Recopila registros de IAM de SailPoint

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de IAM de SailPoint a Google Security Operations con Google Cloud Storage. SailPoint Identity Security Cloud proporciona funciones de administración y control de identidades para administrar el acceso de los usuarios, el cumplimiento y la seguridad en las aplicaciones empresariales.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Un proyecto de GCP con la API de Cloud Storage habilitada
Permisos para crear y administrar buckets de GCS
Permisos para administrar políticas de IAM en buckets de GCS
Permisos para crear servicios de Cloud Run, temas de Pub/Sub y trabajos de Cloud Scheduler
Acceso privilegiado al arrendatario o la API de SailPoint Identity Security Cloud

Crea un bucket de Google Cloud Storage

Ve a Google Cloud Console.
Selecciona tu proyecto o crea uno nuevo.
En el menú de navegación, ve a Cloud Storage > Buckets.
Haz clic en Crear bucket.

Proporciona los siguientes detalles de configuración:

Configuración	Valor
Asigna un nombre a tu bucket	Ingresa un nombre global único (por ejemplo, `sailpoint-iam-logs`).
Tipo de ubicación	Elige según tus necesidades (región, birregional, multirregional)
Ubicación	Selecciona la ubicación (por ejemplo, `us-central1`).
Clase de almacenamiento	Estándar (recomendado para los registros a los que se accede con frecuencia)
Control de acceso	Uniforme (recomendado)
Herramientas de protección	Opcional: Habilita el control de versiones de objetos o la política de retención

Haz clic en Crear.

Recopila las credenciales de la API de SailPoint Identity Security Cloud

Accede a la consola de administración de SailPoint Identity Security Cloud como administrador.
Ve a Administrador > Global > Configuración de seguridad > Administración de APIs.
Haz clic en Crear cliente de API.
Elige Client Credentials como el tipo de otorgamiento.
Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa un nombre descriptivo (por ejemplo, Chronicle Export API).
- Descripción: Ingresa una descripción para el cliente de API.
- Permisos: Selecciona sp:scopes:all (o los permisos de lectura adecuados para los eventos de auditoría).
Haz clic en Crear y copia las credenciales de la API generadas de forma segura.
Registra la URL base de tu arrendatario de SailPoint (por ejemplo, https://tenant.api.identitynow.com).
Copia y guarda en una ubicación segura los siguientes detalles:
- IDN_CLIENT_ID
- IDN_CLIENT_SECRET
- IDN_BASE
Nota: El cliente de OAuth debe configurarse con el tipo de otorgamiento CLIENT_CREDENTIALS. Algunas APIs de SailPoint siguen siendo solo para el contexto del usuario, incluso con el alcance sp:scopes:all. Para obtener más información, consulta la documentación de autenticación de SailPoint.

Prueba el acceso a la API

Prueba tus credenciales antes de continuar con la integración:

# Replace with your actual credentials
IDN_CLIENT_ID="your-client-id"
IDN_CLIENT_SECRET="your-client-secret"
IDN_BASE="https://tenant.api.identitynow.com"

# Get OAuth token
TOKEN=$(curl -s -X POST "${IDN_BASE}/oauth/token" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=client_credentials&client_id=${IDN_CLIENT_ID}&client_secret=${IDN_CLIENT_SECRET}&scope=sp:scopes:all" | jq -r '.access_token')

# Test API access
curl -v -H "Authorization: Bearer ${TOKEN}" "${IDN_BASE}/v3/search" \
  -H "Content-Type: application/json" \
  -d '{"indices":["events"],"query":{"query":"*"},"limit":1}'

Crea una cuenta de servicio para la Cloud Run Function

La Cloud Run Function necesita una cuenta de servicio con permisos para escribir en el bucket de GCS.

Crear cuenta de servicio

En GCP Console, ve a IAM y administración > Cuentas de servicio.
Haz clic en Crear cuenta de servicio.
Proporciona los siguientes detalles de configuración:
- Nombre de la cuenta de servicio: Ingresa sailpoint-iam-collector-sa.
- Descripción de la cuenta de servicio: Ingresa Service account for Cloud Run function to collect SailPoint IAM logs.
Haz clic en Crear y continuar.
En la sección Otorga a esta cuenta de servicio acceso al proyecto, haz lo siguiente:
1. Haz clic en Selecciona un rol.
2. Busca y selecciona Administrador de objetos de almacenamiento.
3. Haz clic en + Agregar otra función.
4. Busca y selecciona Invocador de Cloud Run.
5. Haz clic en + Agregar otra función.
6. Busca y selecciona Cloud Functions Invoker.
Haz clic en Continuar.
Haz clic en Listo.

Estos roles son necesarios para las siguientes acciones:

Administrador de objetos de almacenamiento: Escribe registros en el bucket de GCS y administra archivos de estado
Invocador de Cloud Run: Permite que Pub/Sub invoque la función
Cloud Functions Invoker: Permite la invocación de funciones

Otorga permisos de IAM en el bucket de GCS

Otorga permisos de escritura a la cuenta de servicio en el bucket de GCS:

Ve a Cloud Storage > Buckets.
Haz clic en el nombre de tu bucket.
Ve a la pestaña Permisos.
Haz clic en Otorgar acceso.
Proporciona los siguientes detalles de configuración:
- Agregar principales: Ingresa el correo electrónico de la cuenta de servicio.
- Asignar roles: Selecciona Administrador de objetos de Storage.
Haz clic en Guardar.

Crear tema de Pub/Sub

Crea un tema de Pub/Sub en el que Cloud Scheduler publicará y al que se suscribirá la función de Cloud Run.

En GCP Console, ve a Pub/Sub > Temas.
Haz clic en Crear un tema.
Proporciona los siguientes detalles de configuración:
- ID del tema: Ingresa sailpoint-iam-trigger.
- Deja el resto de la configuración con sus valores predeterminados.
Haz clic en Crear.

Crea una función de Cloud Run para recopilar registros

La función de Cloud Run se activa con mensajes de Pub/Sub de Cloud Scheduler para recuperar registros de la API de SailPoint Identity Security Cloud y escribirlos en GCS.

En GCP Console, ve a Cloud Run.
Haz clic en Crear servicio.
Selecciona Función (usa un editor intercalado para crear una función).

En la sección Configurar, proporciona los siguientes detalles de configuración:

Configuración	Valor
Nombre del servicio	`sailpoint-iam-collector`
Región	Selecciona la región que coincida con tu bucket de GCS (por ejemplo, `us-central1`).
Tiempo de ejecución	Selecciona Python 3.12 o una versión posterior.

En la sección Activador (opcional), haz lo siguiente:
1. Haz clic en + Agregar activador.
2. Selecciona Cloud Pub/Sub.
3. En Selecciona un tema de Cloud Pub/Sub, elige el tema de Pub/Sub (sailpoint-iam-trigger).
4. Haz clic en Guardar.
En la sección Autenticación, haz lo siguiente:
1. Selecciona Solicitar autenticación.
2. Verifica Identity and Access Management (IAM).
Nota: Pub/Sub controla automáticamente la autenticación cuando invoca la función.
Desplázate hacia abajo y expande Contenedores, redes y seguridad.
Ve a la pestaña Seguridad:
- Cuenta de servicio: Selecciona la cuenta de servicio (sailpoint-iam-collector-sa).

Ve a la pestaña Contenedores:

Haz clic en Variables y secretos.
Haz clic en + Agregar variable para cada variable de entorno:

Nombre de la variable	Valor de ejemplo
`GCS_BUCKET`	`sailpoint-iam-logs`
`GCS_PREFIX`	`sailpoint/iam/`
`STATE_KEY`	`sailpoint/iam/state.json`
`WINDOW_SECONDS`	`3600`
`HTTP_TIMEOUT`	`60`
`MAX_RETRIES`	`3`
`USER_AGENT`	`sailpoint-iam-to-gcs/1.0`
`IDN_BASE`	`https://tenant.api.identitynow.com`
`IDN_CLIENT_ID`	`your-client-id`
`IDN_CLIENT_SECRET`	`your-client-secret`
`IDN_SCOPE`	`sp:scopes:all`
`PAGE_SIZE`	`250`
`MAX_PAGES`	`20`

En la pestaña Variables y Secrets, desplázate hacia abajo hasta Requests:
- Tiempo de espera de la solicitud: Ingresa 600 segundos (10 minutos).
Ve a la pestaña Configuración en Contenedores:
- En la sección Recursos, haz lo siguiente:
  - Memoria: Selecciona 512 MiB o más.
  - CPU: Selecciona 1.
- Haz clic en Listo.
Desplázate hacia abajo hasta Entorno de ejecución:
- Selecciona Predeterminado (recomendado).
En la sección Ajuste de escala de revisión, haz lo siguiente:
- Cantidad mínima de instancias: Ingresa 0.
- Cantidad máxima de instancias: Ingresa 100 (o ajusta según la carga esperada).
Haz clic en Crear.
Espera a que se cree el servicio (de 1 a 2 minutos).
Después de crear el servicio, se abrirá automáticamente el editor de código intercalado.

Agregar el código de función

Ingresa main en Punto de entrada de la función.

En el editor de código intercalado, crea dos archivos:

Primer archivo: main.py:

 import functions_framework
 from google.cloud import storage
 import json
 import os
 import urllib3
 from datetime import datetime, timezone
 import time
 import uuid

 # Initialize HTTP client
 http = urllib3.PoolManager()

 # Initialize Storage client
 storage_client = storage.Client()

 # Get environment variables
 GCS_BUCKET = os.environ.get('GCS_BUCKET')
 GCS_PREFIX = os.environ.get('GCS_PREFIX', 'sailpoint/iam/')
 STATE_KEY = os.environ.get('STATE_KEY', 'sailpoint/iam/state.json')
 WINDOW_SEC = int(os.environ.get('WINDOW_SECONDS', '3600'))
 HTTP_TIMEOUT = int(os.environ.get('HTTP_TIMEOUT', '60'))
 IDN_BASE = os.environ.get('IDN_BASE')
 CLIENT_ID = os.environ.get('IDN_CLIENT_ID')
 CLIENT_SECRET = os.environ.get('IDN_CLIENT_SECRET')
 SCOPE = os.environ.get('IDN_SCOPE', 'sp:scopes:all')
 PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '250'))
 MAX_PAGES = int(os.environ.get('MAX_PAGES', '20'))
 MAX_RETRIES = int(os.environ.get('MAX_RETRIES', '3'))
 USER_AGENT = os.environ.get('USER_AGENT', 'sailpoint-iam-to-gcs/1.0')

 def _load_state(bucket):
     """Load state from GCS."""
     try:
         blob = bucket.blob(STATE_KEY)
         if blob.exists():
             state_data = blob.download_as_text()
             return json.loads(state_data)
     except Exception as e:
         print(f'Warning: Could not load state: {str(e)}')
     return {}

 def _save_state(bucket, st):
     """Save state to GCS."""
     try:
         blob = bucket.blob(STATE_KEY)
         blob.upload_from_string(
             json.dumps(st, separators=(',', ':')),
             content_type='application/json'
         )
     except Exception as e:
         print(f'Warning: Could not save state: {str(e)}')

 def _iso(ts):
     """Convert timestamp to ISO format."""
     return time.strftime('%Y-%m-%dT%H:%M:%SZ', time.gmtime(ts))

 def _get_oauth_token():
     """Get OAuth2 access token using Client Credentials flow."""
     token_url = f"{IDN_BASE.rstrip('/')}/oauth/token"

     fields = {
         'grant_type': 'client_credentials',
         'client_id': CLIENT_ID,
         'client_secret': CLIENT_SECRET,
         'scope': SCOPE
     }

     headers = {
         'Content-Type': 'application/x-www-form-urlencoded',
         'User-Agent': USER_AGENT
     }

     response = http.request(
         'POST',
         token_url,
         fields=fields,
         headers=headers,
         timeout=HTTP_TIMEOUT
     )

     token_data = json.loads(response.data.decode('utf-8'))
     return token_data['access_token']

 def _search_events(access_token, created_from, search_after=None):
     """Search for audit events using SailPoint's /v3/search API.

     IMPORTANT: SailPoint requires colons in ISO8601 timestamps to be escaped with backslashes.
     Example: 2024-01-15T10:30:00Z must be sent as 2024-01-15T10\\:30\\:00Z

     For more information, see:
     - https://developer.sailpoint.com/docs/api/standard-collection-parameters/
     - https://developer.sailpoint.com/docs/api/v3/search-post/
     """
     search_url = f"{IDN_BASE.rstrip('/')}/v3/search"

     # Escape colons in timestamp for SailPoint search query
     escaped_timestamp = created_from.replace(':', '\\:')
     query_str = f'created:>={escaped_timestamp}'

     payload = {
         'indices': ['events'],
         'query': {
             'query': query_str
         },
         'sort': ['created', '+id'],
         'limit': PAGE_SIZE
     }

     if search_after:
         payload['searchAfter'] = search_after

     attempt = 0
     while True:
         headers = {
             'Content-Type': 'application/json',
             'Accept': 'application/json',
             'Authorization': f'Bearer {access_token}',
             'User-Agent': USER_AGENT
         }

         try:
             response = http.request(
                 'POST',
                 search_url,
                 body=json.dumps(payload).encode('utf-8'),
                 headers=headers,
                 timeout=HTTP_TIMEOUT
             )

             response_data = json.loads(response.data.decode('utf-8'))

             # Handle different response formats
             if isinstance(response_data, list):
                 return response_data
             return response_data.get('results', response_data.get('data', []))

         except Exception as e:
             attempt += 1
             print(f'HTTP error on attempt {attempt}: {e}')
             if attempt > MAX_RETRIES:
                 raise
             # Exponential backoff with jitter
             time.sleep(min(60, 2 ** attempt) + (time.time() % 1))

 def _put_events_data(bucket, events, from_ts, to_ts, page_num):
     """Write events to GCS in JSONL format (one JSON object per line)."""
     # Create unique GCS key for events data
     ts_path = time.strftime('%Y/%m/%d', time.gmtime(to_ts))
     uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}"
     key = f"{GCS_PREFIX}{ts_path}/sailpoint_iam_{int(from_ts)}_{int(to_ts)}_p{page_num:03d}_{uniq}.jsonl"

     # Convert events list to JSONL format (one JSON object per line)
     jsonl_lines = [json.dumps(event, separators=(',', ':')) for event in events]
     jsonl_content = '\n'.join(jsonl_lines)

     blob = bucket.blob(key)
     blob.metadata = {
         'source': 'sailpoint-iam',
         'from_timestamp': str(int(from_ts)),
         'to_timestamp': str(int(to_ts)),
         'page_number': str(page_num),
         'events_count': str(len(events)),
         'format': 'jsonl'
     }
     blob.upload_from_string(
         jsonl_content,
         content_type='application/x-ndjson'
     )

     return key

 def _get_item_id(item):
     """Extract ID from event item, trying multiple possible fields."""
     for field in ('id', 'uuid', 'eventId', '_id'):
         if field in item and item[field]:
             return str(item[field])
     return ''

 @functions_framework.cloud_event
 def main(cloud_event):
     """
     Cloud Run function triggered by Pub/Sub to fetch SailPoint IAM logs and write to GCS.

     Args:
         cloud_event: CloudEvent object containing Pub/Sub message
     """

     if not all([GCS_BUCKET, IDN_BASE, CLIENT_ID, CLIENT_SECRET]):
         print('Error: Missing required environment variables')
         return

     try:
         bucket = storage_client.bucket(GCS_BUCKET)

         st = _load_state(bucket)
         now = time.time()
         from_ts = float(st.get('last_to_ts') or (now - WINDOW_SEC))
         to_ts = now

         # Get OAuth token
         access_token = _get_oauth_token()

         created_from = _iso(from_ts)
         print(f'Fetching SailPoint IAM events from: {created_from}')

         # Handle pagination state
         last_created = st.get('last_created')
         last_id = st.get('last_id')
         search_after = [last_created, last_id] if (last_created and last_id) else None

         pages = 0
         total_events = 0
         written_keys = []
         newest_created = last_created or created_from
         newest_id = last_id or ''

         while pages < MAX_PAGES:
             events = _search_events(access_token, created_from, search_after)
             if not events:
                 break

             # Write page to GCS in JSONL format
             key = _put_events_data(bucket, events, from_ts, to_ts, pages + 1)
             written_keys.append(key)
             total_events += len(events)

             # Update pagination state from last item
             last_event = events[-1]
             last_event_created = last_event.get('created') or last_event.get('metadata', {}).get('created')
             last_event_id = _get_item_id(last_event)

             if last_event_created:
                 newest_created = last_event_created
             if last_event_id:
                 newest_id = last_event_id

             search_after = [newest_created, newest_id]
             pages += 1

             # If we got less than page size, we're done
             if len(events) < PAGE_SIZE:
                 break

         print(f'Successfully retrieved {total_events} events across {pages} pages')

         # Save state for next run
         st['last_to_ts'] = to_ts
         st['last_created'] = newest_created
         st['last_id'] = newest_id
         st['last_successful_run'] = now
         _save_state(bucket, st)

         print(f'Wrote {len(written_keys)} files to GCS')

     except Exception as e:
         print(f'Error processing logs: {str(e)}')
         raise

Segundo archivo: requirements.txt:

 functions-framework==3.*
 google-cloud-storage==2.*
 urllib3>=2.0.0
 ```

Haz clic en Implementar para guardar y, luego, implementar la función.
Espera a que se complete la implementación (de 2 a 3 minutos).

Nota: La configuración del activador de Pub/Sub crea automáticamente las suscripciones y los permisos necesarios.

Crea un trabajo de Cloud Scheduler

Cloud Scheduler publica mensajes en el tema de Pub/Sub a intervalos regulares, lo que activa la función de Cloud Run.

En GCP Console, ve a Cloud Scheduler.
Haz clic en Crear trabajo.

Proporciona los siguientes detalles de configuración:

Configuración	Valor
Nombre	`sailpoint-iam-collector-hourly`
Región	Selecciona la misma región que la función de Cloud Run
Frecuencia	`0 * * * *` (cada hora, en punto)
Zona horaria	Selecciona la zona horaria (se recomienda UTC)
Tipo de orientación	Pub/Sub
Tema	Selecciona el tema de Pub/Sub (`sailpoint-iam-trigger`).
Cuerpo del mensaje	`{}` (objeto JSON vacío)

Haz clic en Crear.

Opciones de frecuencia de programación

Elige la frecuencia según los requisitos de latencia y volumen de registros:

Frecuencia	Expresión cron	Caso de uso
Cada 5 minutos	`/5 * * *`	Alto volumen y baja latencia
Cada 15 minutos	`/15 * * *`	Volumen medio
Cada 1 hora	`0 * * * *`	Estándar (opción recomendada)
Cada 6 horas	`0 /6 * *`	Procesamiento por lotes y volumen bajo
Diario	`0 0 * * *`	Recopilación de datos históricos

Prueba el trabajo de Scheduler

En la consola de Cloud Scheduler, busca tu trabajo.
Haz clic en Forzar ejecución para activarlo de forma manual.
Espera unos segundos y ve a Cloud Run > Servicios > sailpoint-iam-collector > Registros.
Verifica que la función se haya ejecutado correctamente.
Verifica el bucket de GCS para confirmar que se escribieron los registros.

Recupera la cuenta de servicio de Google SecOps

Las Operaciones de seguridad de Google usan una cuenta de servicio única para leer datos de tu bucket de GCS. Debes otorgar acceso a tu bucket a esta cuenta de servicio.

Obtén el correo electrónico de la cuenta de servicio

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
Haz clic en Configura un feed único.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, SailPoint IAM logs).
Selecciona Google Cloud Storage V2 como el Tipo de fuente.
Selecciona IAM de SailPoint como el Tipo de registro.
Haz clic en Obtener cuenta de servicio. Se muestra un correo electrónico único de la cuenta de servicio, por ejemplo:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia esta dirección de correo electrónico para usarla en el siguiente paso.

Nota: Cada instancia de Google SecOps tiene una cuenta de servicio única. No uses cuentas de servicio de otros ejemplos o documentación.

Otorga permisos de IAM a la cuenta de servicio de Google SecOps

La cuenta de servicio de Google SecOps necesita el rol de visualizador de objetos de almacenamiento en tu bucket de GCS.

Ve a Cloud Storage > Buckets.
Haz clic en el nombre de tu bucket.
Ve a la pestaña Permisos.
Haz clic en Otorgar acceso.
Proporciona los siguientes detalles de configuración:
- Agregar principales: Pega el correo electrónico de la cuenta de servicio de Google SecOps.
- Asignar roles: Selecciona Visualizador de objetos de Storage.
Haz clic en Guardar.

Nota: Si planeas usar la opción de eliminación "Borrar archivos transferidos" o "Borrar archivos transferidos y directorios vacíos", otorga el rol de Administrador de objetos de Storage en lugar del rol de Visualizador de objetos de Storage.

Configura un feed en Google SecOps para transferir registros de IAM de SailPoint

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
Haz clic en Configura un feed único.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, SailPoint IAM logs).
Selecciona Google Cloud Storage V2 como el Tipo de fuente.
Selecciona IAM de SailPoint como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URL del bucket de almacenamiento: Ingresa el URI del bucket de GCS con la ruta de acceso del prefijo:
```
gs://sailpoint-iam-logs/sailpoint/iam/
```
  - Reemplaza lo siguiente:
    - sailpoint-iam-logs: Es el nombre de tu bucket de GCS.
    - sailpoint/iam/: Es el prefijo o la ruta de carpeta opcionales en los que se almacenan los registros (déjalo vacío para la raíz).
  - Ejemplos:
    - Bucket raíz: gs://company-logs/
    - Con prefijo: gs://company-logs/sailpoint-logs/
    - Con subcarpeta: gs://company-logs/sailpoint/iam/
  Nota: Siempre incluye la barra diagonal final (/) al final del URI.
- Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:
  - Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
  - Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.
  - Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.
    
    Nota: Si seleccionas una opción de eliminación, la cuenta de servicio debe tener el rol de administrador de objetos de Storage en lugar del rol de visualizador de objetos de Storage. Actualiza los permisos de IAM según corresponda.
- Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
acción	metadata.description	Es el valor del campo de acción del registro sin procesar.
actor.name	principal.user.user_display_name	Es el valor del campo actor.name del registro sin procesar.
attributes.accountName	principal.user.group_identifiers	Es el valor del campo attributes.accountName del registro sin procesar.
attributes.appId	target.asset_id	"ID de la app: " concatenado con el valor del campo attributes.appId del registro sin procesar.
attributes.attributeName	additional.fields[0].value.string_value	Es el valor del campo attributes.attributeName del registro sin procesar, que se coloca dentro de un objeto additional.fields. La clave se establece en "Nombre del atributo".
attributes.attributeValue	additional.fields[1].value.string_value	Es el valor del campo attributeValue de attributes del registro sin procesar, ubicado dentro de un objeto additional.fields. La clave se establece en "Attribute Value".
attributes.cloudAppName	target.application	Es el valor del campo attributes.cloudAppName del registro sin procesar.
attributes.hostName	target.hostname, target.asset.hostname	Es el valor del campo attributes.hostName del registro sin procesar.
attributes.interface	additional.fields[2].value.string_value	Es el valor del campo attributes.interface del registro sin procesar, ubicado dentro de un objeto additional.fields. La clave se establece en "Interface".
attributes.operation	security_result.action_details	Es el valor del campo attributes.operation del registro sin procesar.
attributes.previousValue	additional.fields[3].value.string_value	Es el valor del campo attributes.previousValue del registro sin procesar, ubicado dentro de un objeto additional.fields. La clave se establece en "Valor anterior".
attributes.provisioningResult	security_result.detection_fields.value	Es el valor del campo attributes.provisioningResult del registro sin procesar, ubicado dentro de un objeto security_result.detection_fields. La clave se establece en "Provisioning Result".
attributes.sourceId	principal.labels[0].value	Es el valor del campo attributes.sourceId del registro sin procesar, ubicado dentro de un objeto principal.labels. La clave se establece en "ID de fuente".
attributes.sourceName	principal.labels[1].value	Es el valor del campo attributes.sourceName del registro sin procesar, ubicado dentro de un objeto principal.labels. La clave se establece en "Nombre de la fuente".
auditClassName	metadata.product_event_type	Es el valor del campo auditClassName del registro sin procesar.
created	metadata.event_timestamp.seconds, metadata.event_timestamp.nanos	Valor del campo creado a partir del registro sin procesar, convertido a marca de tiempo si no está presente instant.epochSecond.
id	metadata.product_log_id	Es el valor del campo ID del registro sin procesar.
instant.epochSecond	metadata.event_timestamp.seconds	Es el valor del campo instant.epochSecond del registro sin procesar, que se usa para la marca de tiempo.
ipAddress	principal.asset.ip, principal.ip	Es el valor del campo ipAddress del registro sin procesar.
interfaz	additional.fields[0].value.string_value	Es el valor del campo de interfaz del registro sin procesar, que se coloca dentro de un objeto additional.fields. La clave se establece en "interface".
loggerName	intermediary.application	Es el valor del campo loggerName del registro sin procesar.
mensaje	metadata.description, security_result.description	Se usa para diversos fines, como establecer la descripción en los metadatos y security_result, y extraer contenido XML.
nombre	security_result.description	Es el valor del campo de nombre del registro sin procesar.
operación	target.resource.attribute.labels[0].value, metadata.product_event_type	Es el valor del campo de operación del registro sin procesar, que se coloca dentro de un objeto target.resource.attribute.labels. La clave se establece en "operation". También se usa para metadata.product_event_type.
org	principal.administrative_domain	Es el valor del campo org del registro sin procesar.
Pod	principal.location.name	Es el valor del campo de pod del registro sin procesar.
referenceClass	additional.fields[1].value.string_value	Es el valor del campo referenceClass del registro sin procesar, que se coloca dentro de un objeto additional.fields. La clave se establece en "referenceClass".
referenceId	additional.fields[2].value.string_value	Es el valor del campo referenceId del registro sin procesar, que se coloca dentro de un objeto additional.fields. La clave se establece en "referenceId".
sailPointObjectName	additional.fields[3].value.string_value	Es el valor del campo sailPointObjectName del registro sin procesar, ubicado dentro de un objeto additional.fields. La clave se establece en "sailPointObjectName".
serverHost	principal.hostname, principal.asset.hostname	Es el valor del campo serverHost del registro sin procesar.
pila	additional.fields[4].value.string_value	Es el valor del campo de pila del registro sin procesar, que se coloca dentro de un objeto additional.fields. La clave se establece en "Stack".
estado	security_result.severity_details	Es el valor del campo de estado del registro sin procesar.
objetivo	additional.fields[4].value.string_value	Es el valor del campo de destino del registro sin procesar, que se coloca dentro de un objeto additional.fields. La clave se establece en "target".
target.name	principal.user.userid	Es el valor del campo target.name del registro sin procesar.
technicalName	security_result.summary	Es el valor del campo technicalName del registro sin procesar.
thrown.cause.message	xml_body, detailed_message	Es el valor del campo thrown.cause.message del registro sin procesar, que se usa para extraer contenido XML.
thrown.message	xml_body, detailed_message	Es el valor del campo thrown.message del registro sin procesar, que se usa para extraer contenido XML.
trackingNumber	additional.fields[5].value.string_value	Valor del campo trackingNumber del registro sin procesar, ubicado dentro de un objeto additional.fields. La clave se establece en "Número de seguimiento".
tipo	metadata.product_event_type	Es el valor del campo de tipo del registro sin procesar.
_version	metadata.product_version	Es el valor del campo _version del registro sin procesar.
N/A	metadata.event_timestamp	Se deriva de instant.epochSecond o de campos creados.
N/A	metadata.event_type	La lógica del analizador la determina en función de varios campos, incluidos has_principal_user, has_target_application, technicalName y action. El valor predeterminado es "GENERIC_EVENT".
N/A	metadata.log_type	Se debe establecer en "SAILPOINT_IAM".
N/A	metadata.product_name	Establécelo en "IAM".
N/A	metadata.vendor_name	Se establece en "SAILPOINT".
N/A	extensions.auth.type	Se establece en "AUTHTYPE_UNSPECIFIED" en ciertas condiciones.
N/A	target.resource.attribute.labels[0].key	Se establece en "operación".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.