Raccogliere i log IAM di SailPoint

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log IAM di SailPoint in Google Security Operations utilizzando Google Cloud Storage. SailPoint Identity Security Cloud offre funzionalità di governance e amministrazione delle identità per la gestione di accesso, conformità e sicurezza degli utenti nelle applicazioni aziendali.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

Un'istanza Google SecOps
Un progetto GCP con l'API Cloud Storage abilitata
Autorizzazioni per creare e gestire bucket GCS
Autorizzazioni per gestire le policy IAM nei bucket GCS
Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
Accesso con privilegi al tenant o all'API SailPoint Identity Security Cloud

Creazione di un bucket Google Cloud Storage

Vai alla console Google Cloud.
Seleziona il tuo progetto o creane uno nuovo.
Nel menu di navigazione, vai a Cloud Storage > Bucket.
Fai clic su Crea bucket.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio `sailpoint-iam-logs`).
Tipo di località	Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
Località	Seleziona la posizione (ad esempio, `us-central1`).
Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
Controllo dell'accesso	Uniforme (consigliato)
Strumenti di protezione	(Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

Fai clic su Crea.

Raccogli le credenziali dell'API SailPoint Identity Security Cloud

Accedi alla console di amministrazione di SailPoint Identity Security Cloud come amministratore.
Vai ad Amministratore > Impostazioni globali > Impostazioni di sicurezza > Gestione API.
Fai clic su Crea client API.
Scegli Credenziali client come tipo di concessione.
Fornisci i seguenti dettagli di configurazione:
- Nome: inserisci un nome descrittivo (ad esempio, Chronicle Export API).
- Descrizione: inserisci una descrizione per il client API.
- Ambiti: seleziona sp:scopes:all (o gli ambiti di lettura appropriati per gli eventi di controllo).
Fai clic su Crea e copia in modo sicuro le credenziali API generate.
Registra l'URL di base del tenant SailPoint (ad esempio, https://tenant.api.identitynow.com).
Copia e salva in una posizione sicura i seguenti dettagli:
- IDN_CLIENT_ID
- IDN_CLIENT_SECRET
- IDN_BASE
Nota :il client OAuth deve essere configurato con il tipo di autorizzazione CLIENT_CREDENTIALS. Alcune API SailPoint rimangono solo nel contesto utente anche con l'ambito sp:scopes:all. Per saperne di più, consulta la documentazione sull'autenticazione SailPoint.

Testare l'accesso API

Verifica le tue credenziali prima di procedere con l'integrazione:

# Replace with your actual credentials
IDN_CLIENT_ID="your-client-id"
IDN_CLIENT_SECRET="your-client-secret"
IDN_BASE="https://tenant.api.identitynow.com"

# Get OAuth token
TOKEN=$(curl -s -X POST "${IDN_BASE}/oauth/token" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=client_credentials&client_id=${IDN_CLIENT_ID}&client_secret=${IDN_CLIENT_SECRET}&scope=sp:scopes:all" | jq -r '.access_token')

# Test API access
curl -v -H "Authorization: Bearer ${TOKEN}" "${IDN_BASE}/v3/search" \
  -H "Content-Type: application/json" \
  -d '{"indices":["events"],"query":{"query":"*"},"limit":1}'

Crea un service account per la funzione Cloud Run

La funzione Cloud Run richiede un service account con autorizzazioni per scrivere nel bucket GCS.

Crea service account

Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
Fai clic su Crea service account.
Fornisci i seguenti dettagli di configurazione:
- Nome del service account: inserisci sailpoint-iam-collector-sa.
- Descrizione service account: inserisci Service account for Cloud Run function to collect SailPoint IAM logs.
Fai clic su Crea e continua.
Nella sezione Concedi a questo service account l'accesso al progetto:
1. Fai clic su Seleziona un ruolo.
2. Cerca e seleziona Amministratore oggetti di archiviazione.
3. Fai clic su + Aggiungi un altro ruolo.
4. Cerca e seleziona Cloud Run Invoker.
5. Fai clic su + Aggiungi un altro ruolo.
6. Cerca e seleziona Invoker di Cloud Functions.
Fai clic su Continua.
Fai clic su Fine.

Questi ruoli sono necessari per:

Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al service account le autorizzazioni di scrittura sul bucket GCS:

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: inserisci l'email del service account.
- Assegna i ruoli: seleziona Storage Object Admin.
Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

Nella console GCP, vai a Pub/Sub > Argomenti.
Fai clic su Crea argomento.
Fornisci i seguenti dettagli di configurazione:
- ID argomento: inserisci sailpoint-iam-trigger.
- Lascia le altre impostazioni sui valori predefiniti.
Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run viene attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API SailPoint Identity Security Cloud e li scrive in GCS.

Nella console GCP, vai a Cloud Run.
Fai clic su Crea servizio.
Seleziona Funzione (usa un editor in linea per creare una funzione).

Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome servizio	`sailpoint-iam-collector`
Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio `us-central1`)
Runtime	Seleziona Python 3.12 o versioni successive

Nella sezione Trigger (facoltativo):
1. Fai clic su + Aggiungi trigger.
2. Seleziona Cloud Pub/Sub.
3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento Pub/Sub (sailpoint-iam-trigger).
4. Fai clic su Salva.
Nella sezione Autenticazione:
1. Seleziona Richiedi autenticazione.
2. Controlla Identity and Access Management (IAM).
Nota: Pub/Sub gestisce automaticamente l'autenticazione quando richiama la funzione.
Scorri verso il basso ed espandi Container, networking, sicurezza.
Vai alla scheda Sicurezza:
- Service account: seleziona il service account (sailpoint-iam-collector-sa).

Vai alla scheda Container:

Fai clic su Variabili e secret.
Fai clic su + Aggiungi variabile per ogni variabile di ambiente:

Nome variabile	Valore di esempio
`GCS_BUCKET`	`sailpoint-iam-logs`
`GCS_PREFIX`	`sailpoint/iam/`
`STATE_KEY`	`sailpoint/iam/state.json`
`WINDOW_SECONDS`	`3600`
`HTTP_TIMEOUT`	`60`
`MAX_RETRIES`	`3`
`USER_AGENT`	`sailpoint-iam-to-gcs/1.0`
`IDN_BASE`	`https://tenant.api.identitynow.com`
`IDN_CLIENT_ID`	`your-client-id`
`IDN_CLIENT_SECRET`	`your-client-secret`
`IDN_SCOPE`	`sp:scopes:all`
`PAGE_SIZE`	`250`
`MAX_PAGES`	`20`

Scorri verso il basso nella scheda Variabili e secret fino a Richieste:
- Timeout richiesta: inserisci 600 secondi (10 minuti).
Vai alla scheda Impostazioni in Container:
- Nella sezione Risorse:
  - Memoria: seleziona 512 MiB o un valore superiore.
  - CPU: seleziona 1.
- Fai clic su Fine.
Scorri verso il basso fino a Ambiente di esecuzione:
- Seleziona Predefinito (opzione consigliata).
Nella sezione Scalabilità della revisione:
- Numero minimo di istanze: inserisci 0.
- Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto).
Fai clic su Crea.
Attendi la creazione del servizio (1-2 minuti).
Dopo aver creato il servizio, si apre automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

Inserisci main in Entry point della funzione

Nell'editor di codice incorporato, crea due file:

Primo file: main.py:

 import functions_framework
 from google.cloud import storage
 import json
 import os
 import urllib3
 from datetime import datetime, timezone
 import time
 import uuid

 # Initialize HTTP client
 http = urllib3.PoolManager()

 # Initialize Storage client
 storage_client = storage.Client()

 # Get environment variables
 GCS_BUCKET = os.environ.get('GCS_BUCKET')
 GCS_PREFIX = os.environ.get('GCS_PREFIX', 'sailpoint/iam/')
 STATE_KEY = os.environ.get('STATE_KEY', 'sailpoint/iam/state.json')
 WINDOW_SEC = int(os.environ.get('WINDOW_SECONDS', '3600'))
 HTTP_TIMEOUT = int(os.environ.get('HTTP_TIMEOUT', '60'))
 IDN_BASE = os.environ.get('IDN_BASE')
 CLIENT_ID = os.environ.get('IDN_CLIENT_ID')
 CLIENT_SECRET = os.environ.get('IDN_CLIENT_SECRET')
 SCOPE = os.environ.get('IDN_SCOPE', 'sp:scopes:all')
 PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '250'))
 MAX_PAGES = int(os.environ.get('MAX_PAGES', '20'))
 MAX_RETRIES = int(os.environ.get('MAX_RETRIES', '3'))
 USER_AGENT = os.environ.get('USER_AGENT', 'sailpoint-iam-to-gcs/1.0')

 def _load_state(bucket):
     """Load state from GCS."""
     try:
         blob = bucket.blob(STATE_KEY)
         if blob.exists():
             state_data = blob.download_as_text()
             return json.loads(state_data)
     except Exception as e:
         print(f'Warning: Could not load state: {str(e)}')
     return {}

 def _save_state(bucket, st):
     """Save state to GCS."""
     try:
         blob = bucket.blob(STATE_KEY)
         blob.upload_from_string(
             json.dumps(st, separators=(',', ':')),
             content_type='application/json'
         )
     except Exception as e:
         print(f'Warning: Could not save state: {str(e)}')

 def _iso(ts):
     """Convert timestamp to ISO format."""
     return time.strftime('%Y-%m-%dT%H:%M:%SZ', time.gmtime(ts))

 def _get_oauth_token():
     """Get OAuth2 access token using Client Credentials flow."""
     token_url = f"{IDN_BASE.rstrip('/')}/oauth/token"

     fields = {
         'grant_type': 'client_credentials',
         'client_id': CLIENT_ID,
         'client_secret': CLIENT_SECRET,
         'scope': SCOPE
     }

     headers = {
         'Content-Type': 'application/x-www-form-urlencoded',
         'User-Agent': USER_AGENT
     }

     response = http.request(
         'POST',
         token_url,
         fields=fields,
         headers=headers,
         timeout=HTTP_TIMEOUT
     )

     token_data = json.loads(response.data.decode('utf-8'))
     return token_data['access_token']

 def _search_events(access_token, created_from, search_after=None):
     """Search for audit events using SailPoint's /v3/search API.

     IMPORTANT: SailPoint requires colons in ISO8601 timestamps to be escaped with backslashes.
     Example: 2024-01-15T10:30:00Z must be sent as 2024-01-15T10\\:30\\:00Z

     For more information, see:
     - https://developer.sailpoint.com/docs/api/standard-collection-parameters/
     - https://developer.sailpoint.com/docs/api/v3/search-post/
     """
     search_url = f"{IDN_BASE.rstrip('/')}/v3/search"

     # Escape colons in timestamp for SailPoint search query
     escaped_timestamp = created_from.replace(':', '\\:')
     query_str = f'created:>={escaped_timestamp}'

     payload = {
         'indices': ['events'],
         'query': {
             'query': query_str
         },
         'sort': ['created', '+id'],
         'limit': PAGE_SIZE
     }

     if search_after:
         payload['searchAfter'] = search_after

     attempt = 0
     while True:
         headers = {
             'Content-Type': 'application/json',
             'Accept': 'application/json',
             'Authorization': f'Bearer {access_token}',
             'User-Agent': USER_AGENT
         }

         try:
             response = http.request(
                 'POST',
                 search_url,
                 body=json.dumps(payload).encode('utf-8'),
                 headers=headers,
                 timeout=HTTP_TIMEOUT
             )

             response_data = json.loads(response.data.decode('utf-8'))

             # Handle different response formats
             if isinstance(response_data, list):
                 return response_data
             return response_data.get('results', response_data.get('data', []))

         except Exception as e:
             attempt += 1
             print(f'HTTP error on attempt {attempt}: {e}')
             if attempt > MAX_RETRIES:
                 raise
             # Exponential backoff with jitter
             time.sleep(min(60, 2 ** attempt) + (time.time() % 1))

 def _put_events_data(bucket, events, from_ts, to_ts, page_num):
     """Write events to GCS in JSONL format (one JSON object per line)."""
     # Create unique GCS key for events data
     ts_path = time.strftime('%Y/%m/%d', time.gmtime(to_ts))
     uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}"
     key = f"{GCS_PREFIX}{ts_path}/sailpoint_iam_{int(from_ts)}_{int(to_ts)}_p{page_num:03d}_{uniq}.jsonl"

     # Convert events list to JSONL format (one JSON object per line)
     jsonl_lines = [json.dumps(event, separators=(',', ':')) for event in events]
     jsonl_content = '\n'.join(jsonl_lines)

     blob = bucket.blob(key)
     blob.metadata = {
         'source': 'sailpoint-iam',
         'from_timestamp': str(int(from_ts)),
         'to_timestamp': str(int(to_ts)),
         'page_number': str(page_num),
         'events_count': str(len(events)),
         'format': 'jsonl'
     }
     blob.upload_from_string(
         jsonl_content,
         content_type='application/x-ndjson'
     )

     return key

 def _get_item_id(item):
     """Extract ID from event item, trying multiple possible fields."""
     for field in ('id', 'uuid', 'eventId', '_id'):
         if field in item and item[field]:
             return str(item[field])
     return ''

 @functions_framework.cloud_event
 def main(cloud_event):
     """
     Cloud Run function triggered by Pub/Sub to fetch SailPoint IAM logs and write to GCS.

     Args:
         cloud_event: CloudEvent object containing Pub/Sub message
     """

     if not all([GCS_BUCKET, IDN_BASE, CLIENT_ID, CLIENT_SECRET]):
         print('Error: Missing required environment variables')
         return

     try:
         bucket = storage_client.bucket(GCS_BUCKET)

         st = _load_state(bucket)
         now = time.time()
         from_ts = float(st.get('last_to_ts') or (now - WINDOW_SEC))
         to_ts = now

         # Get OAuth token
         access_token = _get_oauth_token()

         created_from = _iso(from_ts)
         print(f'Fetching SailPoint IAM events from: {created_from}')

         # Handle pagination state
         last_created = st.get('last_created')
         last_id = st.get('last_id')
         search_after = [last_created, last_id] if (last_created and last_id) else None

         pages = 0
         total_events = 0
         written_keys = []
         newest_created = last_created or created_from
         newest_id = last_id or ''

         while pages < MAX_PAGES:
             events = _search_events(access_token, created_from, search_after)
             if not events:
                 break

             # Write page to GCS in JSONL format
             key = _put_events_data(bucket, events, from_ts, to_ts, pages + 1)
             written_keys.append(key)
             total_events += len(events)

             # Update pagination state from last item
             last_event = events[-1]
             last_event_created = last_event.get('created') or last_event.get('metadata', {}).get('created')
             last_event_id = _get_item_id(last_event)

             if last_event_created:
                 newest_created = last_event_created
             if last_event_id:
                 newest_id = last_event_id

             search_after = [newest_created, newest_id]
             pages += 1

             # If we got less than page size, we're done
             if len(events) < PAGE_SIZE:
                 break

         print(f'Successfully retrieved {total_events} events across {pages} pages')

         # Save state for next run
         st['last_to_ts'] = to_ts
         st['last_created'] = newest_created
         st['last_id'] = newest_id
         st['last_successful_run'] = now
         _save_state(bucket, st)

         print(f'Wrote {len(written_keys)} files to GCS')

     except Exception as e:
         print(f'Error processing logs: {str(e)}')
         raise

Secondo file: requirements.txt::

 functions-framework==3.*
 google-cloud-storage==2.*
 urllib3>=2.0.0
 ```

Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.
Attendi il completamento del deployment (2-3 minuti).

Nota :la configurazione del trigger Pub/Sub crea automaticamente le sottoscrizioni e le autorizzazioni necessarie.

Crea job Cloud Scheduler

Cloud Scheduler pubblica messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

Nella console di GCP, vai a Cloud Scheduler.
Fai clic su Crea job.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome	`sailpoint-iam-collector-hourly`
Regione	Seleziona la stessa regione della funzione Cloud Run
Frequenza	`0 * * * *` (ogni ora, all'ora)
Fuso orario	Seleziona il fuso orario (UTC consigliato)
Tipo di target	Pub/Sub
Argomento	Seleziona l'argomento Pub/Sub (`sailpoint-iam-trigger`)
Corpo del messaggio	`{}` (oggetto JSON vuoto)

Fai clic su Crea.

Opzioni di frequenza di pianificazione

Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

Frequenza	Espressione cron	Caso d'uso
Ogni 5 minuti	`/5 * * *`	Volume elevato, bassa latenza
Ogni 15 minuti	`/15 * * *`	Volume medio
Ogni ora	`0 * * * *`	Standard (consigliato)
Ogni 6 ore	`0 /6 * *`	Volume basso, elaborazione batch
Ogni giorno	`0 0 * * *`	Raccolta dei dati storici

Testa il job di pianificazione

Nella console Cloud Scheduler, trova il job.
Fai clic su Forza esecuzione per attivare manualmente.
Attendi qualche secondo e vai a Cloud Run > Servizi > sailpoint-iam-collector > Log.
Verifica che la funzione sia stata eseguita correttamente.
Controlla il bucket GCS per verificare che i log siano stati scritti.

Recuperare il service account Google SecOps

Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.

Recuperare l'email del service account

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, SailPoint IAM logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona SailPoint IAM come Tipo di log.
Fai clic su Ottieni service account. Viene visualizzata un'email del service account univoca, ad esempio:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Nota: ogni istanza di Google SecOps ha un service account univoco. Non utilizzare service account di altre documentazioni o esempi.

Concedi le autorizzazioni IAM al service account Google SecOps

Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: incolla l'email del service account Google SecOps.
- Assegna i ruoli: seleziona Visualizzatore oggetti Storage.
Fai clic su Salva.

Nota: se prevedi di utilizzare l'opzione di eliminazione "Elimina i file trasferiti" o "Elimina i file trasferiti e le directory vuote", assegna il ruolo Storage Object Admin anziché Storage Object Viewer.

Configura un feed in Google SecOps per importare i log IAM di SailPoint

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, SailPoint IAM logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona SailPoint IAM come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:
```
gs://sailpoint-iam-logs/sailpoint/iam/
```
  - Sostituisci:
    - sailpoint-iam-logs: il nome del bucket GCS.
    - sailpoint/iam/: (Facoltativo) prefisso/percorso della cartella in cui vengono archiviati i log (lascia vuoto per la radice).
  - Esempi:
    - Bucket radice: gs://company-logs/
    - Con prefisso: gs://company-logs/sailpoint-logs/
    - Con sottocartella: gs://company-logs/sailpoint/iam/
  Nota: includi sempre la barra finale (/) alla fine dell'URI.
- Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:
  - Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
  - Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.
  - Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.
    
    Nota :se selezioni un'opzione di eliminazione, il service account deve disporre del ruolo Storage Object Admin anziché di Storage Object Viewer. Aggiorna le autorizzazioni IAM di conseguenza.
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Funzione logica
azione	metadata.description	Il valore del campo azione del log non elaborato.
actor.name	principal.user.user_display_name	Il valore del campo actor.name del log non elaborato.
attributes.accountName	principal.user.group_identifiers	Il valore del campo attributes.accountName del log non elaborato.
attributes.appId	target.asset_id	"ID app: " concatenato al valore del campo attributes.appId del log non elaborato.
attributes.attributeName	additional.fields[0].value.string_value	Il valore del campo attributes.attributeName del log non elaborato, inserito in un oggetto additional.fields. La chiave è impostata su "Nome attributo".
attributes.attributeValue	additional.fields[1].value.string_value	Il valore del campo attributes.attributeValue del log non elaborato, inserito in un oggetto additional.fields. La chiave è impostata su "Valore attributo".
attributes.cloudAppName	target.application	Il valore del campo attributes.cloudAppName del log non elaborato.
attributes.hostName	target.hostname, target.asset.hostname	Il valore del campo attributes.hostName del log non elaborato.
attributes.interface	additional.fields[2].value.string_value	Il valore del campo attributes.interface del log non elaborato, inserito in un oggetto additional.fields. La chiave è impostata su "Interfaccia".
attributes.operation	security_result.action_details	Il valore del campo attributes.operation del log non elaborato.
attributes.previousValue	additional.fields[3].value.string_value	Il valore del campo attributes.previousValue del log non elaborato, inserito in un oggetto additional.fields. La chiave è impostata su "Valore precedente".
attributes.provisioningResult	security_result.detection_fields.value	Il valore del campo attributes.provisioningResult del log non elaborato, inserito in un oggetto security_result.detection_fields. La chiave è impostata su "Provisioning Result".
attributes.sourceId	principal.labels[0].value	Il valore del campo attributes.sourceId del log non elaborato, inserito in un oggetto principal.labels. La chiave è impostata su "ID origine".
attributes.sourceName	principal.labels[1].value	Il valore del campo attributes.sourceName del log non elaborato, inserito in un oggetto principal.labels. La chiave è impostata su "Nome origine".
auditClassName	metadata.product_event_type	Il valore del campo auditClassName del log non elaborato.
creato	metadata.event_timestamp.seconds, metadata.event_timestamp.nanos	Il valore del campo creato dal log non elaborato, convertito in timestamp se instant.epochSecond non è presente.
id	metadata.product_log_id	Il valore del campo id del log non elaborato.
instant.epochSecond	metadata.event_timestamp.seconds	Il valore del campo instant.epochSecond del log non elaborato, utilizzato per il timestamp.
ipAddress	principal.asset.ip, principal.ip	Il valore del campo ipAddress del log non elaborato.
interfaccia	additional.fields[0].value.string_value	Il valore del campo dell'interfaccia del log non elaborato, inserito in un oggetto additional.fields. La chiave è impostata su "interface".
loggerName	intermediary.application	Il valore del campo loggerName del log non elaborato.
messaggio	metadata.description, security_result.description	Utilizzato per vari scopi, tra cui l'impostazione della descrizione nei metadati e in security_result e l'estrazione di contenuti XML.
nome	security_result.description	Il valore del campo nome del log non elaborato.
operazione	target.resource.attribute.labels[0].value, metadata.product_event_type	Il valore del campo operation del log non elaborato, inserito in un oggetto target.resource.attribute.labels. La chiave è impostata su "operation". Utilizzato anche per metadata.product_event_type.
org	principal.administrative_domain	Il valore del campo org del log non elaborato.
pod	principal.location.name	Il valore del campo pod dal log non elaborato.
referenceClass	additional.fields[1].value.string_value	Il valore del campo referenceClass del log non elaborato, inserito in un oggetto additional.fields. La chiave è impostata su "referenceClass".
referenceId	additional.fields[2].value.string_value	Il valore del campo referenceId del log non elaborato, inserito in un oggetto additional.fields. La chiave è impostata su "referenceId".
sailPointObjectName	additional.fields[3].value.string_value	Il valore del campo sailPointObjectName del log non elaborato, inserito in un oggetto additional.fields. La chiave è impostata su "sailPointObjectName".
serverHost	principal.hostname, principal.asset.hostname	Il valore del campo serverHost del log non elaborato.
stack	additional.fields[4].value.string_value	Il valore del campo stack del log non elaborato, inserito in un oggetto additional.fields. Il tasto è impostato su "Pila".
stato	security_result.severity_details	Il valore del campo di stato del log non elaborato.
target	additional.fields[4].value.string_value	Il valore del campo di destinazione del log non elaborato, inserito in un oggetto additional.fields. La chiave è impostata su "target".
target.name	principal.user.userid	Il valore del campo target.name del log non elaborato.
technicalName	security_result.summary	Il valore del campo technicalName del log non elaborato.
thrown.cause.message	xml_body, detailed_message	Il valore del campo thrown.cause.message del log non elaborato, utilizzato per estrarre i contenuti XML.
thrown.message	xml_body, detailed_message	Il valore del campo thrown.message del log non elaborato, utilizzato per estrarre i contenuti XML.
trackingNumber	additional.fields[5].value.string_value	Il valore del campo trackingNumber del log non elaborato, inserito in un oggetto additional.fields. La chiave è impostata su "Numero di tracciamento".
tipo	metadata.product_event_type	Il valore del campo tipo del log non elaborato.
_version	metadata.product_version	Il valore del campo _version del log non elaborato.
N/D	metadata.event_timestamp	Derivato da instant.epochSecond o da campi creati.
N/D	metadata.event_type	Determinato dalla logica del parser in base a vari campi, tra cui has_principal_user, has_target_application, technicalName e action. Il valore predefinito è "GENERIC_EVENT".
N/D	metadata.log_type	Imposta il valore su "SAILPOINT_IAM".
N/D	metadata.product_name	Impostalo su "IAM".
N/D	metadata.vendor_name	Imposta su "SAILPOINT".
N/D	extensions.auth.type	Impostato su "AUTHTYPE_UNSPECIFIED" in determinate condizioni.
N/D	target.resource.attribute.labels[0].key	Imposta "operation".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.