Collecter les journaux SailPoint IAM

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux SailPoint IAM dans Google Security Operations à l'aide de Google Cloud Storage. SailPoint Identity Security Cloud fournit des fonctionnalités de gouvernance et d'administration des identités pour gérer l'accès des utilisateurs, la conformité et la sécurité dans les applications d'entreprise.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Une instance Google SecOps
Un projet GCP avec l'API Cloud Storage activée
Autorisations pour créer et gérer des buckets GCS
Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
Accès privilégié au locataire ou à l'API SailPoint Identity Security Cloud

Créer un bucket Google Cloud Storage

Accédez à la console Google Cloud.
Sélectionnez votre projet ou créez-en un.
Dans le menu de navigation, accédez à Cloud Storage> Buckets.
Cliquez sur Créer un bucket.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nommer votre bucket	Saisissez un nom unique (par exemple, `sailpoint-iam-logs`).
Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
Emplacement	Sélectionnez l'emplacement (par exemple, `us-central1`).
Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
Access control (Contrôle des accès)	Uniforme (recommandé)
Outils de protection	Facultatif : Activer la gestion des versions des objets ou la règle de conservation

Cliquez sur Créer.

Collecter les identifiants de l'API SailPoint Identity Security Cloud

Connectez-vous à la console d'administration SailPoint Identity Security Cloud en tant qu'administrateur.
Accédez à Admin> Général> Paramètres de sécurité> Gestion des API.
Cliquez sur Créer un client API.
Choisissez Client Credentials (Identifiants client) comme type d'attribution.
Fournissez les informations de configuration suivantes :
- Nom : saisissez un nom descriptif (par exemple, Chronicle Export API).
- Description : saisissez une description pour le client API.
- Niveaux d'accès : sélectionnez sp:scopes:all (ou les niveaux d'accès en lecture appropriés pour les événements d'audit).
Cliquez sur Créer et copiez les identifiants API générés de manière sécurisée.
Enregistrez l'URL de base de votre locataire SailPoint (par exemple, https://tenant.api.identitynow.com).
Copiez et enregistrez les informations suivantes dans un emplacement sécurisé :
- IDN_CLIENT_ID
- IDN_CLIENT_SECRET
- IDN_BASE
Remarque : Le client OAuth doit être configuré avec le type d'attribution CLIENT_CREDENTIALS. Certaines API SailPoint restent uniquement dans le contexte utilisateur, même avec le champ d'application sp:scopes:all. Pour en savoir plus, consultez la documentation sur l'authentification SailPoint.

Tester l'accès à l'API

Testez vos identifiants avant de procéder à l'intégration :

# Replace with your actual credentials
IDN_CLIENT_ID="your-client-id"
IDN_CLIENT_SECRET="your-client-secret"
IDN_BASE="https://tenant.api.identitynow.com"

# Get OAuth token
TOKEN=$(curl -s -X POST "${IDN_BASE}/oauth/token" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=client_credentials&client_id=${IDN_CLIENT_ID}&client_secret=${IDN_CLIENT_SECRET}&scope=sp:scopes:all" | jq -r '.access_token')

# Test API access
curl -v -H "Authorization: Bearer ${TOKEN}" "${IDN_BASE}/v3/search" \
  -H "Content-Type: application/json" \
  -d '{"indices":["events"],"query":{"query":"*"},"limit":1}'

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS.

Créer un compte de service

Dans la console GCP, accédez à IAM et administration > Comptes de service.
Cliquez sur Créer un compte de service.
Fournissez les informations de configuration suivantes :
- Nom du compte de service : saisissez sailpoint-iam-collector-sa.
- Description du compte de service : saisissez Service account for Cloud Run function to collect SailPoint IAM logs.
Cliquez sur Créer et continuer.
Dans la section Autoriser ce compte de service à accéder au projet :
1. Cliquez sur Sélectionner un rôle.
2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
3. Cliquez sur + Ajouter un autre rôle.
4. Recherchez et sélectionnez Demandeur Cloud Run.
5. Cliquez sur + Ajouter un autre rôle.
6. Recherchez et sélectionnez Demandeur Cloud Functions.
Cliquez sur Continuer.
Cliquez sur OK.

Ces rôles sont requis pour :

Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket.
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service.
- Attribuer des rôles : sélectionnez Administrateur des objets Storage.
Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

Dans la console GCP, accédez à Pub/Sub > Sujets.
Cliquez sur Create topic (Créer un sujet).
Fournissez les informations de configuration suivantes :
- ID du sujet : saisissez sailpoint-iam-trigger.
- Conservez les valeurs par défaut des autres paramètres.
Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run est déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API SailPoint Identity Security Cloud et les écrire dans GCS.

Dans la console GCP, accédez à Cloud Run.
Cliquez sur Créer un service.
Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

Dans la section Configurer, fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom du service	`sailpoint-iam-collector`
Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, `us-central1`).
Runtime (durée d'exécution)	Sélectionnez Python 3.12 ou version ultérieure.

Dans la section Déclencheur (facultatif) :
1. Cliquez sur + Ajouter un déclencheur.
2. Sélectionnez Cloud Pub/Sub.
3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet Pub/Sub (sailpoint-iam-trigger).
4. Cliquez sur Enregistrer.
Dans la section Authentification :
1. Sélectionnez Exiger l'authentification.
2. Consultez Identity and Access Management (IAM).
Remarque : Pub/Sub gère automatiquement l'authentification lors de l'appel de la fonction.
Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.
Accédez à l'onglet Sécurité :
- Compte de service : sélectionnez le compte de service (sailpoint-iam-collector-sa).

Accédez à l'onglet Conteneurs :

Cliquez sur Variables et secrets.
Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

Nom de la variable	Exemple de valeur
`GCS_BUCKET`	`sailpoint-iam-logs`
`GCS_PREFIX`	`sailpoint/iam/`
`STATE_KEY`	`sailpoint/iam/state.json`
`WINDOW_SECONDS`	`3600`
`HTTP_TIMEOUT`	`60`
`MAX_RETRIES`	`3`
`USER_AGENT`	`sailpoint-iam-to-gcs/1.0`
`IDN_BASE`	`https://tenant.api.identitynow.com`
`IDN_CLIENT_ID`	`your-client-id`
`IDN_CLIENT_SECRET`	`your-client-secret`
`IDN_SCOPE`	`sp:scopes:all`
`PAGE_SIZE`	`250`
`MAX_PAGES`	`20`

Dans l'onglet Variables et secrets, faites défiler la page jusqu'à Requêtes :
- Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).
Accédez à l'onglet Paramètres dans Conteneurs :
- Dans la section Ressources :
  - Mémoire : sélectionnez 512 Mio ou plus.
  - CPU : sélectionnez 1.
- Cliquez sur OK.
Faites défiler la page jusqu'à Environnement d'exécution :
- Sélectionnez Par défaut (recommandé).
Dans la section Scaling de révision :
- Nombre minimal d'instances : saisissez 0.
- Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).
Cliquez sur Créer.
Attendez que le service soit créé (1 à 2 minutes).
Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

Saisissez main dans Point d'entrée de la fonction.

Dans l'éditeur de code intégré, créez deux fichiers :

Premier fichier : main.py:

 import functions_framework
 from google.cloud import storage
 import json
 import os
 import urllib3
 from datetime import datetime, timezone
 import time
 import uuid

 # Initialize HTTP client
 http = urllib3.PoolManager()

 # Initialize Storage client
 storage_client = storage.Client()

 # Get environment variables
 GCS_BUCKET = os.environ.get('GCS_BUCKET')
 GCS_PREFIX = os.environ.get('GCS_PREFIX', 'sailpoint/iam/')
 STATE_KEY = os.environ.get('STATE_KEY', 'sailpoint/iam/state.json')
 WINDOW_SEC = int(os.environ.get('WINDOW_SECONDS', '3600'))
 HTTP_TIMEOUT = int(os.environ.get('HTTP_TIMEOUT', '60'))
 IDN_BASE = os.environ.get('IDN_BASE')
 CLIENT_ID = os.environ.get('IDN_CLIENT_ID')
 CLIENT_SECRET = os.environ.get('IDN_CLIENT_SECRET')
 SCOPE = os.environ.get('IDN_SCOPE', 'sp:scopes:all')
 PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '250'))
 MAX_PAGES = int(os.environ.get('MAX_PAGES', '20'))
 MAX_RETRIES = int(os.environ.get('MAX_RETRIES', '3'))
 USER_AGENT = os.environ.get('USER_AGENT', 'sailpoint-iam-to-gcs/1.0')

 def _load_state(bucket):
     """Load state from GCS."""
     try:
         blob = bucket.blob(STATE_KEY)
         if blob.exists():
             state_data = blob.download_as_text()
             return json.loads(state_data)
     except Exception as e:
         print(f'Warning: Could not load state: {str(e)}')
     return {}

 def _save_state(bucket, st):
     """Save state to GCS."""
     try:
         blob = bucket.blob(STATE_KEY)
         blob.upload_from_string(
             json.dumps(st, separators=(',', ':')),
             content_type='application/json'
         )
     except Exception as e:
         print(f'Warning: Could not save state: {str(e)}')

 def _iso(ts):
     """Convert timestamp to ISO format."""
     return time.strftime('%Y-%m-%dT%H:%M:%SZ', time.gmtime(ts))

 def _get_oauth_token():
     """Get OAuth2 access token using Client Credentials flow."""
     token_url = f"{IDN_BASE.rstrip('/')}/oauth/token"

     fields = {
         'grant_type': 'client_credentials',
         'client_id': CLIENT_ID,
         'client_secret': CLIENT_SECRET,
         'scope': SCOPE
     }

     headers = {
         'Content-Type': 'application/x-www-form-urlencoded',
         'User-Agent': USER_AGENT
     }

     response = http.request(
         'POST',
         token_url,
         fields=fields,
         headers=headers,
         timeout=HTTP_TIMEOUT
     )

     token_data = json.loads(response.data.decode('utf-8'))
     return token_data['access_token']

 def _search_events(access_token, created_from, search_after=None):
     """Search for audit events using SailPoint's /v3/search API.

     IMPORTANT: SailPoint requires colons in ISO8601 timestamps to be escaped with backslashes.
     Example: 2024-01-15T10:30:00Z must be sent as 2024-01-15T10\\:30\\:00Z

     For more information, see:
     - https://developer.sailpoint.com/docs/api/standard-collection-parameters/
     - https://developer.sailpoint.com/docs/api/v3/search-post/
     """
     search_url = f"{IDN_BASE.rstrip('/')}/v3/search"

     # Escape colons in timestamp for SailPoint search query
     escaped_timestamp = created_from.replace(':', '\\:')
     query_str = f'created:>={escaped_timestamp}'

     payload = {
         'indices': ['events'],
         'query': {
             'query': query_str
         },
         'sort': ['created', '+id'],
         'limit': PAGE_SIZE
     }

     if search_after:
         payload['searchAfter'] = search_after

     attempt = 0
     while True:
         headers = {
             'Content-Type': 'application/json',
             'Accept': 'application/json',
             'Authorization': f'Bearer {access_token}',
             'User-Agent': USER_AGENT
         }

         try:
             response = http.request(
                 'POST',
                 search_url,
                 body=json.dumps(payload).encode('utf-8'),
                 headers=headers,
                 timeout=HTTP_TIMEOUT
             )

             response_data = json.loads(response.data.decode('utf-8'))

             # Handle different response formats
             if isinstance(response_data, list):
                 return response_data
             return response_data.get('results', response_data.get('data', []))

         except Exception as e:
             attempt += 1
             print(f'HTTP error on attempt {attempt}: {e}')
             if attempt > MAX_RETRIES:
                 raise
             # Exponential backoff with jitter
             time.sleep(min(60, 2 ** attempt) + (time.time() % 1))

 def _put_events_data(bucket, events, from_ts, to_ts, page_num):
     """Write events to GCS in JSONL format (one JSON object per line)."""
     # Create unique GCS key for events data
     ts_path = time.strftime('%Y/%m/%d', time.gmtime(to_ts))
     uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}"
     key = f"{GCS_PREFIX}{ts_path}/sailpoint_iam_{int(from_ts)}_{int(to_ts)}_p{page_num:03d}_{uniq}.jsonl"

     # Convert events list to JSONL format (one JSON object per line)
     jsonl_lines = [json.dumps(event, separators=(',', ':')) for event in events]
     jsonl_content = '\n'.join(jsonl_lines)

     blob = bucket.blob(key)
     blob.metadata = {
         'source': 'sailpoint-iam',
         'from_timestamp': str(int(from_ts)),
         'to_timestamp': str(int(to_ts)),
         'page_number': str(page_num),
         'events_count': str(len(events)),
         'format': 'jsonl'
     }
     blob.upload_from_string(
         jsonl_content,
         content_type='application/x-ndjson'
     )

     return key

 def _get_item_id(item):
     """Extract ID from event item, trying multiple possible fields."""
     for field in ('id', 'uuid', 'eventId', '_id'):
         if field in item and item[field]:
             return str(item[field])
     return ''

 @functions_framework.cloud_event
 def main(cloud_event):
     """
     Cloud Run function triggered by Pub/Sub to fetch SailPoint IAM logs and write to GCS.

     Args:
         cloud_event: CloudEvent object containing Pub/Sub message
     """

     if not all([GCS_BUCKET, IDN_BASE, CLIENT_ID, CLIENT_SECRET]):
         print('Error: Missing required environment variables')
         return

     try:
         bucket = storage_client.bucket(GCS_BUCKET)

         st = _load_state(bucket)
         now = time.time()
         from_ts = float(st.get('last_to_ts') or (now - WINDOW_SEC))
         to_ts = now

         # Get OAuth token
         access_token = _get_oauth_token()

         created_from = _iso(from_ts)
         print(f'Fetching SailPoint IAM events from: {created_from}')

         # Handle pagination state
         last_created = st.get('last_created')
         last_id = st.get('last_id')
         search_after = [last_created, last_id] if (last_created and last_id) else None

         pages = 0
         total_events = 0
         written_keys = []
         newest_created = last_created or created_from
         newest_id = last_id or ''

         while pages < MAX_PAGES:
             events = _search_events(access_token, created_from, search_after)
             if not events:
                 break

             # Write page to GCS in JSONL format
             key = _put_events_data(bucket, events, from_ts, to_ts, pages + 1)
             written_keys.append(key)
             total_events += len(events)

             # Update pagination state from last item
             last_event = events[-1]
             last_event_created = last_event.get('created') or last_event.get('metadata', {}).get('created')
             last_event_id = _get_item_id(last_event)

             if last_event_created:
                 newest_created = last_event_created
             if last_event_id:
                 newest_id = last_event_id

             search_after = [newest_created, newest_id]
             pages += 1

             # If we got less than page size, we're done
             if len(events) < PAGE_SIZE:
                 break

         print(f'Successfully retrieved {total_events} events across {pages} pages')

         # Save state for next run
         st['last_to_ts'] = to_ts
         st['last_created'] = newest_created
         st['last_id'] = newest_id
         st['last_successful_run'] = now
         _save_state(bucket, st)

         print(f'Wrote {len(written_keys)} files to GCS')

     except Exception as e:
         print(f'Error processing logs: {str(e)}')
         raise

Deuxième fichier : requirements.txt:

 functions-framework==3.*
 google-cloud-storage==2.*
 urllib3>=2.0.0
 ```

Cliquez sur Déployer pour enregistrer et déployer la fonction.
Attendez la fin du déploiement (deux à trois minutes).

Remarque : La configuration du déclencheur Pub/Sub crée automatiquement les abonnements et les autorisations nécessaires.

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

Dans la console GCP, accédez à Cloud Scheduler.
Cliquez sur Créer une tâche.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom	`sailpoint-iam-collector-hourly`
Région	Sélectionnez la même région que la fonction Cloud Run.
Fréquence	`0 * * * *` (toutes les heures)
Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
Type de cible	Pub/Sub
Topic	Sélectionnez le sujet Pub/Sub (`sailpoint-iam-trigger`).
Corps du message	`{}` (objet JSON vide)

Cliquez sur Créer.

Options de fréquence de planification

Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

Fréquence	Expression Cron	Cas d'utilisation
Toutes les 5 minutes	`/5 * * *`	Volume élevé, faible latence
Toutes les 15 minutes	`/15 * * *`	Volume moyen
Toutes les heures	`0 * * * *`	Standard (recommandé)
Toutes les 6 heures	`0 /6 * *`	Traitement par lot à faible volume
Tous les jours	`0 0 * * *`	Collecte de données historiques

Tester le job Scheduler

Dans la console Cloud Scheduler, recherchez votre job.
Cliquez sur Forcer l'exécution pour déclencher manuellement l'exécution.
Patientez quelques secondes, puis accédez à Cloud Run > Services > sailpoint-iam-collector > Journaux.
Vérifiez que la fonction s'est exécutée correctement.
Vérifiez le bucket GCS pour confirmer que les journaux ont été écrits.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, SailPoint IAM logs).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez SailPoint IAM comme Type de journal.
Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Remarque : Chaque instance Google SecOps possède un compte de service unique. N'utilisez pas de comptes de service provenant d'autres documentations ou exemples.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket.
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
- Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
Cliquez sur Enregistrer.

Remarque : Si vous prévoyez d'utiliser l'option de suppression "Supprimer les fichiers transférés" ou "Supprimer les fichiers transférés et les répertoires vides", accordez le rôle Administrateur des objets Storage au lieu de Lecteur des objets Storage.

Configurer un flux dans Google SecOps pour ingérer les journaux SailPoint IAM

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, SailPoint IAM logs).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez SailPoint IAM comme Type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :
```
gs://sailpoint-iam-logs/sailpoint/iam/
```
  - Remplacez :
    - sailpoint-iam-logs : nom de votre bucket GCS.
    - sailpoint/iam/ : préfixe/chemin d'accès au dossier facultatif où les journaux sont stockés (laisser vide pour la racine).
  - Exemples :
    - Bucket racine : gs://company-logs/
    - Avec préfixe : gs://company-logs/sailpoint-logs/
    - Avec un sous-dossier : gs://company-logs/sailpoint/iam/
  Remarque : Incluez toujours la barre oblique (/) à la fin de l'URI.
- Option de suppression de la source : sélectionnez l'option de suppression de votre choix :
  - Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
  - Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
  - Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.
    
    Remarque : Si vous sélectionnez une option de suppression, le compte de service doit disposer du rôle Administrateur des objets Storage au lieu de celui de lecteur. Mettez à jour les autorisations IAM en conséquence.
- Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
action	metadata.description	Valeur du champ "action" du journal brut.
actor.name	principal.user.user_display_name	Valeur du champ "actor.name" du journal brut.
attributes.accountName	principal.user.group_identifiers	Valeur du champ "attributes.accountName" du journal brut.
attributes.appId	target.asset_id	"ID de l'application : " concaténé avec la valeur du champ attributes.appId du journal brut.
attributes.attributeName	additional.fields[0].value.string_value	Valeur du champ "attributes.attributeName" du journal brut, placée dans un objet "additional.fields". La clé est définie sur "Nom de l'attribut".
attributes.attributeValue	additional.fields[1].value.string_value	Valeur du champ "attributes.attributeValue" du journal brut, placée dans un objet "additional.fields". La clé est définie sur "Attribute Value" (Valeur de l'attribut).
attributes.cloudAppName	target.application	Valeur du champ "attributes.cloudAppName" du journal brut.
attributes.hostName	target.hostname, target.asset.hostname	Valeur du champ "attributes.hostName" du journal brut.
attributes.interface	additional.fields[2].value.string_value	Valeur du champ "attributes.interface" du journal brut, placée dans un objet "additional.fields". La clé est définie sur "Interface".
attributes.operation	security_result.action_details	Valeur du champ "attributes.operation" du journal brut.
attributes.previousValue	additional.fields[3].value.string_value	Valeur du champ "attributes.previousValue" du journal brut, placée dans un objet "additional.fields". La clé est définie sur "Previous Value" (Valeur précédente).
attributes.provisioningResult	security_result.detection_fields.value	Valeur du champ "attributes.provisioningResult" du journal brut, placée dans un objet "security_result.detection_fields". La clé est définie sur "Provisioning Result".
attributes.sourceId	principal.labels[0].value	Valeur du champ "attributes.sourceId" du journal brut, placée dans un objet "principal.labels". La clé est définie sur "ID de la source".
attributes.sourceName	principal.labels[1].value	Valeur du champ "attributes.sourceName" du journal brut, placée dans un objet "principal.labels". La clé est définie sur "Nom de la source".
auditClassName	metadata.product_event_type	Valeur du champ "auditClassName" du journal brut.
créé	metadata.event_timestamp.seconds, metadata.event_timestamp.nanos	Valeur du champ créé à partir du journal brut, convertie en code temporel si instant.epochSecond n'est pas présent.
id	metadata.product_log_id	Valeur du champ "id" du journal brut.
instant.epochSecond	metadata.event_timestamp.seconds	Valeur du champ "instant.epochSecond" du journal brut, utilisée pour l'horodatage.
ipAddress	principal.asset.ip, principal.ip	Valeur du champ "ipAddress" du journal brut.
interface	additional.fields[0].value.string_value	Valeur du champ "interface" du journal brut, placée dans un objet "additional.fields". La clé est définie sur "interface".
loggerName	intermediary.application	Valeur du champ "loggerName" du journal brut.
message	metadata.description, security_result.description	Utilisé à diverses fins, y compris pour définir la description dans les métadonnées et security_result, et pour extraire le contenu XML.
nom	security_result.description	Valeur du champ "name" du journal brut.
opération	target.resource.attribute.labels[0].value, metadata.product_event_type	Valeur du champ "operation" du journal brut, placée dans un objet target.resource.attribute.labels. La clé est définie sur "operation". Également utilisé pour metadata.product_event_type.
org	principal.administrative_domain	Valeur du champ "org" du journal brut.
pod	principal.location.name	Valeur du champ "pod" du journal brut.
referenceClass	additional.fields[1].value.string_value	Valeur du champ "referenceClass" du journal brut, placée dans un objet "additional.fields". La clé est définie sur "referenceClass".
referenceId	additional.fields[2].value.string_value	Valeur du champ "referenceId" du journal brut, placée dans un objet "additional.fields". La clé est définie sur "referenceId".
sailPointObjectName	additional.fields[3].value.string_value	Valeur du champ "sailPointObjectName" du journal brut, placée dans un objet "additional.fields". La clé est définie sur "sailPointObjectName".
serverHost	principal.hostname, principal.asset.hostname	Valeur du champ "serverHost" du journal brut.
stack	additional.fields[4].value.string_value	Valeur du champ de pile du journal brut, placée dans un objet additional.fields. La clé est définie sur "Stack".
état	security_result.severity_details	Valeur du champ d'état du journal brut.
cible	additional.fields[4].value.string_value	Valeur du champ cible du journal brut, placée dans un objet additional.fields. La clé est définie sur "target".
target.name	principal.user.userid	Valeur du champ "target.name" du journal brut.
technicalName	security_result.summary	Valeur du champ "technicalName" du journal brut.
thrown.cause.message	xml_body, detailed_message	Valeur du champ "thrown.cause.message" du journal brut, utilisée pour extraire le contenu XML.
thrown.message	xml_body, detailed_message	Valeur du champ "thrown.message" du journal brut, utilisée pour extraire le contenu XML.
trackingNumber	additional.fields[5].value.string_value	Valeur du champ "trackingNumber" du journal brut, placée dans un objet "additional.fields". La clé est définie sur "Tracking Number" (Numéro de suivi).
type	metadata.product_event_type	Valeur du champ "type" du journal brut.
_version	metadata.product_version	Valeur du champ "_version" du journal brut.
N/A	metadata.event_timestamp	Dérivé de instant.epochSecond ou des champs créés.
N/A	metadata.event_type	Déterminé par la logique de l'analyseur en fonction de différents champs, y compris has_principal_user, has_target_application, technicalName et action. La valeur par défaut est "GENERIC_EVENT".
N/A	metadata.log_type	Défini sur "SAILPOINT_IAM".
N/A	metadata.product_name	Défini sur "IAM".
N/A	metadata.vendor_name	Défini sur "SAILPOINT".
N/A	extensions.auth.type	Défini sur "AUTHTYPE_UNSPECIFIED" dans certaines conditions.
N/A	target.resource.attribute.labels[0].key	Définissez-le sur "operation".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.