SailPoint IAM-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie SailPoint IAM-Logs mit Google Cloud Storage in Google Security Operations aufnehmen. SailPoint Identity Security Cloud bietet Funktionen für die Identitätsverwaltung und ‑administration, mit denen Nutzerzugriff, Compliance und Sicherheit in Unternehmensanwendungen verwaltet werden können.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Ein GCP-Projekt mit aktivierter Cloud Storage API
  • Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
  • Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
  • Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
  • Privilegierter Zugriff auf den SailPoint Identity Security Cloud-Mandanten oder die API

Google Cloud Storage-Bucket erstellen

  1. Rufen Sie die Google Cloud Console auf.
  2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
  3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
  4. Klicken Sie auf Bucket erstellen.

  5. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. sailpoint-iam-logs.
    Standorttyp Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
    Standort Wählen Sie den Speicherort aus, z. B. us-central1.
    Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
    Zugriffssteuerung Einheitlich (empfohlen)
    Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

  6. Klicken Sie auf Erstellen.

Anmeldedaten für die SailPoint Identity Security Cloud API erfassen

  1. Melden Sie sich als Administrator in der SailPoint Identity Security Cloud Admin Console an.
  2. Gehen Sie zu Admin > „Global“ > „Sicherheitseinstellungen“ > „API-Verwaltung“.
  3. Klicken Sie auf API-Client erstellen.
  4. Wählen Sie Clientanmeldedaten als Grant-Typ aus.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Chronicle Export API.
    • Beschreibung: Geben Sie eine Beschreibung für den API-Client ein.
    • Bereiche: Wählen Sie sp:scopes:all (oder die entsprechenden Lesebereiche für Audit-Ereignisse) aus.
  6. Klicken Sie auf Erstellen und kopieren Sie die generierten API-Anmeldedaten sicher.
  7. Notieren Sie die Basis-URL Ihres SailPoint-Mandanten (z. B. https://tenant.api.identitynow.com).

  8. Kopieren Sie die folgenden Details und speichern Sie sie an einem sicheren Ort:

    • IDN_CLIENT_ID
    • IDN_CLIENT_SECRET
    • IDN_BASE

API-Zugriff testen

  • Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

    # Replace with your actual credentials
IDN_CLIENT_ID="your-client-id"
IDN_CLIENT_SECRET="your-client-secret"
IDN_BASE="https://tenant.api.identitynow.com"

# Get OAuth token
TOKEN=$(curl -s -X POST "${IDN_BASE}/oauth/token" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=client_credentials&client_id=${IDN_CLIENT_ID}&client_secret=${IDN_CLIENT_SECRET}&scope=sp:scopes:all" | jq -r '.access_token')

# Test API access
curl -v -H "Authorization: Bearer ${TOKEN}" "${IDN_BASE}/v3/search" \
  -H "Content-Type: application/json" \
  -d '{"indices":["events"],"query":{"query":"*"},"limit":1}'

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket.

Dienstkonto erstellen

  1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
  2. Klicken Sie auf Dienstkonto erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Name des Dienstkontos: Geben Sie sailpoint-iam-collector-sa ein.
    • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect SailPoint IAM logs ein.
  4. Klicken Sie auf Erstellen und fortfahren.
  5. Im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen:
    1. Klicken Sie auf Rolle auswählen.
    2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
    3. Klicken Sie auf + Weitere Rolle hinzufügen.
    4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
    5. Klicken Sie auf + Weitere Rolle hinzufügen.
    6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
  6. Klicken Sie auf Weiter.
  7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

  • Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
  • Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
  • Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
  6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

  1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
  2. Klicken Sie auf Thema erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Themen-ID: Geben Sie sailpoint-iam-trigger ein.
    • Übernehmen Sie die anderen Einstellungen.
  4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der SailPoint Identity Security Cloud API abzurufen und in GCS zu schreiben.

  1. Rufen Sie in der GCP Console Cloud Run auf.
  2. Klicken Sie auf Dienst erstellen.
  3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

  4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Dienstname sailpoint-iam-collector
    Region Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
    Laufzeit Wählen Sie Python 3.12 oder höher aus.

  5. Im Abschnitt Trigger (optional):

    1. Klicken Sie auf + Trigger hinzufügen.
    2. Wählen Sie Cloud Pub/Sub aus.
    3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Pub/Sub-Thema (sailpoint-iam-trigger) aus.
    4. Klicken Sie auf Speichern.

  6. Im Abschnitt Authentifizierung:

    1. Wählen Sie Authentifizierung erforderlich aus.
    2. Identitäts- und Zugriffsverwaltung

  7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

  8. Rufen Sie den Tab Sicherheit auf:

    • Dienstkonto: Wählen Sie das Dienstkonto aus (sailpoint-iam-collector-sa).

  9. Rufen Sie den Tab Container auf:

    1. Klicken Sie auf Variablen und Secrets.
    2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:
    Variablenname Beispielwert
    GCS_BUCKET sailpoint-iam-logs
    GCS_PREFIX sailpoint/iam/
    STATE_KEY sailpoint/iam/state.json
    WINDOW_SECONDS 3600
    HTTP_TIMEOUT 60
    MAX_RETRIES 3
    USER_AGENT sailpoint-iam-to-gcs/1.0
    IDN_BASE https://tenant.api.identitynow.com
    IDN_CLIENT_ID your-client-id
    IDN_CLIENT_SECRET your-client-secret
    IDN_SCOPE sp:scopes:all
    PAGE_SIZE 250
    MAX_PAGES 20

  10. Scrollen Sie auf dem Tab Variablen und Secrets nach unten zu Anfragen:

    • Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.

  11. Rufen Sie den Tab Einstellungen unter Container auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.
    • Klicken Sie auf Fertig.

  12. Scrollen Sie nach unten zu Ausführungsumgebung:

    • Wählen Sie Standard aus (empfohlen).

  13. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

  14. Klicken Sie auf Erstellen.

  15. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

  16. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

  1. Geben Sie main unter Funktionseinstiegspunkt ein.

  2. Erstellen Sie im Inline-Codeeditor zwei Dateien:

    • Erste Datei: main.py::
     import functions_framework
 from google.cloud import storage
 import json
 import os
 import urllib3
 from datetime import datetime, timezone
 import time
 import uuid

 # Initialize HTTP client
 http = urllib3.PoolManager()

 # Initialize Storage client
 storage_client = storage.Client()

 # Get environment variables
 GCS_BUCKET = os.environ.get('GCS_BUCKET')
 GCS_PREFIX = os.environ.get('GCS_PREFIX', 'sailpoint/iam/')
 STATE_KEY = os.environ.get('STATE_KEY', 'sailpoint/iam/state.json')
 WINDOW_SEC = int(os.environ.get('WINDOW_SECONDS', '3600'))
 HTTP_TIMEOUT = int(os.environ.get('HTTP_TIMEOUT', '60'))
 IDN_BASE = os.environ.get('IDN_BASE')
 CLIENT_ID = os.environ.get('IDN_CLIENT_ID')
 CLIENT_SECRET = os.environ.get('IDN_CLIENT_SECRET')
 SCOPE = os.environ.get('IDN_SCOPE', 'sp:scopes:all')
 PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '250'))
 MAX_PAGES = int(os.environ.get('MAX_PAGES', '20'))
 MAX_RETRIES = int(os.environ.get('MAX_RETRIES', '3'))
 USER_AGENT = os.environ.get('USER_AGENT', 'sailpoint-iam-to-gcs/1.0')

 def _load_state(bucket):
     """Load state from GCS."""
     try:
         blob = bucket.blob(STATE_KEY)
         if blob.exists():
             state_data = blob.download_as_text()
             return json.loads(state_data)
     except Exception as e:
         print(f'Warning: Could not load state: {str(e)}')
     return {}

 def _save_state(bucket, st):
     """Save state to GCS."""
     try:
         blob = bucket.blob(STATE_KEY)
         blob.upload_from_string(
             json.dumps(st, separators=(',', ':')),
             content_type='application/json'
         )
     except Exception as e:
         print(f'Warning: Could not save state: {str(e)}')

 def _iso(ts):
     """Convert timestamp to ISO format."""
     return time.strftime('%Y-%m-%dT%H:%M:%SZ', time.gmtime(ts))

 def _get_oauth_token():
     """Get OAuth2 access token using Client Credentials flow."""
     token_url = f"{IDN_BASE.rstrip('/')}/oauth/token"

     fields = {
         'grant_type': 'client_credentials',
         'client_id': CLIENT_ID,
         'client_secret': CLIENT_SECRET,
         'scope': SCOPE
     }

     headers = {
         'Content-Type': 'application/x-www-form-urlencoded',
         'User-Agent': USER_AGENT
     }

     response = http.request(
         'POST',
         token_url,
         fields=fields,
         headers=headers,
         timeout=HTTP_TIMEOUT
     )

     token_data = json.loads(response.data.decode('utf-8'))
     return token_data['access_token']

 def _search_events(access_token, created_from, search_after=None):
     """Search for audit events using SailPoint's /v3/search API.

     IMPORTANT: SailPoint requires colons in ISO8601 timestamps to be escaped with backslashes.
     Example: 2024-01-15T10:30:00Z must be sent as 2024-01-15T10\\:30\\:00Z

     For more information, see:
     - https://developer.sailpoint.com/docs/api/standard-collection-parameters/
     - https://developer.sailpoint.com/docs/api/v3/search-post/
     """
     search_url = f"{IDN_BASE.rstrip('/')}/v3/search"

     # Escape colons in timestamp for SailPoint search query
     escaped_timestamp = created_from.replace(':', '\\:')
     query_str = f'created:>={escaped_timestamp}'

     payload = {
         'indices': ['events'],
         'query': {
             'query': query_str
         },
         'sort': ['created', '+id'],
         'limit': PAGE_SIZE
     }

     if search_after:
         payload['searchAfter'] = search_after

     attempt = 0
     while True:
         headers = {
             'Content-Type': 'application/json',
             'Accept': 'application/json',
             'Authorization': f'Bearer {access_token}',
             'User-Agent': USER_AGENT
         }

         try:
             response = http.request(
                 'POST',
                 search_url,
                 body=json.dumps(payload).encode('utf-8'),
                 headers=headers,
                 timeout=HTTP_TIMEOUT
             )

             response_data = json.loads(response.data.decode('utf-8'))

             # Handle different response formats
             if isinstance(response_data, list):
                 return response_data
             return response_data.get('results', response_data.get('data', []))

         except Exception as e:
             attempt += 1
             print(f'HTTP error on attempt {attempt}: {e}')
             if attempt > MAX_RETRIES:
                 raise
             # Exponential backoff with jitter
             time.sleep(min(60, 2 ** attempt) + (time.time() % 1))

 def _put_events_data(bucket, events, from_ts, to_ts, page_num):
     """Write events to GCS in JSONL format (one JSON object per line)."""
     # Create unique GCS key for events data
     ts_path = time.strftime('%Y/%m/%d', time.gmtime(to_ts))
     uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}"
     key = f"{GCS_PREFIX}{ts_path}/sailpoint_iam_{int(from_ts)}_{int(to_ts)}_p{page_num:03d}_{uniq}.jsonl"

     # Convert events list to JSONL format (one JSON object per line)
     jsonl_lines = [json.dumps(event, separators=(',', ':')) for event in events]
     jsonl_content = '\n'.join(jsonl_lines)

     blob = bucket.blob(key)
     blob.metadata = {
         'source': 'sailpoint-iam',
         'from_timestamp': str(int(from_ts)),
         'to_timestamp': str(int(to_ts)),
         'page_number': str(page_num),
         'events_count': str(len(events)),
         'format': 'jsonl'
     }
     blob.upload_from_string(
         jsonl_content,
         content_type='application/x-ndjson'
     )

     return key

 def _get_item_id(item):
     """Extract ID from event item, trying multiple possible fields."""
     for field in ('id', 'uuid', 'eventId', '_id'):
         if field in item and item[field]:
             return str(item[field])
     return ''

 @functions_framework.cloud_event
 def main(cloud_event):
     """
     Cloud Run function triggered by Pub/Sub to fetch SailPoint IAM logs and write to GCS.

     Args:
         cloud_event: CloudEvent object containing Pub/Sub message
     """

     if not all([GCS_BUCKET, IDN_BASE, CLIENT_ID, CLIENT_SECRET]):
         print('Error: Missing required environment variables')
         return

     try:
         bucket = storage_client.bucket(GCS_BUCKET)

         st = _load_state(bucket)
         now = time.time()
         from_ts = float(st.get('last_to_ts') or (now - WINDOW_SEC))
         to_ts = now

         # Get OAuth token
         access_token = _get_oauth_token()

         created_from = _iso(from_ts)
         print(f'Fetching SailPoint IAM events from: {created_from}')

         # Handle pagination state
         last_created = st.get('last_created')
         last_id = st.get('last_id')
         search_after = [last_created, last_id] if (last_created and last_id) else None

         pages = 0
         total_events = 0
         written_keys = []
         newest_created = last_created or created_from
         newest_id = last_id or ''

         while pages < MAX_PAGES:
             events = _search_events(access_token, created_from, search_after)
             if not events:
                 break

             # Write page to GCS in JSONL format
             key = _put_events_data(bucket, events, from_ts, to_ts, pages + 1)
             written_keys.append(key)
             total_events += len(events)

             # Update pagination state from last item
             last_event = events[-1]
             last_event_created = last_event.get('created') or last_event.get('metadata', {}).get('created')
             last_event_id = _get_item_id(last_event)

             if last_event_created:
                 newest_created = last_event_created
             if last_event_id:
                 newest_id = last_event_id

             search_after = [newest_created, newest_id]
             pages += 1

             # If we got less than page size, we're done
             if len(events) < PAGE_SIZE:
                 break

         print(f'Successfully retrieved {total_events} events across {pages} pages')

         # Save state for next run
         st['last_to_ts'] = to_ts
         st['last_created'] = newest_created
         st['last_id'] = newest_id
         st['last_successful_run'] = now
         _save_state(bucket, st)

         print(f'Wrote {len(written_keys)} files to GCS')

     except Exception as e:
         print(f'Error processing logs: {str(e)}')
         raise
    • Zweite Datei: requirements.txt::
     functions-framework==3.*
 google-cloud-storage==2.*
 urllib3>=2.0.0
 ```

  3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

  4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

  1. Rufen Sie in der GCP Console Cloud Scheduler auf.
  2. Klicken Sie auf Job erstellen.

  3. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Name sailpoint-iam-collector-hourly
    Region Dieselbe Region wie für die Cloud Run-Funktion auswählen
    Frequenz 0 * * * * (jede Stunde, zur vollen Stunde)
    Zeitzone Zeitzone auswählen (UTC empfohlen)
    Zieltyp Pub/Sub
    Thema Wählen Sie das Pub/Sub-Thema aus (sailpoint-iam-trigger).
    Nachrichtentext {} (leeres JSON-Objekt)

  4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

  • Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

    Häufigkeit Cron-Ausdruck Anwendungsfall
    Alle 5 Minuten */5 * * * * Hohes Volumen, niedrige Latenz
    Alle 15 Minuten */15 * * * * Mittleres Suchvolumen
    Stündlich 0 * * * * Standard (empfohlen)
    Alle 6 Stunden 0 */6 * * * Geringes Volumen, Batchverarbeitung
    Täglich 0 0 * * * Erhebung von Verlaufsdaten

Scheduler-Job testen

  1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
  2. Klicken Sie auf Force run (Ausführung erzwingen), um die Ausführung manuell auszulösen.
  3. Warten Sie einige Sekunden und rufen Sie Cloud Run > Dienste > sailpoint-iam-collector > Logs auf.
  4. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde.
  5. Prüfen Sie im GCS-Bucket, ob Logs geschrieben wurden.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. SailPoint IAM logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie SailPoint IAM als Logtyp aus.

  7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

  6. Klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um SailPoint-IAM-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. SailPoint IAM logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie SailPoint IAM als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://sailpoint-iam-logs/sailpoint/iam/

      • Ersetzen Sie:

        • sailpoint-iam-logs: Der Name Ihres GCS-Buckets.
        • sailpoint/iam/: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden (für den Stamm leer lassen).

      • Beispiele:

        • Root-Bucket: gs://company-logs/
        • Mit Präfix: gs://company-logs/sailpoint-logs/
        • Mit Unterordner: gs://company-logs/sailpoint/iam/

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

      • Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.

      • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.

    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Aktion metadata.description Der Wert des Aktionsfelds aus dem Rohlog.
actor.name principal.user.user_display_name Der Wert des Felds „actor.name“ aus dem Rohlog.
attributes.accountName principal.user.group_identifiers Der Wert des Felds „attributes.accountName“ aus dem Rohlog.
attributes.appId target.asset_id „App-ID: “ gefolgt vom Wert des Felds „attributes.appId“ aus dem Rohlog.
attributes.attributeName additional.fields[0].value.string_value Der Wert des Felds „attributes.attributeName“ aus dem Rohlog, das in einem „additional.fields“-Objekt platziert wird. Der Schlüssel ist auf „Attributname“ festgelegt.
attributes.attributeValue additional.fields[1].value.string_value Der Wert des Felds „attributes.attributeValue“ aus dem Rohlog, das in einem „additional.fields“-Objekt platziert wird. Der Schlüssel ist auf „Attributwert“ festgelegt.
attributes.cloudAppName target.application Der Wert des Felds „attributes.cloudAppName“ aus dem Rohlog.
attributes.hostName target.hostname, target.asset.hostname Der Wert des Felds „attributes.hostName“ aus dem Rohlog.
attributes.interface additional.fields[2].value.string_value Der Wert des Felds „attributes.interface“ aus dem Rohlog, das in einem „additional.fields“-Objekt platziert ist. Der Schlüssel ist auf „Interface“ gesetzt.
attributes.operation security_result.action_details Der Wert des Felds „attributes.operation“ aus dem Rohlog.
attributes.previousValue additional.fields[3].value.string_value Der Wert des Felds „attributes.previousValue“ aus dem Rohlog, das in einem „additional.fields“-Objekt platziert wird. Der Schlüssel ist auf „Previous Value“ (Vorheriger Wert) festgelegt.
attributes.provisioningResult security_result.detection_fields.value Der Wert des Felds „attributes.provisioningResult“ aus dem Rohlog, das sich in einem „security_result.detection_fields“-Objekt befindet. Der Schlüssel ist auf „Provisioning Result“ festgelegt.
attributes.sourceId principal.labels[0].value Der Wert des Felds „attributes.sourceId“ aus dem Rohlog, das sich in einem „principal.labels“-Objekt befindet. Der Schlüssel ist auf „Source Id“ (Quell-ID) festgelegt.
attributes.sourceName principal.labels[1].value Der Wert des Felds „attributes.sourceName“ aus dem Rohlog, das sich in einem „principal.labels“-Objekt befindet. Der Schlüssel ist auf „Quellname“ festgelegt.
auditClassName metadata.product_event_type Der Wert des Felds „auditClassName“ aus dem Rohlog.
erstellt metadata.event_timestamp.seconds, metadata.event_timestamp.nanos Der Wert des erstellten Felds aus dem Rohlog, in einen Zeitstempel umgewandelt, wenn „instant.epochSecond“ nicht vorhanden ist.
id metadata.product_log_id Der Wert des Felds „id“ aus dem Rohlog.
instant.epochSecond metadata.event_timestamp.seconds Der Wert des Felds „instant.epochSecond“ aus dem Rohlog, der für den Zeitstempel verwendet wird.
ipAddress principal.asset.ip, principal.ip Der Wert des Felds „ipAddress“ aus dem Rohlog.
Oberfläche additional.fields[0].value.string_value Der Wert des Felds „interface“ aus dem Rohlog, das in einem „additional.fields“-Objekt platziert wird. Der Schlüssel ist auf „interface“ gesetzt.
loggerName intermediary.application Der Wert des Felds „loggerName“ aus dem Rohlog.
Nachricht metadata.description, security_result.description Wird für verschiedene Zwecke verwendet, z. B. zum Festlegen der Beschreibung in Metadaten und security_result sowie zum Extrahieren von XML-Inhalten.
name security_result.description Der Wert des Felds „name“ aus dem Rohlog.
Vorgang target.resource.attribute.labels[0].value, metadata.product_event_type Der Wert des Vorgangsfelds aus dem Rohlog, das in einem „target.resource.attribute.labels“-Objekt platziert wird. Der Schlüssel ist auf „operation“ gesetzt. Wird auch für metadata.product_event_type verwendet.
Org principal.administrative_domain Der Wert des Felds „org“ aus dem Rohlog.
Pod principal.location.name Der Wert des Pod-Felds aus dem Rohlog.
referenceClass additional.fields[1].value.string_value Der Wert des Felds „referenceClass“ aus dem Rohlog, das sich in einem „additional.fields“-Objekt befindet. Der Schlüssel ist auf „referenceClass“ festgelegt.
referenceId additional.fields[2].value.string_value Der Wert des Felds „referenceId“ aus dem Rohlog, der in einem „additional.fields“-Objekt platziert wird. Der Schlüssel ist auf „referenceId“ festgelegt.
sailPointObjectName additional.fields[3].value.string_value Der Wert des Felds „sailPointObjectName“ aus dem Rohlog, das in einem „additional.fields“-Objekt platziert wird. Der Schlüssel ist auf „sailPointObjectName“ gesetzt.
serverHost principal.hostname, principal.asset.hostname Der Wert des Felds „serverHost“ aus dem Rohlog.
Stapel additional.fields[4].value.string_value Der Wert des Stapelfelds aus dem Rohlog, der in einem „additional.fields“-Objekt platziert wird. Der Schlüssel ist auf „Stack“ gesetzt.
Status security_result.severity_details Der Wert des Statusfelds aus dem Rohlog.
Ziel additional.fields[4].value.string_value Der Wert des Zielfelds aus dem Rohlog, der in einem „additional.fields“-Objekt platziert wird. Der Schlüssel ist auf „target“ gesetzt.
target.name principal.user.userid Der Wert des Felds „target.name“ aus dem Rohlog.
technicalName security_result.summary Der Wert des Felds „technicalName“ aus dem Rohlog.
thrown.cause.message xml_body, detailed_message Der Wert des Felds „thrown.cause.message“ aus dem Rohlog, der zum Extrahieren von XML-Inhalten verwendet wird.
thrown.message xml_body, detailed_message Der Wert des Felds „thrown.message“ aus dem Rohlog, der zum Extrahieren von XML-Inhalten verwendet wird.
trackingNumber additional.fields[5].value.string_value Der Wert des Felds „trackingNumber“ aus dem Rohlog, der in einem „additional.fields“-Objekt platziert wird. Der Schlüssel ist auf „Tracking Number“ (Trackingnummer) festgelegt.
Typ metadata.product_event_type Der Wert des Typfelds aus dem Rohlog.
_version metadata.product_version Der Wert des Felds „_version“ aus dem Rohlog.
metadata.event_timestamp Abgeleitet von „instant.epochSecond“ oder erstellten Feldern.
metadata.event_type Wird von der Parserlogik anhand verschiedener Felder bestimmt, darunter „has_principal_user“, „has_target_application“, „technicalName“ und „action“. Der Standardwert ist „GENERIC_EVENT“.
metadata.log_type Legen Sie diesen Wert auf „SAILPOINT_IAM“ fest.
metadata.product_name Legen Sie diesen Wert auf „IAM“ fest.
metadata.vendor_name Legen Sie diesen Wert auf „SAILPOINT“ fest.
extensions.auth.type Unter bestimmten Bedingungen auf „AUTHTYPE_UNSPECIFIED“ gesetzt.
target.resource.attribute.labels[0].key Legen Sie diesen Wert auf „operation“ fest.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten