`data.response.headers.Content-Type.0`	`event.idm.read_only_udm.additional.fields`	Valeur extraite de `data.response.headers.Content-Type.0` et ajoutée en tant que paire clé-valeur où la clé est "Response Headers Content-Type".
`data.eventGroupingId`	`event.idm.read_only_udm.additional.fields`	Valeur extraite de `data.eventGroupingId` et ajoutée en tant que paire clé-valeur où la clé est "eventGroupingId".
`oracle.tenantid`, `data.identity.tenantId`	`event.idm.read_only_udm.additional.fields`	La valeur est extraite de `oracle.tenantid` si elle est présente, sinon de `data.identity.tenantId`. Elle est ajoutée en tant que paire clé-valeur où la clé est "tenantId".
`data.message`	`event.idm.read_only_udm.metadata.description`	Valeur extraite de `data.message`.
`time`	`event.idm.read_only_udm.metadata.event_timestamp`	Valeur extraite de `time` et analysée en tant que code temporel ISO8601.
	`event.idm.read_only_udm.metadata.event_type`	Défini sur `GENERIC_EVENT` par défaut. Définissez sur `NETWORK_CONNECTION` si un principal (adresse IP ou nom d'hôte) et une adresse IP cible sont présents. Définissez sur `STATUS_UPDATE` si seul un principal est présent.
`time`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Si `oracle.ingestedtime` n'est pas vide, la valeur est extraite du champ `time` et analysée en tant qu'horodatage ISO8601.
`oracle.tenantid`	`event.idm.read_only_udm.metadata.product_deployment_id`	Valeur extraite de `oracle.tenantid`.
`type`	`event.idm.read_only_udm.metadata.product_event_type`	Valeur extraite de `type`.
`oracle.logid`	`event.idm.read_only_udm.metadata.product_log_id`	Valeur extraite de `oracle.logid`.
`specversion`	`event.idm.read_only_udm.metadata.product_version`	Valeur extraite de `specversion`.
`data.request.action`	`event.idm.read_only_udm.network.http.method`	Valeur extraite de `data.request.action`.
`data.identity.userAgent`	`event.idm.read_only_udm.network.http.parsed_user_agent`	Valeur extraite de `data.identity.userAgent` et analysée.
`data.response.status`	`event.idm.read_only_udm.network.http.response_code`	Valeur extraite de `data.response.status` et convertie en nombre entier.
`data.protocol`	`event.idm.read_only_udm.network.ip_protocol`	La valeur numérique de `data.protocol` est convertie en sa représentation sous forme de chaîne (par exemple, 6 devient "TCP", 17 devient "UDP").
`data.bytesOut`	`event.idm.read_only_udm.network.sent_bytes`	Valeur extraite de `data.bytesOut` et convertie en entier non signé.
`data.packets`	`event.idm.read_only_udm.network.sent_packets`	Valeur extraite de `data.packets` et convertie en nombre entier.
`data.identity.consoleSessionId`	`event.idm.read_only_udm.network.session_id`	Valeur extraite de `data.identity.consoleSessionId`.
`id`	`event.idm.read_only_udm.principal.asset.product_object_id`	Valeur extraite de `id`.
`source`	`event.idm.read_only_udm.principal.hostname`	Valeur extraite de `source`.
`data.sourceAddress`, `data.identity.ipAddress`	`event.idm.read_only_udm.principal.ip`	Les valeurs de `data.sourceAddress` et `data.identity.ipAddress` sont fusionnées dans ce champ.
`data.sourcePort`	`event.idm.read_only_udm.principal.port`	Valeur extraite de `data.sourcePort` et convertie en nombre entier.
`data.request.headers.X-Forwarded-For.0`	`event.idm.read_only_udm.principal.resource.attribute.labels`	Valeur extraite de `data.request.headers.X-Forwarded-For.0` et ajoutée en tant que paire clé-valeur où la clé est "x forward".
`oracle.compartmentid`	`event.idm.read_only_udm.principal.resource.attribute.labels`	Valeur extraite de `oracle.compartmentid` et ajoutée en tant que paire clé-valeur où la clé est "compartmentid".
`oracle.loggroupid`	`event.idm.read_only_udm.principal.resource.attribute.labels`	Valeur extraite de `oracle.loggroupid` et ajoutée en tant que paire clé-valeur où la clé est "loggroupid".
`oracle.vniccompartmentocid`	`event.idm.read_only_udm.principal.resource.attribute.labels`	Valeur extraite de `oracle.vniccompartmentocid` et ajoutée en tant que paire clé-valeur où la clé est "vniccompartmentocid".
`oracle.vnicocid`	`event.idm.read_only_udm.principal.resource.attribute.labels`	Valeur extraite de `oracle.vnicocid` et ajoutée en tant que paire clé-valeur où la clé est "vnicocid".
`oracle.vnicsubnetocid`	`event.idm.read_only_udm.principal.resource.attribute.labels`	Valeur extraite de `oracle.vnicsubnetocid` et ajoutée en tant que paire clé-valeur où la clé est "vnicsubnetocid".
`data.flowid`	`event.idm.read_only_udm.principal.resource.product_object_id`	Valeur extraite de `data.flowid`.
`data.identity.credentials`	`event.idm.read_only_udm.principal.user.attribute.labels`	Valeur extraite de `data.identity.credentials` et ajoutée en tant que paire clé-valeur où la clé est "credentials".
`data.identity.principalName`	`event.idm.read_only_udm.principal.user.user_display_name`	Valeur extraite de `data.identity.principalName`.
`data.identity.principalId`	`event.idm.read_only_udm.principal.user.userid`	Valeur extraite de `data.identity.principalId`.
`data.action`	`event.idm.read_only_udm.security_result.action`	Défini sur `UNKNOWN_ACTION` par défaut. Si `data.action` est défini sur "REJECT", ce paramètre est défini sur `BLOCK`. Si `data.action` est défini sur "ACCEPT", la valeur est définie sur `ALLOW`.
`data.endTime`	`event.idm.read_only_udm.security_result.detection_fields`	Valeur extraite de `data.endTime` et ajoutée en tant que paire clé-valeur où la clé est "endTime".
`data.startTime`	`event.idm.read_only_udm.security_result.detection_fields`	Valeur extraite de `data.startTime` et ajoutée en tant que paire clé-valeur où la clé est "startTime".
`data.status`	`event.idm.read_only_udm.security_result.detection_fields`	Valeur extraite de `data.status` et ajoutée en tant que paire clé-valeur où la clé est "status".
`data.version`	`event.idm.read_only_udm.security_result.detection_fields`	Valeur extraite de `data.version` et ajoutée en tant que paire clé-valeur où la clé est "version".
`data.destinationAddress`	`event.idm.read_only_udm.target.ip`	Valeur extraite de `data.destinationAddress`.
`data.destinationPort`	`event.idm.read_only_udm.target.port`	Valeur extraite de `data.destinationPort` et convertie en nombre entier.
`data.request.path`	`event.idm.read_only_udm.target.url`	Valeur extraite de `data.request.path`.
	`event.idm.read_only_udm.metadata.product_name`	Définissez-le sur "ORACLE CLOUD AUDIT".
	`event.idm.read_only_udm.metadata.vendor_name`	Définissez-le sur "ORACLE".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.