Coletar registros do IAM do SailPoint

Compatível com:

Este documento explica como ingerir registros do IAM do SailPoint no Google Security Operations usando o Google Cloud Storage. O SailPoint Identity Security Cloud oferece recursos de governança e administração de identidades para gerenciar o acesso, a conformidade e a segurança dos usuários em aplicativos empresariais.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

  • Uma instância do Google SecOps
  • Um projeto do GCP com a API Cloud Storage ativada
  • Permissões para criar e gerenciar buckets do GCS
  • Permissões para gerenciar políticas do IAM em buckets do GCS
  • Permissões para criar serviços do Cloud Run, tópicos do Pub/Sub e jobs do Cloud Scheduler
  • Acesso privilegiado ao locatário ou à API do SailPoint Identity Security Cloud

Criar um bucket do Google Cloud Storage

  1. Acesse o Console do Google Cloud.
  2. Selecione seu projeto ou crie um novo.
  3. No menu de navegação, acesse Cloud Storage > Buckets.
  4. Clique em Criar bucket.

  5. Informe os seguintes detalhes de configuração:

    Configuração Valor
    Nomeie seu bucket Insira um nome exclusivo globalmente, por exemplo, sailpoint-iam-logs.
    Tipo de local Escolha com base nas suas necessidades (região, birregional, multirregional)
    Local Selecione o local (por exemplo, us-central1).
    Classe de armazenamento Padrão (recomendado para registros acessados com frequência)
    Controle de acesso Uniforme (recomendado)
    Ferramentas de proteção Opcional: ativar o controle de versões de objetos ou a política de retenção

  6. Clique em Criar.

Coletar credenciais da API SailPoint Identity Security Cloud

  1. Faça login no Console de administração do SailPoint Identity Security Cloud como administrador.
  2. Acesse Administrador > Global > Configurações de segurança > Gerenciamento de API.
  3. Clique em Criar cliente de API.
  4. Escolha Credenciais do cliente como o tipo de concessão.
  5. Informe os seguintes detalhes de configuração:
    • Nome: insira um nome descritivo, por exemplo, Chronicle Export API.
    • Descrição: insira uma descrição para o cliente de API.
    • Escopos: selecione sp:scopes:all (ou os escopos de leitura adequados para eventos de auditoria).
  6. Clique em Criar e copie as credenciais de API geradas com segurança.
  7. Registre o URL base do locatário do SailPoint (por exemplo, https://tenant.api.identitynow.com).

  8. Copie e salve em um local seguro os seguintes detalhes:

    • IDN_CLIENT_ID
    • IDN_CLIENT_SECRET
    • IDN_BASE

Testar o acesso à API

  • Teste suas credenciais antes de prosseguir com a integração:

    # Replace with your actual credentials
IDN_CLIENT_ID="your-client-id"
IDN_CLIENT_SECRET="your-client-secret"
IDN_BASE="https://tenant.api.identitynow.com"

# Get OAuth token
TOKEN=$(curl -s -X POST "${IDN_BASE}/oauth/token" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=client_credentials&client_id=${IDN_CLIENT_ID}&client_secret=${IDN_CLIENT_SECRET}&scope=sp:scopes:all" | jq -r '.access_token')

# Test API access
curl -v -H "Authorization: Bearer ${TOKEN}" "${IDN_BASE}/v3/search" \
  -H "Content-Type: application/json" \
  -d '{"indices":["events"],"query":{"query":"*"},"limit":1}'

Criar uma conta de serviço para a função do Cloud Run

A função do Cloud Run precisa de uma conta de serviço com permissões para gravar no bucket do GCS.

Criar conta de serviço

  1. No Console do GCP, acesse IAM e administrador > Contas de serviço.
  2. Clique em Criar conta de serviço.
  3. Informe os seguintes detalhes de configuração:
    • Nome da conta de serviço: insira sailpoint-iam-collector-sa.
    • Descrição da conta de serviço: insira Service account for Cloud Run function to collect SailPoint IAM logs.
  4. Clique em Criar e continuar.
  5. Na seção Conceda a essa conta de serviço acesso ao projeto:
    1. Clique em Selecionar papel.
    2. Pesquise e selecione Administrador de objetos do Storage.
    3. Clique em + Adicionar outro papel.
    4. Pesquise e selecione Invocador do Cloud Run.
    5. Clique em + Adicionar outro papel.
    6. Pesquise e selecione Invocador do Cloud Functions.
  6. Clique em Continuar.
  7. Clique em Concluído.

Esses papéis são necessários para:

  • Administrador de objetos do Storage: grava registros em um bucket do GCS e gerencia arquivos de estado.
  • Invocador do Cloud Run: permite que o Pub/Sub invoque a função
  • Invocador do Cloud Functions: permite a invocação de funções

Conceder permissões do IAM no bucket do GCS

Conceda permissões de gravação à conta de serviço no bucket do GCS:

  1. Acesse Cloud Storage > Buckets.
  2. Clique no nome do bucket.
  3. Acesse a guia Permissões.
  4. Clique em Conceder acesso.
  5. Informe os seguintes detalhes de configuração:
    • Adicionar participantes: insira o e-mail da conta de serviço.
    • Atribuir papéis: selecione Administrador de objetos do Storage.
  6. Clique em Salvar.

Criar tópico Pub/Sub

Crie um tópico do Pub/Sub em que o Cloud Scheduler vai publicar e a função do Cloud Run vai se inscrever.

  1. No Console do GCP, acesse Pub/Sub > Tópicos.
  2. Selecione Criar tópico.
  3. Informe os seguintes detalhes de configuração:
    • ID do tópico: insira sailpoint-iam-trigger.
    • Não altere as outras configurações.
  4. Clique em Criar.

Criar uma função do Cloud Run para coletar registros

A função do Cloud Run é acionada por mensagens do Pub/Sub do Cloud Scheduler para buscar registros da API SailPoint Identity Security Cloud e gravá-los no GCS.

  1. No console do GCP, acesse o Cloud Run.
  2. Clique em Criar serviço.
  3. Selecione Função (use um editor in-line para criar uma função).

  4. Na seção Configurar, forneça os seguintes detalhes de configuração:

    Configuração Valor
    Nome do serviço sailpoint-iam-collector
    Região Selecione a região que corresponde ao seu bucket do GCS (por exemplo, us-central1).
    Ambiente de execução Selecione Python 3.12 ou uma versão mais recente.

  5. Na seção Acionador (opcional):

    1. Clique em + Adicionar gatilho.
    2. Selecione Cloud Pub/Sub.
    3. Em Selecionar um tópico do Cloud Pub/Sub, escolha o tópico do Pub/Sub (sailpoint-iam-trigger).
    4. Clique em Salvar.

  6. Na seção Autenticação:

    1. Selecione Exigir autenticação.
    2. Confira o Identity and Access Management (IAM).

  7. Role a tela para baixo e abra Contêineres, rede, segurança.

  8. Acesse a guia Segurança:

    • Conta de serviço: selecione a conta de serviço (sailpoint-iam-collector-sa).

  9. Acesse a guia Contêineres:

    1. Clique em Variáveis e secrets.
    2. Clique em + Adicionar variável para cada variável de ambiente:
    Nome da variável Valor de exemplo
    GCS_BUCKET sailpoint-iam-logs
    GCS_PREFIX sailpoint/iam/
    STATE_KEY sailpoint/iam/state.json
    WINDOW_SECONDS 3600
    HTTP_TIMEOUT 60
    MAX_RETRIES 3
    USER_AGENT sailpoint-iam-to-gcs/1.0
    IDN_BASE https://tenant.api.identitynow.com
    IDN_CLIENT_ID your-client-id
    IDN_CLIENT_SECRET your-client-secret
    IDN_SCOPE sp:scopes:all
    PAGE_SIZE 250
    MAX_PAGES 20

  10. Role a tela para baixo na guia Variáveis e secrets até Solicitações:

    • Tempo limite da solicitação: insira 600 segundos (10 minutos).

  11. Acesse a guia Configurações em Contêineres:

    • Na seção Recursos:
      • Memória: selecione 512 MiB ou mais.
      • CPU: selecione 1.
    • Clique em Concluído.

  12. Role a tela para baixo até Ambiente de execução:

    • Selecione Padrão (recomendado).

  13. Na seção Escalonamento de revisão:

    • Número mínimo de instâncias: insira 0.
    • Número máximo de instâncias: insira 100 ou ajuste com base na carga esperada.

  14. Clique em Criar.

  15. Aguarde a criação do serviço (1 a 2 minutos).

  16. Depois que o serviço é criado, o editor de código inline é aberto automaticamente.

Adicionar código da função

  1. Insira main em Ponto de entrada da função.

  2. No editor de código em linha, crie dois arquivos:

    • Primeiro arquivo: main.py::
     import functions_framework
 from google.cloud import storage
 import json
 import os
 import urllib3
 from datetime import datetime, timezone
 import time
 import uuid

 # Initialize HTTP client
 http = urllib3.PoolManager()

 # Initialize Storage client
 storage_client = storage.Client()

 # Get environment variables
 GCS_BUCKET = os.environ.get('GCS_BUCKET')
 GCS_PREFIX = os.environ.get('GCS_PREFIX', 'sailpoint/iam/')
 STATE_KEY = os.environ.get('STATE_KEY', 'sailpoint/iam/state.json')
 WINDOW_SEC = int(os.environ.get('WINDOW_SECONDS', '3600'))
 HTTP_TIMEOUT = int(os.environ.get('HTTP_TIMEOUT', '60'))
 IDN_BASE = os.environ.get('IDN_BASE')
 CLIENT_ID = os.environ.get('IDN_CLIENT_ID')
 CLIENT_SECRET = os.environ.get('IDN_CLIENT_SECRET')
 SCOPE = os.environ.get('IDN_SCOPE', 'sp:scopes:all')
 PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '250'))
 MAX_PAGES = int(os.environ.get('MAX_PAGES', '20'))
 MAX_RETRIES = int(os.environ.get('MAX_RETRIES', '3'))
 USER_AGENT = os.environ.get('USER_AGENT', 'sailpoint-iam-to-gcs/1.0')

 def _load_state(bucket):
     """Load state from GCS."""
     try:
         blob = bucket.blob(STATE_KEY)
         if blob.exists():
             state_data = blob.download_as_text()
             return json.loads(state_data)
     except Exception as e:
         print(f'Warning: Could not load state: {str(e)}')
     return {}

 def _save_state(bucket, st):
     """Save state to GCS."""
     try:
         blob = bucket.blob(STATE_KEY)
         blob.upload_from_string(
             json.dumps(st, separators=(',', ':')),
             content_type='application/json'
         )
     except Exception as e:
         print(f'Warning: Could not save state: {str(e)}')

 def _iso(ts):
     """Convert timestamp to ISO format."""
     return time.strftime('%Y-%m-%dT%H:%M:%SZ', time.gmtime(ts))

 def _get_oauth_token():
     """Get OAuth2 access token using Client Credentials flow."""
     token_url = f"{IDN_BASE.rstrip('/')}/oauth/token"

     fields = {
         'grant_type': 'client_credentials',
         'client_id': CLIENT_ID,
         'client_secret': CLIENT_SECRET,
         'scope': SCOPE
     }

     headers = {
         'Content-Type': 'application/x-www-form-urlencoded',
         'User-Agent': USER_AGENT
     }

     response = http.request(
         'POST',
         token_url,
         fields=fields,
         headers=headers,
         timeout=HTTP_TIMEOUT
     )

     token_data = json.loads(response.data.decode('utf-8'))
     return token_data['access_token']

 def _search_events(access_token, created_from, search_after=None):
     """Search for audit events using SailPoint's /v3/search API.

     IMPORTANT: SailPoint requires colons in ISO8601 timestamps to be escaped with backslashes.
     Example: 2024-01-15T10:30:00Z must be sent as 2024-01-15T10\\:30\\:00Z

     For more information, see:
     - https://developer.sailpoint.com/docs/api/standard-collection-parameters/
     - https://developer.sailpoint.com/docs/api/v3/search-post/
     """
     search_url = f"{IDN_BASE.rstrip('/')}/v3/search"

     # Escape colons in timestamp for SailPoint search query
     escaped_timestamp = created_from.replace(':', '\\:')
     query_str = f'created:>={escaped_timestamp}'

     payload = {
         'indices': ['events'],
         'query': {
             'query': query_str
         },
         'sort': ['created', '+id'],
         'limit': PAGE_SIZE
     }

     if search_after:
         payload['searchAfter'] = search_after

     attempt = 0
     while True:
         headers = {
             'Content-Type': 'application/json',
             'Accept': 'application/json',
             'Authorization': f'Bearer {access_token}',
             'User-Agent': USER_AGENT
         }

         try:
             response = http.request(
                 'POST',
                 search_url,
                 body=json.dumps(payload).encode('utf-8'),
                 headers=headers,
                 timeout=HTTP_TIMEOUT
             )

             response_data = json.loads(response.data.decode('utf-8'))

             # Handle different response formats
             if isinstance(response_data, list):
                 return response_data
             return response_data.get('results', response_data.get('data', []))

         except Exception as e:
             attempt += 1
             print(f'HTTP error on attempt {attempt}: {e}')
             if attempt > MAX_RETRIES:
                 raise
             # Exponential backoff with jitter
             time.sleep(min(60, 2 ** attempt) + (time.time() % 1))

 def _put_events_data(bucket, events, from_ts, to_ts, page_num):
     """Write events to GCS in JSONL format (one JSON object per line)."""
     # Create unique GCS key for events data
     ts_path = time.strftime('%Y/%m/%d', time.gmtime(to_ts))
     uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}"
     key = f"{GCS_PREFIX}{ts_path}/sailpoint_iam_{int(from_ts)}_{int(to_ts)}_p{page_num:03d}_{uniq}.jsonl"

     # Convert events list to JSONL format (one JSON object per line)
     jsonl_lines = [json.dumps(event, separators=(',', ':')) for event in events]
     jsonl_content = '\n'.join(jsonl_lines)

     blob = bucket.blob(key)
     blob.metadata = {
         'source': 'sailpoint-iam',
         'from_timestamp': str(int(from_ts)),
         'to_timestamp': str(int(to_ts)),
         'page_number': str(page_num),
         'events_count': str(len(events)),
         'format': 'jsonl'
     }
     blob.upload_from_string(
         jsonl_content,
         content_type='application/x-ndjson'
     )

     return key

 def _get_item_id(item):
     """Extract ID from event item, trying multiple possible fields."""
     for field in ('id', 'uuid', 'eventId', '_id'):
         if field in item and item[field]:
             return str(item[field])
     return ''

 @functions_framework.cloud_event
 def main(cloud_event):
     """
     Cloud Run function triggered by Pub/Sub to fetch SailPoint IAM logs and write to GCS.

     Args:
         cloud_event: CloudEvent object containing Pub/Sub message
     """

     if not all([GCS_BUCKET, IDN_BASE, CLIENT_ID, CLIENT_SECRET]):
         print('Error: Missing required environment variables')
         return

     try:
         bucket = storage_client.bucket(GCS_BUCKET)

         st = _load_state(bucket)
         now = time.time()
         from_ts = float(st.get('last_to_ts') or (now - WINDOW_SEC))
         to_ts = now

         # Get OAuth token
         access_token = _get_oauth_token()

         created_from = _iso(from_ts)
         print(f'Fetching SailPoint IAM events from: {created_from}')

         # Handle pagination state
         last_created = st.get('last_created')
         last_id = st.get('last_id')
         search_after = [last_created, last_id] if (last_created and last_id) else None

         pages = 0
         total_events = 0
         written_keys = []
         newest_created = last_created or created_from
         newest_id = last_id or ''

         while pages < MAX_PAGES:
             events = _search_events(access_token, created_from, search_after)
             if not events:
                 break

             # Write page to GCS in JSONL format
             key = _put_events_data(bucket, events, from_ts, to_ts, pages + 1)
             written_keys.append(key)
             total_events += len(events)

             # Update pagination state from last item
             last_event = events[-1]
             last_event_created = last_event.get('created') or last_event.get('metadata', {}).get('created')
             last_event_id = _get_item_id(last_event)

             if last_event_created:
                 newest_created = last_event_created
             if last_event_id:
                 newest_id = last_event_id

             search_after = [newest_created, newest_id]
             pages += 1

             # If we got less than page size, we're done
             if len(events) < PAGE_SIZE:
                 break

         print(f'Successfully retrieved {total_events} events across {pages} pages')

         # Save state for next run
         st['last_to_ts'] = to_ts
         st['last_created'] = newest_created
         st['last_id'] = newest_id
         st['last_successful_run'] = now
         _save_state(bucket, st)

         print(f'Wrote {len(written_keys)} files to GCS')

     except Exception as e:
         print(f'Error processing logs: {str(e)}')
         raise
    • Segundo arquivo: requirements.txt:
     functions-framework==3.*
 google-cloud-storage==2.*
 urllib3>=2.0.0
 ```

  3. Clique em Implantar para salvar e implantar a função.

  4. Aguarde a conclusão da implantação (2 a 3 minutos).

Criar o job do Cloud Scheduler

O Cloud Scheduler publica mensagens no tópico do Pub/Sub em intervalos regulares, acionando a função do Cloud Run.

  1. No Console do GCP, acesse o Cloud Scheduler.
  2. Clique em Criar job.

  3. Informe os seguintes detalhes de configuração:

    Configuração Valor
    Nome sailpoint-iam-collector-hourly
    Região Selecione a mesma região da função do Cloud Run
    Frequência 0 * * * * (a cada hora, na hora)
    Fuso horário Selecione o fuso horário (UTC recomendado)
    Tipo de destino Pub/Sub
    Tópico Selecione o tópico do Pub/Sub (sailpoint-iam-trigger).
    Corpo da mensagem {} (objeto JSON vazio)

  4. Clique em Criar.

Opções de frequência de programação

  • Escolha a frequência com base no volume de registros e nos requisitos de latência:

    Frequência Expressão Cron Caso de uso
    A cada 5 minutos */5 * * * * Alto volume e baixa latência
    A cada 15 minutos */15 * * * * Volume médio
    A cada hora 0 * * * * Padrão (recomendado)
    A cada 6 horas 0 */6 * * * Baixo volume, processamento em lote
    Diário 0 0 * * * Coleta de dados históricos

Testar o job do programador

  1. No console do Cloud Scheduler, encontre seu job.
  2. Clique em Forçar execução para acionar manualmente.
  3. Aguarde alguns segundos e acesse Cloud Run > Serviços > sailpoint-iam-collector > Registros.
  4. Verifique se a função foi executada com sucesso.
  5. Verifique o bucket do GCS para confirmar se os registros foram gravados.

Recuperar a conta de serviço do Google SecOps

O Google SecOps usa uma conta de serviço exclusiva para ler dados do seu bucket do GCS. Você precisa conceder a essa conta de serviço acesso ao seu bucket.

Receber o e-mail da conta de serviço

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, SailPoint IAM logs).
  5. Selecione Google Cloud Storage V2 como o Tipo de origem.
  6. Selecione SailPoint IAM como o Tipo de registro.

  7. Clique em Receber conta de serviço. Um e-mail exclusivo da conta de serviço é exibido, por exemplo:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copie esse endereço de e-mail para usar na próxima etapa.

Conceder permissões do IAM à conta de serviço do Google SecOps

A conta de serviço do Google SecOps precisa do papel de Leitor de objetos do Storage no seu bucket do GCS.

  1. Acesse Cloud Storage > Buckets.
  2. Clique no nome do bucket.
  3. Acesse a guia Permissões.
  4. Clique em Conceder acesso.
  5. Informe os seguintes detalhes de configuração:
    • Adicionar participantes: cole o e-mail da conta de serviço do Google SecOps.
    • Atribuir papéis: selecione Leitor de objetos do Storage.

  6. Clique em Salvar.

Configurar um feed no Google SecOps para ingerir registros do IAM do SailPoint

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, SailPoint IAM logs).
  5. Selecione Google Cloud Storage V2 como o Tipo de origem.
  6. Selecione SailPoint IAM como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URL do bucket de armazenamento: insira o URI do bucket do GCS com o caminho do prefixo:

      gs://sailpoint-iam-logs/sailpoint/iam/

      • Substitua:

        • sailpoint-iam-logs: o nome do bucket do GCS.
        • sailpoint/iam/: prefixo/caminho da pasta opcional onde os registros são armazenados (deixe em branco para a raiz).

      • Exemplos:

        • Bucket raiz: gs://company-logs/
        • Com prefixo: gs://company-logs/sailpoint-logs/
        • Com subpasta: gs://company-logs/sailpoint/iam/

    • Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência:

      • Nunca: nunca exclui arquivos após as transferências (recomendado para testes).
      • Excluir arquivos transferidos: exclui os arquivos após a transferência bem-sucedida.

      • Excluir arquivos transferidos e diretórios vazios: exclui arquivos e diretórios vazios após a transferência bem-sucedida.

    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

    • Namespace do recurso: o namespace do recurso.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.

  9. Clique em Próxima.

  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
ação metadata.description O valor do campo de ação do registro bruto.
actor.name principal.user.user_display_name O valor do campo "actor.name" do registro bruto.
attributes.accountName principal.user.group_identifiers O valor do campo "attributes.accountName" do registro bruto.
attributes.appId target.asset_id "ID do app: " concatenado com o valor do campo "attributes.appId" do registro bruto.
attributes.attributeName additional.fields[0].value.string_value O valor do campo "attributes.attributeName" do registro bruto, colocado em um objeto "additional.fields". A chave é definida como "Nome do atributo".
attributes.attributeValue additional.fields[1].value.string_value O valor do campo "attributes.attributeValue" do registro bruto, colocado em um objeto "additional.fields". A chave é definida como "Valor do atributo".
attributes.cloudAppName target.application O valor do campo "attributes.cloudAppName" do registro bruto.
attributes.hostName target.hostname, target.asset.hostname O valor do campo "attributes.hostName" do registro bruto.
attributes.interface additional.fields[2].value.string_value O valor do campo "attributes.interface" do registro bruto, colocado em um objeto "additional.fields". A chave é definida como "Interface".
attributes.operation security_result.action_details O valor do campo "attributes.operation" do registro bruto.
attributes.previousValue additional.fields[3].value.string_value O valor do campo "attributes.previousValue" do registro bruto, colocado em um objeto "additional.fields". A chave é definida como "Valor anterior".
attributes.provisioningResult security_result.detection_fields.value O valor do campo "attributes.provisioningResult" do registro bruto, colocado em um objeto "security_result.detection_fields". A chave é definida como "Provisioning Result".
attributes.sourceId principal.labels[0].value O valor do campo "attributes.sourceId" do registro bruto, colocado em um objeto "principal.labels". A chave é definida como "ID da fonte".
attributes.sourceName principal.labels[1].value O valor do campo "attributes.sourceName" do registro bruto, colocado em um objeto "principal.labels". A chave é definida como "Nome da origem".
auditClassName metadata.product_event_type O valor do campo "auditClassName" do registro bruto.
created metadata.event_timestamp.seconds, metadata.event_timestamp.nanos O valor do campo criado no registro bruto, convertido em carimbo de data/hora se instant.epochSecond não estiver presente.
ID metadata.product_log_id O valor do campo "id" do registro bruto.
instant.epochSecond metadata.event_timestamp.seconds O valor do campo "instant.epochSecond" do registro bruto, usado para o carimbo de data/hora.
ipAddress principal.asset.ip, principal.ip O valor do campo "ipAddress" do registro bruto.
interface additional.fields[0].value.string_value O valor do campo "interface" do registro bruto, colocado em um objeto "additional.fields". A chave é definida como "interface".
loggerName intermediary.application O valor do campo "loggerName" do registro bruto.
mensagem metadata.description, security_result.description Usado para várias finalidades, incluindo definir a descrição em metadados e security_result, além de extrair conteúdo XML.
nome security_result.description O valor do campo "name" do registro bruto.
operação target.resource.attribute.labels[0].value, metadata.product_event_type O valor do campo de operação do registro bruto, colocado em um objeto target.resource.attribute.labels. A chave é definida como "operation". Também usado para "metadata.product_event_type".
org principal.administrative_domain O valor do campo "org" do registro bruto.
pod principal.location.name O valor do campo "pod" do registro bruto.
referenceClass additional.fields[1].value.string_value O valor do campo "referenceClass" do registro bruto, colocado em um objeto "additional.fields". A chave é definida como "referenceClass".
referenceId additional.fields[2].value.string_value O valor do campo "referenceId" do registro bruto, colocado em um objeto "additional.fields". A chave é definida como "referenceId".
sailPointObjectName additional.fields[3].value.string_value O valor do campo "sailPointObjectName" do registro bruto, colocado em um objeto "additional.fields". A chave é definida como "sailPointObjectName".
serverHost principal.hostname, principal.asset.hostname O valor do campo "serverHost" do registro bruto.
stack additional.fields[4].value.string_value O valor do campo "stack" do registro bruto, colocado em um objeto "additional.fields". A chave é definida como "Stack".
status security_result.severity_details O valor do campo "status" do registro bruto.
target additional.fields[4].value.string_value O valor do campo de destino do registro bruto, colocado em um objeto "additional.fields". A chave é definida como "target".
target.name principal.user.userid O valor do campo "target.name" do registro bruto.
technicalName security_result.summary O valor do campo "technicalName" do registro bruto.
thrown.cause.message xml_body, detailed_message O valor do campo "thrown.cause.message" do registro bruto, usado para extrair conteúdo XML.
thrown.message xml_body, detailed_message O valor do campo "thrown.message" do registro bruto, usado para extrair conteúdo XML.
trackingNumber additional.fields[5].value.string_value O valor do campo "trackingNumber" do registro bruto, colocado em um objeto "additional.fields". A chave é definida como "Número de rastreamento".
tipo metadata.product_event_type O valor do campo "type" do registro bruto.
_version metadata.product_version O valor do campo _version do registro bruto.
N/A metadata.event_timestamp Derivado de instant.epochSecond ou campos criados.
N/A metadata.event_type Determinado pela lógica do analisador com base em vários campos, incluindo has_principal_user, has_target_application, technicalName e action. O valor padrão é "GENERIC_EVENT".
N/A metadata.log_type Defina como "SAILPOINT_IAM".
N/A metadata.product_name Defina como "IAM".
N/A metadata.vendor_name Defina como "SAILPOINT".
N/A extensions.auth.type Definido como "AUTHTYPE_UNSPECIFIED" em determinadas condições.
N/A target.resource.attribute.labels[0].key Defina como "operation".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.