SailPoint IAM のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Cloud Storage を使用して SailPoint IAM ログを Google Security Operations に取り込む方法について説明します。SailPoint Identity Security Cloud は、エンタープライズ アプリケーション全体でユーザー アクセス、コンプライアンス、セキュリティを管理するための ID ガバナンスと管理機能を提供します。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- Cloud Storage API が有効になっている GCP プロジェクト
- GCS バケットを作成および管理する権限
- GCS バケットの IAM ポリシーを管理する権限
- Cloud Run サービス、Pub/Sub トピック、Cloud Scheduler ジョブを作成する権限
- SailPoint Identity Security Cloud テナントまたは API への特権アクセス
Google Cloud Storage バケットを作成する
- Google Cloud Console に移動します。
- プロジェクトを選択するか、新しいプロジェクトを作成します。
- ナビゲーション メニューで、[Cloud Storage > バケット] に移動します。
- [バケットを作成] をクリックします。
次の構成情報を提供してください。
設定 値 バケットに名前を付ける グローバルに一意の名前( sailpoint-iam-logsなど)を入力します。ロケーション タイプ ニーズに基づいて選択します(リージョン、デュアルリージョン、マルチリージョン)。 ロケーション ロケーションを選択します(例: us-central1)。ストレージ クラス Standard(頻繁にアクセスされるログにおすすめ) アクセス制御 均一(推奨) 保護ツール 省略可: オブジェクトのバージョニングまたは保持ポリシーを有効にする [作成] をクリックします。
SailPoint Identity Security Cloud API の認証情報を収集する
- 管理者として SailPoint Identity Security Cloud Admin Console にログインします。
- [管理者> 全般> セキュリティ設定> API 管理] に移動します。
- [Create API Client] をクリックします。
- 権限付与タイプとして [クライアント認証情報] を選択します。
- 次の構成の詳細を指定します。
- 名前: わかりやすい名前を入力します(例:
Chronicle Export API)。 - 説明: API クライアントの説明を入力します。
- スコープ: [sp:scopes:all](または監査イベントの適切な読み取りスコープ)を選択します。
- 名前: わかりやすい名前を入力します(例:
- [作成] をクリックし、生成された API 認証情報を安全にコピーします。
- SailPoint テナントのベース URL(
https://tenant.api.identitynow.comなど)を記録します。 次の詳細をコピーして安全な場所に保存します。
IDN_CLIENT_IDIDN_CLIENT_SECRETIDN_BASE
テスト API アクセス
統合に進む前に、認証情報をテストします。
# Replace with your actual credentials IDN_CLIENT_ID="your-client-id" IDN_CLIENT_SECRET="your-client-secret" IDN_BASE="https://tenant.api.identitynow.com" # Get OAuth token TOKEN=$(curl -s -X POST "${IDN_BASE}/oauth/token" \ -H "Content-Type: application/x-www-form-urlencoded" \ -d "grant_type=client_credentials&client_id=${IDN_CLIENT_ID}&client_secret=${IDN_CLIENT_SECRET}&scope=sp:scopes:all" | jq -r '.access_token') # Test API access curl -v -H "Authorization: Bearer ${TOKEN}" "${IDN_BASE}/v3/search" \ -H "Content-Type: application/json" \ -d '{"indices":["events"],"query":{"query":"*"},"limit":1}'
Cloud Run functions のサービス アカウントを作成する
Cloud Run 関数には、GCS バケットに書き込む権限を持つサービス アカウントが必要です。
サービス アカウントの作成
- GCP Console で、[IAM と管理>サービス アカウント] に移動します。
- [サービス アカウントを作成] をクリックします。
- 次の構成の詳細を指定します。
- サービス アカウント名: 「
sailpoint-iam-collector-sa」と入力します。 - サービス アカウントの説明: 「
Service account for Cloud Run function to collect SailPoint IAM logs」と入力します。
- サービス アカウント名: 「
- [作成して続行] をクリックします。
- [このサービス アカウントにプロジェクトへのアクセスを許可する] セクションで、次の操作を行います。
- [ロールを選択] をクリックします。
- [ストレージ オブジェクト管理者] を検索して選択します。
- [+ 別のロールを追加] をクリックします。
- [Cloud Run 起動元] を検索して選択します。
- [+ 別のロールを追加] をクリックします。
- [Cloud Functions 起動元] を検索して選択します。
- [続行] をクリックします。
- [完了] をクリックします。
これらのロールは、次の目的で必要です。
- Storage オブジェクト管理者: ログを GCS バケットに書き込み、状態ファイルを管理する
- Cloud Run 起動元: Pub/Sub が関数を呼び出すことを許可する
- Cloud Functions 起動元: 関数の呼び出しを許可する
GCS バケットに対する IAM 権限を付与する
GCS バケットに対する書き込み権限をサービス アカウントに付与します。
- [Cloud Storage] > [バケット] に移動します。
- バケット名をクリックします。
- [権限] タブに移動します。
- [アクセス権を付与] をクリックします。
- 次の構成の詳細を指定します。
- プリンシパルを追加: サービス アカウントのメールアドレスを入力します。
- ロールを割り当てる: [Storage オブジェクト管理者] を選択します。
- [保存] をクリックします。
Pub/Sub トピックの作成
Cloud Scheduler がパブリッシュし、Cloud Run functions がサブスクライブする Pub/Sub トピックを作成します。
- GCP Console で、[Pub/Sub> トピック] に移動します。
- [トピックを作成] をクリックします。
- 次の構成の詳細を指定します。
- トピック ID: 「
sailpoint-iam-trigger」と入力します。 - その他の設定はデフォルトのままにします。
- トピック ID: 「
- [作成] をクリックします。
ログを収集する Cloud Run 関数を作成する
Cloud Run 関数は、Cloud Scheduler からの Pub/Sub メッセージによってトリガーされ、SailPoint Identity Security Cloud API からログを取得して GCS に書き込みます。
- GCP Console で、[Cloud Run] に移動します。
- [サービスを作成] をクリックします。
- [関数] を選択します(インライン エディタを使用して関数を作成します)。
[構成] セクションで、次の構成の詳細を指定します。
設定 値 サービス名 sailpoint-iam-collectorリージョン GCS バケットと一致するリージョンを選択します(例: us-central1)。ランタイム [Python 3.12] 以降を選択します。 [トリガー(省略可)] セクションで、次の操作を行います。
- [+ トリガーを追加] をクリックします。
- [Cloud Pub/Sub] を選択します。
- [Cloud Pub/Sub トピックを選択してください] で、Pub/Sub トピック(
sailpoint-iam-trigger)を選択します。 - [保存] をクリックします。
[認証] セクションで、次の操作を行います。
- [認証が必要] を選択します。
- Identity and Access Management(IAM)を確認します。
下にスクロールして、[コンテナ、ネットワーキング、セキュリティ] を開きます。
[セキュリティ] タブに移動します。
- サービス アカウント: サービス アカウントを選択します(
sailpoint-iam-collector-sa)。
- サービス アカウント: サービス アカウントを選択します(
[コンテナ] タブに移動します。
- [変数とシークレット] をクリックします。
- 環境変数ごとに [+ 変数を追加] をクリックします。
変数名 値の例 GCS_BUCKETsailpoint-iam-logsGCS_PREFIXsailpoint/iam/STATE_KEYsailpoint/iam/state.jsonWINDOW_SECONDS3600HTTP_TIMEOUT60MAX_RETRIES3USER_AGENTsailpoint-iam-to-gcs/1.0IDN_BASEhttps://tenant.api.identitynow.comIDN_CLIENT_IDyour-client-idIDN_CLIENT_SECRETyour-client-secretIDN_SCOPEsp:scopes:allPAGE_SIZE250MAX_PAGES20[変数とシークレット] タブで [リクエスト] まで下にスクロールします。
- リクエストのタイムアウト:
600秒(10 分)を入力します。
- リクエストのタイムアウト:
[コンテナ] の [設定] タブに移動します。
- [リソース] セクションで次の操作を行います。
- メモリ: 512 MiB 以上を選択します。
- CPU: [1] を選択します。
- [完了] をクリックします。
- [リソース] セクションで次の操作を行います。
[実行環境] まで下にスクロールします。
- [デフォルト](推奨)を選択します。
[リビジョン スケーリング] セクションで、次の操作を行います。
- [インスタンスの最小数] に「
0」と入力します。 - インスタンスの最大数:
100と入力します(または、予想される負荷に基づいて調整します)。
- [インスタンスの最小数] に「
[作成] をクリックします。
サービスが作成されるまで待ちます(1 ~ 2 分)。
サービスを作成すると、インライン コードエディタが自動的に開きます。
関数コードを追加する
- [関数のエントリ ポイント] に「main」と入力します。
インライン コードエディタで、次の 2 つのファイルを作成します。
- 最初のファイル: main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone import time import uuid # Initialize HTTP client http = urllib3.PoolManager() # Initialize Storage client storage_client = storage.Client() # Get environment variables GCS_BUCKET = os.environ.get('GCS_BUCKET') GCS_PREFIX = os.environ.get('GCS_PREFIX', 'sailpoint/iam/') STATE_KEY = os.environ.get('STATE_KEY', 'sailpoint/iam/state.json') WINDOW_SEC = int(os.environ.get('WINDOW_SECONDS', '3600')) HTTP_TIMEOUT = int(os.environ.get('HTTP_TIMEOUT', '60')) IDN_BASE = os.environ.get('IDN_BASE') CLIENT_ID = os.environ.get('IDN_CLIENT_ID') CLIENT_SECRET = os.environ.get('IDN_CLIENT_SECRET') SCOPE = os.environ.get('IDN_SCOPE', 'sp:scopes:all') PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '250')) MAX_PAGES = int(os.environ.get('MAX_PAGES', '20')) MAX_RETRIES = int(os.environ.get('MAX_RETRIES', '3')) USER_AGENT = os.environ.get('USER_AGENT', 'sailpoint-iam-to-gcs/1.0') def _load_state(bucket): """Load state from GCS.""" try: blob = bucket.blob(STATE_KEY) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f'Warning: Could not load state: {str(e)}') return {} def _save_state(bucket, st): """Save state to GCS.""" try: blob = bucket.blob(STATE_KEY) blob.upload_from_string( json.dumps(st, separators=(',', ':')), content_type='application/json' ) except Exception as e: print(f'Warning: Could not save state: {str(e)}') def _iso(ts): """Convert timestamp to ISO format.""" return time.strftime('%Y-%m-%dT%H:%M:%SZ', time.gmtime(ts)) def _get_oauth_token(): """Get OAuth2 access token using Client Credentials flow.""" token_url = f"{IDN_BASE.rstrip('/')}/oauth/token" fields = { 'grant_type': 'client_credentials', 'client_id': CLIENT_ID, 'client_secret': CLIENT_SECRET, 'scope': SCOPE } headers = { 'Content-Type': 'application/x-www-form-urlencoded', 'User-Agent': USER_AGENT } response = http.request( 'POST', token_url, fields=fields, headers=headers, timeout=HTTP_TIMEOUT ) token_data = json.loads(response.data.decode('utf-8')) return token_data['access_token'] def _search_events(access_token, created_from, search_after=None): """Search for audit events using SailPoint's /v3/search API. IMPORTANT: SailPoint requires colons in ISO8601 timestamps to be escaped with backslashes. Example: 2024-01-15T10:30:00Z must be sent as 2024-01-15T10\\:30\\:00Z For more information, see: - https://developer.sailpoint.com/docs/api/standard-collection-parameters/ - https://developer.sailpoint.com/docs/api/v3/search-post/ """ search_url = f"{IDN_BASE.rstrip('/')}/v3/search" # Escape colons in timestamp for SailPoint search query escaped_timestamp = created_from.replace(':', '\\:') query_str = f'created:>={escaped_timestamp}' payload = { 'indices': ['events'], 'query': { 'query': query_str }, 'sort': ['created', '+id'], 'limit': PAGE_SIZE } if search_after: payload['searchAfter'] = search_after attempt = 0 while True: headers = { 'Content-Type': 'application/json', 'Accept': 'application/json', 'Authorization': f'Bearer {access_token}', 'User-Agent': USER_AGENT } try: response = http.request( 'POST', search_url, body=json.dumps(payload).encode('utf-8'), headers=headers, timeout=HTTP_TIMEOUT ) response_data = json.loads(response.data.decode('utf-8')) # Handle different response formats if isinstance(response_data, list): return response_data return response_data.get('results', response_data.get('data', [])) except Exception as e: attempt += 1 print(f'HTTP error on attempt {attempt}: {e}') if attempt > MAX_RETRIES: raise # Exponential backoff with jitter time.sleep(min(60, 2 ** attempt) + (time.time() % 1)) def _put_events_data(bucket, events, from_ts, to_ts, page_num): """Write events to GCS in JSONL format (one JSON object per line).""" # Create unique GCS key for events data ts_path = time.strftime('%Y/%m/%d', time.gmtime(to_ts)) uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}" key = f"{GCS_PREFIX}{ts_path}/sailpoint_iam_{int(from_ts)}_{int(to_ts)}_p{page_num:03d}_{uniq}.jsonl" # Convert events list to JSONL format (one JSON object per line) jsonl_lines = [json.dumps(event, separators=(',', ':')) for event in events] jsonl_content = '\n'.join(jsonl_lines) blob = bucket.blob(key) blob.metadata = { 'source': 'sailpoint-iam', 'from_timestamp': str(int(from_ts)), 'to_timestamp': str(int(to_ts)), 'page_number': str(page_num), 'events_count': str(len(events)), 'format': 'jsonl' } blob.upload_from_string( jsonl_content, content_type='application/x-ndjson' ) return key def _get_item_id(item): """Extract ID from event item, trying multiple possible fields.""" for field in ('id', 'uuid', 'eventId', '_id'): if field in item and item[field]: return str(item[field]) return '' @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch SailPoint IAM logs and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ if not all([GCS_BUCKET, IDN_BASE, CLIENT_ID, CLIENT_SECRET]): print('Error: Missing required environment variables') return try: bucket = storage_client.bucket(GCS_BUCKET) st = _load_state(bucket) now = time.time() from_ts = float(st.get('last_to_ts') or (now - WINDOW_SEC)) to_ts = now # Get OAuth token access_token = _get_oauth_token() created_from = _iso(from_ts) print(f'Fetching SailPoint IAM events from: {created_from}') # Handle pagination state last_created = st.get('last_created') last_id = st.get('last_id') search_after = [last_created, last_id] if (last_created and last_id) else None pages = 0 total_events = 0 written_keys = [] newest_created = last_created or created_from newest_id = last_id or '' while pages < MAX_PAGES: events = _search_events(access_token, created_from, search_after) if not events: break # Write page to GCS in JSONL format key = _put_events_data(bucket, events, from_ts, to_ts, pages + 1) written_keys.append(key) total_events += len(events) # Update pagination state from last item last_event = events[-1] last_event_created = last_event.get('created') or last_event.get('metadata', {}).get('created') last_event_id = _get_item_id(last_event) if last_event_created: newest_created = last_event_created if last_event_id: newest_id = last_event_id search_after = [newest_created, newest_id] pages += 1 # If we got less than page size, we're done if len(events) < PAGE_SIZE: break print(f'Successfully retrieved {total_events} events across {pages} pages') # Save state for next run st['last_to_ts'] = to_ts st['last_created'] = newest_created st['last_id'] = newest_id st['last_successful_run'] = now _save_state(bucket, st) print(f'Wrote {len(written_keys)} files to GCS') except Exception as e: print(f'Error processing logs: {str(e)}') raise- 2 つ目のファイル: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0 ```[デプロイ] をクリックして、関数を保存してデプロイします。
デプロイが完了するまで待ちます(2 ~ 3 分)。
Cloud Scheduler ジョブの作成
Cloud Scheduler は、定期的に Pub/Sub トピックにメッセージをパブリッシュし、Cloud Run functions の関数をトリガーします。
- GCP Console で、[Cloud Scheduler] に移動します。
- [ジョブを作成] をクリックします。
次の構成情報を提供してください。
設定 値 名前 sailpoint-iam-collector-hourlyリージョン Cloud Run functions と同じリージョンを選択する 周波数 0 * * * *(1 時間ごとに正時)タイムゾーン タイムゾーンを選択します(UTC を推奨)。 ターゲット タイプ Pub/Sub トピック Pub/Sub トピック( sailpoint-iam-trigger)を選択するメッセージ本文 {}(空の JSON オブジェクト)[作成] をクリックします。
スケジュールの頻度のオプション
ログの量とレイテンシの要件に基づいて頻度を選択します。
頻度 CRON 式 ユースケース 5 分毎 */5 * * * *大容量、低レイテンシ 15 分ごと */15 * * * *検索量が普通 1 時間ごと 0 * * * *標準(推奨) 6 時間ごと 0 */6 * * *少量、バッチ処理 毎日 0 0 * * *履歴データの収集
スケジューラ ジョブをテストする
- Cloud Scheduler コンソールで、ジョブを見つけます。
- [強制実行] をクリックして手動でトリガーします。
- 数秒待ってから、[Cloud Run> サービス> sailpoint-iam-collector > ログ] に移動します。
- 関数が正常に実行されたことを確認します。
- GCS バケットをチェックして、ログが書き込まれたことを確認します。
Google SecOps サービス アカウントを取得する
Google SecOps は、一意のサービス アカウントを使用して GCS バケットからデータを読み取ります。このサービス アカウントにバケットへのアクセス権を付与する必要があります。
サービス アカウントのメールアドレスを取得する
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
SailPoint IAM logs)。 - [ソースタイプ] として [Google Cloud Storage V2] を選択します。
- [ログタイプ] として [SailPoint IAM] を選択します。
[サービス アカウントを取得する] をクリックします。一意のサービス アカウント メールアドレスが表示されます(例:)。
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comこのメールアドレスをコピーして、次のステップで使用します。
Google SecOps サービス アカウントに IAM 権限を付与する
Google SecOps サービス アカウントには、GCS バケットに対する Storage オブジェクト閲覧者ロールが必要です。
- [Cloud Storage] > [バケット] に移動します。
- バケット名をクリックします。
- [権限] タブに移動します。
- [アクセス権を付与] をクリックします。
- 次の構成の詳細を指定します。
- プリンシパルを追加: Google SecOps サービス アカウントのメールアドレスを貼り付けます。
- ロールを割り当てる: [ストレージ オブジェクト閲覧者] を選択します。
[保存] をクリックします。
SailPoint IAM のログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
SailPoint IAM logs)。 - [ソースタイプ] として [Google Cloud Storage V2] を選択します。
- [ログタイプ] として [SailPoint IAM] を選択します。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
ストレージ バケットの URL: 接頭辞パスを含む GCS バケット URI を入力します。
gs://sailpoint-iam-logs/sailpoint/iam/次のように置き換えます。
sailpoint-iam-logs: GCS バケット名。sailpoint/iam/: ログが保存されるオプションの接頭辞/フォルダパス(ルートの場合は空のままにします)。
例:
- ルートバケット:
gs://company-logs/ - 接頭辞あり:
gs://company-logs/sailpoint-logs/ - サブフォルダあり:
gs://company-logs/sailpoint/iam/
- ルートバケット:
Source deletion option: 必要に応じて削除オプションを選択します。
- なし: 転送後にファイルを削除しません(テストにおすすめ)。
- 転送されたファイルを削除する: 転送が完了した後にファイルを削除します。
転送されたファイルと空のディレクトリを削除する: 転送が完了した後にファイルと空のディレクトリを削除します。
ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
アセットの名前空間: アセットの名前空間。
Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| アクション | metadata.description | 未加工ログのアクション フィールドの値。 |
| actor.name | principal.user.user_display_name | 未加工ログの actor.name フィールドの値。 |
| attributes.accountName | principal.user.group_identifiers | 未加工ログの attributes.accountName フィールドの値。 |
| attributes.appId | target.asset_id | 「アプリ ID: 」と未加工ログの attributes.appId フィールドの値を連結した文字列。 |
| attributes.attributeName | additional.fields[0].value.string_value | 未加工ログの attributes.attributeName フィールドの値。additional.fields オブジェクト内に配置されます。キーは「Attribute Name」に設定されます。 |
| attributes.attributeValue | additional.fields[1].value.string_value | 未加工ログの attributes.attributeValue フィールドの値。additional.fields オブジェクト内に配置されます。キーは「Attribute Value」に設定されます。 |
| attributes.cloudAppName | target.application | 未加工ログの attributes.cloudAppName フィールドの値。 |
| attributes.hostName | target.hostname、target.asset.hostname | 未加工ログの attributes.hostName フィールドの値。 |
| attributes.interface | additional.fields[2].value.string_value | 未加工ログの attributes.interface フィールドの値。additional.fields オブジェクト内に配置されます。キーは「Interface」に設定されます。 |
| attributes.operation | security_result.action_details | 未加工ログの attributes.operation フィールドの値。 |
| attributes.previousValue | additional.fields[3].value.string_value | 未加工ログの attributes.previousValue フィールドの値。additional.fields オブジェクト内に配置されます。キーは「Previous Value」に設定されます。 |
| attributes.provisioningResult | security_result.detection_fields.value | 未加工ログの attributes.provisioningResult フィールドの値。security_result.detection_fields オブジェクト内に配置されます。キーは「Provisioning Result」に設定されます。 |
| attributes.sourceId | principal.labels[0].value | 未加工ログの attributes.sourceId フィールドの値。principal.labels オブジェクト内に配置されます。キーは「Source Id」に設定されます。 |
| attributes.sourceName | principal.labels[1].value | 未加工ログの attributes.sourceName フィールドの値。principal.labels オブジェクト内に配置されます。キーは「Source Name」に設定されます。 |
| auditClassName | metadata.product_event_type | 未加工ログの auditClassName フィールドの値。 |
| created | metadata.event_timestamp.seconds、metadata.event_timestamp.nanos | 未加工ログの作成済みフィールドの値。instant.epochSecond が存在しない場合はタイムスタンプに変換されます。 |
| id | metadata.product_log_id | 未加工ログの id フィールドの値。 |
| instant.epochSecond | metadata.event_timestamp.seconds | タイムスタンプに使用される未加工ログの instant.epochSecond フィールドの値。 |
| ipAddress | principal.asset.ip、principal.ip | 未加工ログの ipAddress フィールドの値。 |
| インターフェース | additional.fields[0].value.string_value | 未加工ログのインターフェース フィールドの値。additional.fields オブジェクト内に配置されます。キーは「interface」に設定されます。 |
| loggerName | intermediary.application | 未加工ログの loggerName フィールドの値。 |
| メッセージ | metadata.description、security_result.description | メタデータと security_result の説明の設定や XML コンテンツの抽出など、さまざまな目的で使用されます。 |
| name | security_result.description | 未加工ログの name フィールドの値。 |
| オペレーション | target.resource.attribute.labels[0].value, metadata.product_event_type | 未加工ログのオペレーション フィールドの値。target.resource.attribute.labels オブジェクト内に配置されます。キーは「operation」に設定されます。metadata.product_event_type にも使用されます。 |
| 組織 | principal.administrative_domain | 未加工ログの org フィールドの値。 |
| Pod | principal.location.name | 未加工ログの pod フィールドの値。 |
| referenceClass | additional.fields[1].value.string_value | 未加工ログの referenceClass フィールドの値。additional.fields オブジェクト内に配置されます。キーは「referenceClass」に設定されます。 |
| referenceId | additional.fields[2].value.string_value | 未加工ログの referenceId フィールドの値。additional.fields オブジェクト内に配置されます。キーは「referenceId」に設定されます。 |
| sailPointObjectName | additional.fields[3].value.string_value | 未加工ログの sailPointObjectName フィールドの値。additional.fields オブジェクト内に配置されます。キーは「sailPointObjectName」に設定されます。 |
| serverHost | principal.hostname、principal.asset.hostname | 未加工ログの serverHost フィールドの値。 |
| スタック | additional.fields[4].value.string_value | 未加工ログの stack フィールドの値。additional.fields オブジェクト内に配置されます。キーは「Stack」に設定されます。 |
| ステータス | security_result.severity_details | 未加工ログのステータス フィールドの値。 |
| ターゲット | additional.fields[4].value.string_value | 未加工ログのターゲット フィールドの値。additional.fields オブジェクト内に配置されます。キーは「target」に設定されます。 |
| target.name | principal.user.userid | 未加工ログの target.name フィールドの値。 |
| technicalName | security_result.summary | 未加工ログの technicalName フィールドの値。 |
| thrown.cause.message | xml_body、detailed_message | 未加工ログの thrown.cause.message フィールドの値。XML コンテンツの抽出に使用されます。 |
| thrown.message | xml_body、detailed_message | XML コンテンツの抽出に使用される、未加工ログの thrown.message フィールドの値。 |
| trackingNumber | additional.fields[5].value.string_value | 未加工ログの trackingNumber フィールドの値。additional.fields オブジェクト内に配置されます。キーは「Tracking Number」に設定されます。 |
| type | metadata.product_event_type | 未加工ログの type フィールドの値。 |
| _version | metadata.product_version | 未加工ログの _version フィールドの値。 |
| なし | metadata.event_timestamp | instant.epochSecond フィールドまたは created フィールドから派生します。 |
| なし | metadata.event_type | has_principal_user、has_target_application、technicalName、action などのさまざまなフィールドに基づいて、パーサー ロジックによって決定されます。デフォルト値は「GENERIC_EVENT」です。 |
| なし | metadata.log_type | 「SAILPOINT_IAM」に設定します。 |
| なし | metadata.product_name | 「IAM」に設定します。 |
| なし | metadata.vendor_name | 「SAILPOINT」に設定します。 |
| なし | extensions.auth.type | 特定の条件で「AUTHTYPE_UNSPECIFIED」に設定されます。 |
| なし | target.resource.attribute.labels[0].key | 「operation」に設定します。 |
ご不明な点がございましたら、コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。