收集 SailPoint IAM 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Google Cloud Storage,將 SailPoint IAM 記錄擷取至 Google Security Operations。SailPoint Identity Security Cloud 提供身分治理和管理功能,可管理企業應用程式的使用者存取權、法規遵循和安全性。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 已啟用 Cloud Storage API 的 GCP 專案
- 建立及管理 GCS 值區的權限
- 管理 Google Cloud Storage 值區 IAM 政策的權限
- 建立 Cloud Run 服務、Pub/Sub 主題和 Cloud Scheduler 工作的權限
- SailPoint Identity Security Cloud 租戶或 API 的特殊存取權
建立 Google Cloud Storage 值區
- 前往 Google Cloud 控制台。
- 選取專案或建立新專案。
- 在導覽選單中,依序前往「Cloud Storage」>「Bucket」。
- 按一下「建立值區」。
請提供下列設定詳細資料:
設定 值 為 bucket 命名 輸入全域不重複的名稱 (例如 sailpoint-iam-logs)位置類型 根據需求選擇 (區域、雙區域、多區域) 位置 選取地點 (例如 us-central1)儲存空間級別 標準 (建議用於經常存取的記錄) 存取控管 統一 (建議) 保護工具 選用:啟用物件版本管理或保留政策 點選「建立」。
收集 SailPoint Identity Security Cloud API 憑證
- 以管理員身分登入 SailPoint Identity Security Cloud 管理控制台。
- 依序前往「管理」>「全域」>「安全性設定」>「API 管理」。
- 按一下「Create API Client」(建立 API 用戶端)。
- 選擇「用戶端憑證」做為授權類型。
- 請提供下列設定詳細資料:
- 名稱:輸入描述性名稱 (例如
Chronicle Export API)。 - 說明:輸入 API 用戶端的說明。
- 範圍:選取「sp:scopes:all」 (或稽核事件適用的讀取範圍)。
- 名稱:輸入描述性名稱 (例如
- 按一下「建立」,然後安全地複製產生的 API 憑證。
- 記錄 SailPoint 租戶基準網址 (例如
https://tenant.api.identitynow.com)。 複製下列詳細資料並存放在安全的地方:
IDN_CLIENT_IDIDN_CLIENT_SECRETIDN_BASE
測試 API 存取權
請先測試憑證,再繼續進行整合:
# Replace with your actual credentials IDN_CLIENT_ID="your-client-id" IDN_CLIENT_SECRET="your-client-secret" IDN_BASE="https://tenant.api.identitynow.com" # Get OAuth token TOKEN=$(curl -s -X POST "${IDN_BASE}/oauth/token" \ -H "Content-Type: application/x-www-form-urlencoded" \ -d "grant_type=client_credentials&client_id=${IDN_CLIENT_ID}&client_secret=${IDN_CLIENT_SECRET}&scope=sp:scopes:all" | jq -r '.access_token') # Test API access curl -v -H "Authorization: Bearer ${TOKEN}" "${IDN_BASE}/v3/search" \ -H "Content-Type: application/json" \ -d '{"indices":["events"],"query":{"query":"*"},"limit":1}'
為 Cloud Run 函式建立服務帳戶
Cloud Run 函式需要具備 GCS bucket 寫入權限的服務帳戶。
建立服務帳戶
- 在 GCP 主控台中,依序前往「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
- 按一下 [Create Service Account] (建立服務帳戶)。
- 請提供下列設定詳細資料:
- 服務帳戶名稱:輸入
sailpoint-iam-collector-sa。 - 服務帳戶說明:輸入
Service account for Cloud Run function to collect SailPoint IAM logs。
- 服務帳戶名稱:輸入
- 按一下「建立並繼續」。
- 在「將專案存取權授予這個服務帳戶」部分:
- 按一下「選擇角色」。
- 搜尋並選取「Storage 物件管理員」。
- 點選「+ 新增其他角色」。
- 搜尋並選取「Cloud Run Invoker」。
- 點選「+ 新增其他角色」。
- 搜尋並選取「Cloud Functions Invoker」(Cloud Functions 叫用者)。
- 按一下「繼續」。
- 按一下 [完成]。
這些角色適用於:
- Storage 物件管理員:將記錄檔寫入 GCS 值區,並管理狀態檔案
- Cloud Run 叫用者:允許 Pub/Sub 叫用函式
- Cloud Functions 叫用者:允許函式叫用
授予 GCS 值區的 IAM 權限
授予服務帳戶 GCS bucket 的寫入權限:
- 依序前往「Cloud Storage」>「Buckets」。
- 按一下 bucket 名稱。
- 前往「權限」分頁標籤。
- 按一下「授予存取權」。
- 請提供下列設定詳細資料:
- 新增主體:輸入服務帳戶電子郵件地址。
- 指派角色:選取「Storage 物件管理員」。
- 按一下 [儲存]。
建立 Pub/Sub 主題
建立 Pub/Sub 主題,Cloud Scheduler 會將訊息發布至該主題,而 Cloud Run 函式會訂閱該主題。
- 在 GCP Console 中,前往「Pub/Sub」>「Topics」(主題)。
- 按一下「建立主題」。
- 請提供下列設定詳細資料:
- 主題 ID:輸入
sailpoint-iam-trigger。 - 其他設定保留預設值。
- 主題 ID:輸入
- 點選「建立」。
建立 Cloud Run 函式來收集記錄
Cloud Run 函式會由 Cloud Scheduler 的 Pub/Sub 訊息觸發,從 SailPoint Identity Security Cloud API 擷取記錄,並將記錄寫入 GCS。
- 前往 GCP Console 的「Cloud Run」。
- 按一下「Create service」(建立服務)。
- 選取「函式」 (使用內嵌編輯器建立函式)。
在「設定」部分,提供下列設定詳細資料:
設定 值 服務名稱 sailpoint-iam-collector區域 選取與 GCS bucket 相符的區域 (例如 us-central1)執行階段 選取「Python 3.12」以上版本 在「Trigger (optional)」(觸發條件 (選用)) 專區:
- 按一下「+ 新增觸發條件」。
- 選取「Cloud Pub/Sub」。
- 在「選取 Cloud Pub/Sub 主題」中,選擇 Pub/Sub 主題 (
sailpoint-iam-trigger)。 - 按一下 [儲存]。
在「Authentication」(驗證) 部分:
- 選取「需要驗證」。
- 檢查 Identity and Access Management (IAM)。
向下捲動並展開「Containers, Networking, Security」。
前往「安全性」分頁:
- 服務帳戶:選取服務帳戶 (
sailpoint-iam-collector-sa)。
- 服務帳戶:選取服務帳戶 (
前往「容器」分頁:
- 按一下「變數與密鑰」。
- 針對每個環境變數,按一下「+ 新增變數」:
變數名稱 範例值 GCS_BUCKETsailpoint-iam-logsGCS_PREFIXsailpoint/iam/STATE_KEYsailpoint/iam/state.jsonWINDOW_SECONDS3600HTTP_TIMEOUT60MAX_RETRIES3USER_AGENTsailpoint-iam-to-gcs/1.0IDN_BASEhttps://tenant.api.identitynow.comIDN_CLIENT_IDyour-client-idIDN_CLIENT_SECRETyour-client-secretIDN_SCOPEsp:scopes:allPAGE_SIZE250MAX_PAGES20在「變數與密鑰」分頁中向下捲動至「要求」:
- 要求逾時:輸入
600秒 (10 分鐘)。
- 要求逾時:輸入
前往「容器」中的「設定」分頁:
- 在「資源」部分:
- 記憶體:選取 512 MiB 以上。
- CPU:選取 1。
- 按一下 [完成]。
- 在「資源」部分:
向下捲動至「執行環境」:
- 選取「預設」 (建議選項)。
在「修訂版本資源調度」部分:
- 執行個體數量下限:輸入
0。 - 「Maximum number of instances」(執行個體數量上限):輸入
100(或根據預期負載調整)。
- 執行個體數量下限:輸入
點選「建立」。
等待服務建立完成 (1 到 2 分鐘)。
服務建立完成後,系統會自動開啟內嵌程式碼編輯器。
新增函式程式碼
- 在「Function entry point」(函式進入點) 中輸入 main
在內嵌程式碼編輯器中建立兩個檔案:
- 第一個檔案:main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone import time import uuid # Initialize HTTP client http = urllib3.PoolManager() # Initialize Storage client storage_client = storage.Client() # Get environment variables GCS_BUCKET = os.environ.get('GCS_BUCKET') GCS_PREFIX = os.environ.get('GCS_PREFIX', 'sailpoint/iam/') STATE_KEY = os.environ.get('STATE_KEY', 'sailpoint/iam/state.json') WINDOW_SEC = int(os.environ.get('WINDOW_SECONDS', '3600')) HTTP_TIMEOUT = int(os.environ.get('HTTP_TIMEOUT', '60')) IDN_BASE = os.environ.get('IDN_BASE') CLIENT_ID = os.environ.get('IDN_CLIENT_ID') CLIENT_SECRET = os.environ.get('IDN_CLIENT_SECRET') SCOPE = os.environ.get('IDN_SCOPE', 'sp:scopes:all') PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '250')) MAX_PAGES = int(os.environ.get('MAX_PAGES', '20')) MAX_RETRIES = int(os.environ.get('MAX_RETRIES', '3')) USER_AGENT = os.environ.get('USER_AGENT', 'sailpoint-iam-to-gcs/1.0') def _load_state(bucket): """Load state from GCS.""" try: blob = bucket.blob(STATE_KEY) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f'Warning: Could not load state: {str(e)}') return {} def _save_state(bucket, st): """Save state to GCS.""" try: blob = bucket.blob(STATE_KEY) blob.upload_from_string( json.dumps(st, separators=(',', ':')), content_type='application/json' ) except Exception as e: print(f'Warning: Could not save state: {str(e)}') def _iso(ts): """Convert timestamp to ISO format.""" return time.strftime('%Y-%m-%dT%H:%M:%SZ', time.gmtime(ts)) def _get_oauth_token(): """Get OAuth2 access token using Client Credentials flow.""" token_url = f"{IDN_BASE.rstrip('/')}/oauth/token" fields = { 'grant_type': 'client_credentials', 'client_id': CLIENT_ID, 'client_secret': CLIENT_SECRET, 'scope': SCOPE } headers = { 'Content-Type': 'application/x-www-form-urlencoded', 'User-Agent': USER_AGENT } response = http.request( 'POST', token_url, fields=fields, headers=headers, timeout=HTTP_TIMEOUT ) token_data = json.loads(response.data.decode('utf-8')) return token_data['access_token'] def _search_events(access_token, created_from, search_after=None): """Search for audit events using SailPoint's /v3/search API. IMPORTANT: SailPoint requires colons in ISO8601 timestamps to be escaped with backslashes. Example: 2024-01-15T10:30:00Z must be sent as 2024-01-15T10\\:30\\:00Z For more information, see: - https://developer.sailpoint.com/docs/api/standard-collection-parameters/ - https://developer.sailpoint.com/docs/api/v3/search-post/ """ search_url = f"{IDN_BASE.rstrip('/')}/v3/search" # Escape colons in timestamp for SailPoint search query escaped_timestamp = created_from.replace(':', '\\:') query_str = f'created:>={escaped_timestamp}' payload = { 'indices': ['events'], 'query': { 'query': query_str }, 'sort': ['created', '+id'], 'limit': PAGE_SIZE } if search_after: payload['searchAfter'] = search_after attempt = 0 while True: headers = { 'Content-Type': 'application/json', 'Accept': 'application/json', 'Authorization': f'Bearer {access_token}', 'User-Agent': USER_AGENT } try: response = http.request( 'POST', search_url, body=json.dumps(payload).encode('utf-8'), headers=headers, timeout=HTTP_TIMEOUT ) response_data = json.loads(response.data.decode('utf-8')) # Handle different response formats if isinstance(response_data, list): return response_data return response_data.get('results', response_data.get('data', [])) except Exception as e: attempt += 1 print(f'HTTP error on attempt {attempt}: {e}') if attempt > MAX_RETRIES: raise # Exponential backoff with jitter time.sleep(min(60, 2 ** attempt) + (time.time() % 1)) def _put_events_data(bucket, events, from_ts, to_ts, page_num): """Write events to GCS in JSONL format (one JSON object per line).""" # Create unique GCS key for events data ts_path = time.strftime('%Y/%m/%d', time.gmtime(to_ts)) uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}" key = f"{GCS_PREFIX}{ts_path}/sailpoint_iam_{int(from_ts)}_{int(to_ts)}_p{page_num:03d}_{uniq}.jsonl" # Convert events list to JSONL format (one JSON object per line) jsonl_lines = [json.dumps(event, separators=(',', ':')) for event in events] jsonl_content = '\n'.join(jsonl_lines) blob = bucket.blob(key) blob.metadata = { 'source': 'sailpoint-iam', 'from_timestamp': str(int(from_ts)), 'to_timestamp': str(int(to_ts)), 'page_number': str(page_num), 'events_count': str(len(events)), 'format': 'jsonl' } blob.upload_from_string( jsonl_content, content_type='application/x-ndjson' ) return key def _get_item_id(item): """Extract ID from event item, trying multiple possible fields.""" for field in ('id', 'uuid', 'eventId', '_id'): if field in item and item[field]: return str(item[field]) return '' @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch SailPoint IAM logs and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ if not all([GCS_BUCKET, IDN_BASE, CLIENT_ID, CLIENT_SECRET]): print('Error: Missing required environment variables') return try: bucket = storage_client.bucket(GCS_BUCKET) st = _load_state(bucket) now = time.time() from_ts = float(st.get('last_to_ts') or (now - WINDOW_SEC)) to_ts = now # Get OAuth token access_token = _get_oauth_token() created_from = _iso(from_ts) print(f'Fetching SailPoint IAM events from: {created_from}') # Handle pagination state last_created = st.get('last_created') last_id = st.get('last_id') search_after = [last_created, last_id] if (last_created and last_id) else None pages = 0 total_events = 0 written_keys = [] newest_created = last_created or created_from newest_id = last_id or '' while pages < MAX_PAGES: events = _search_events(access_token, created_from, search_after) if not events: break # Write page to GCS in JSONL format key = _put_events_data(bucket, events, from_ts, to_ts, pages + 1) written_keys.append(key) total_events += len(events) # Update pagination state from last item last_event = events[-1] last_event_created = last_event.get('created') or last_event.get('metadata', {}).get('created') last_event_id = _get_item_id(last_event) if last_event_created: newest_created = last_event_created if last_event_id: newest_id = last_event_id search_after = [newest_created, newest_id] pages += 1 # If we got less than page size, we're done if len(events) < PAGE_SIZE: break print(f'Successfully retrieved {total_events} events across {pages} pages') # Save state for next run st['last_to_ts'] = to_ts st['last_created'] = newest_created st['last_id'] = newest_id st['last_successful_run'] = now _save_state(bucket, st) print(f'Wrote {len(written_keys)} files to GCS') except Exception as e: print(f'Error processing logs: {str(e)}') raise- 第二個檔案:requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0 ```點選「部署」來儲存並部署函式。
等待部署作業完成 (2 到 3 分鐘)。
建立 Cloud Scheduler 工作
Cloud Scheduler 會定期將訊息發布至 Pub/Sub 主題,觸發 Cloud Run 函式。
- 前往 GCP 主控台的「Cloud Scheduler」。
- 點選「建立工作」。
請提供下列設定詳細資料:
設定 值 名稱 sailpoint-iam-collector-hourly區域 選取與 Cloud Run 函式相同的區域 頻率 0 * * * *(每小時整點)時區 選取時區 (建議使用世界標準時間) 目標類型 Pub/Sub 主題 選取 Pub/Sub 主題 ( sailpoint-iam-trigger)郵件內文 {}(空白 JSON 物件)點選「建立」。
排程頻率選項
根據記錄檔量和延遲時間要求選擇頻率:
頻率 Cron 運算式 用途 每 5 分鐘 */5 * * * *高容量、低延遲 每 15 分鐘檢查一次 */15 * * * *普通量 每小時 0 * * * *標準 (建議採用) 每 6 小時 0 */6 * * *少量、批次處理 每日 0 0 * * *歷來資料集合
測試排程器工作
- 在 Cloud Scheduler 控制台中找出您的工作。
- 按一下「強制執行」即可手動觸發。
- 等待幾秒鐘,然後依序前往「Cloud Run」>「Services」(服務) >「sailpoint-iam-collector」>「Logs」(記錄)。
- 確認函式是否已順利執行。
- 檢查 GCS 值區,確認是否已寫入記錄。
擷取 Google SecOps 服務帳戶
Google SecOps 會使用專屬服務帳戶,從 GCS bucket 讀取資料。您必須授予這個服務帳戶值區存取權。
取得服務帳戶電子郵件地址
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
SailPoint IAM logs)。 - 選取「Google Cloud Storage V2」做為「來源類型」。
- 選取「SailPoint IAM」做為「記錄類型」。
按一下「取得服務帳戶」。系統會顯示專屬的服務帳戶電子郵件地址,例如:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com複製這個電子郵件地址,以便在下一步中使用。
將 IAM 權限授予 Google SecOps 服務帳戶
Google SecOps 服務帳戶需要 GCS bucket 的「Storage 物件檢視者」角色。
- 依序前往「Cloud Storage」>「Buckets」。
- 按一下 bucket 名稱。
- 前往「權限」分頁標籤。
- 按一下「授予存取權」。
- 請提供下列設定詳細資料:
- 新增主體:貼上 Google SecOps 服務帳戶電子郵件地址。
- 指派角色:選取「Storage 物件檢視者」。
按一下 [儲存]。
在 Google SecOps 中設定動態饋給,擷取 SailPoint IAM 記錄
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
SailPoint IAM logs)。 - 選取「Google Cloud Storage V2」做為「來源類型」。
- 選取「SailPoint IAM」做為「記錄類型」。
- 點選 [下一步]。
指定下列輸入參數的值:
儲存空間 bucket URL:輸入 GCS bucket URI,並加上前置路徑:
gs://sailpoint-iam-logs/sailpoint/iam/取代:
sailpoint-iam-logs:您的 GCS bucket 名稱。sailpoint/iam/:儲存記錄的選用前置字元/資料夾路徑 (如為根目錄,請留空)。
範例:
- 根層級 bucket:
gs://company-logs/ - 前置字串:
gs://company-logs/sailpoint-logs/ - 有子資料夾:
gs://company-logs/sailpoint/iam/
- 根層級 bucket:
來源刪除選項:根據偏好設定選取刪除選項:
- 永不:移轉後一律不刪除任何檔案 (建議用於測試)。
- 刪除已轉移的檔案:成功轉移檔案後刪除檔案。
刪除已轉移的檔案和空白目錄:成功轉移後刪除檔案和空白目錄。
檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
資產命名空間:資產命名空間。
擷取標籤:要套用至這個動態饋給事件的標籤。
點選 [下一步]。
在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| 動作 | metadata.description | 原始記錄中的動作欄位值。 |
| actor.name | principal.user.user_display_name | 原始記錄中 actor.name 欄位的值。 |
| attributes.accountName | principal.user.group_identifiers | 原始記錄中 attributes.accountName 欄位的值。 |
| attributes.appId | target.asset_id | 「應用程式 ID:」與原始記錄中 attributes.appId 欄位的值串連。 |
| attributes.attributeName | additional.fields[0].value.string_value | 原始記錄中 attributes.attributeName 欄位的值,放在 additional.fields 物件中。索引鍵會設為「屬性名稱」。 |
| attributes.attributeValue | additional.fields[1].value.string_value | 原始記錄中 attributes.attributeValue 欄位的值,位於 additional.fields 物件內。索引鍵設為「屬性值」。 |
| attributes.cloudAppName | target.application | 原始記錄中 attributes.cloudAppName 欄位的值。 |
| attributes.hostName | target.hostname、target.asset.hostname | 原始記錄中 attributes.hostName 欄位的值。 |
| attributes.interface | additional.fields[2].value.string_value | 原始記錄中 attributes.interface 欄位的值,會放在 additional.fields 物件中。金鑰設為「Interface」。 |
| attributes.operation | security_result.action_details | 原始記錄中 attributes.operation 欄位的值。 |
| attributes.previousValue | additional.fields[3].value.string_value | 原始記錄中 attributes.previousValue 欄位的值,位於 additional.fields 物件中。索引鍵設為「Previous Value」。 |
| attributes.provisioningResult | security_result.detection_fields.value | 原始記錄中 attributes.provisioningResult 欄位的值,位於 security_result.detection_fields 物件中。索引鍵設為「Provisioning Result」。 |
| attributes.sourceId | principal.labels[0].value | 原始記錄中 attributes.sourceId 欄位的值,位於 principal.labels 物件中。索引鍵設為「來源 ID」。 |
| attributes.sourceName | principal.labels[1].value | 原始記錄中 attributes.sourceName 欄位的值,位於 principal.labels 物件中。索引鍵設為「來源名稱」。 |
| auditClassName | metadata.product_event_type | 原始記錄中的 auditClassName 欄位值。 |
| 已建立 | metadata.event_timestamp.seconds、metadata.event_timestamp.nanos | 從原始記錄建立的欄位值,如果沒有 instant.epochSecond,則會轉換為時間戳記。 |
| id | metadata.product_log_id | 原始記錄中的 ID 欄位值。 |
| instant.epochSecond | metadata.event_timestamp.seconds | 原始記錄中的 instant.epochSecond 欄位值,用於時間戳記。 |
| ipAddress | principal.asset.ip、principal.ip | 原始記錄中的 ipAddress 欄位值。 |
| 介面 | additional.fields[0].value.string_value | 原始記錄中的介面欄位值,位於 additional.fields 物件中。金鑰設為「介面」。 |
| loggerName | intermediary.application | 原始記錄中的 loggerName 欄位值。 |
| 訊息 | metadata.description、security_result.description | 用於各種用途,包括在 metadata 和 security_result 中設定說明,以及擷取 XML 內容。 |
| 名稱 | security_result.description | 原始記錄中 name 欄位的值。 |
| 作業 | target.resource.attribute.labels[0].value, metadata.product_event_type | 原始記錄中作業欄位的值,位於 target.resource.attribute.labels 物件中。索引鍵設為「operation」。也用於 metadata.product_event_type。 |
| 機構 | principal.administrative_domain | 原始記錄中的 org 欄位值。 |
| Pod | principal.location.name | 原始記錄中的 Pod 欄位值。 |
| referenceClass | additional.fields[1].value.string_value | 原始記錄中的 referenceClass 欄位值,位於 additional.fields 物件中。索引鍵設為「referenceClass」。 |
| referenceId | additional.fields[2].value.string_value | 原始記錄中 referenceId 欄位的值,位於 additional.fields 物件內。金鑰設為「referenceId」。 |
| sailPointObjectName | additional.fields[3].value.string_value | 原始記錄中的 sailPointObjectName 欄位值,位於 additional.fields 物件中。索引鍵設為「sailPointObjectName」。 |
| serverHost | principal.hostname、principal.asset.hostname | 原始記錄中的 serverHost 欄位值。 |
| 堆疊 | additional.fields[4].value.string_value | 原始記錄中的堆疊欄位值,位於 additional.fields 物件中。索引鍵設為「Stack」。 |
| 狀態 | security_result.severity_details | 原始記錄中的狀態欄位值。 |
| 目標 | additional.fields[4].value.string_value | 原始記錄中目標欄位的值,位於 additional.fields 物件內。索引鍵設為「target」。 |
| target.name | principal.user.userid | 原始記錄中 target.name 欄位的值。 |
| technicalName | security_result.summary | 原始記錄中 technicalName 欄位的值。 |
| thrown.cause.message | xml_body、detailed_message | 原始記錄中 thrown.cause.message 欄位的值,用於擷取 XML 內容。 |
| thrown.message | xml_body、detailed_message | 原始記錄中 thrown.message 欄位的值,用於擷取 XML 內容。 |
| trackingNumber | additional.fields[5].value.string_value | 原始記錄中的 trackingNumber 欄位值,位於 additional.fields 物件中。索引鍵設為「追蹤號碼」。 |
| 類型 | metadata.product_event_type | 原始記錄中的「type」欄位值。 |
| _version | metadata.product_version | 原始記錄中的 _version 欄位值。 |
| 不適用 | metadata.event_timestamp | 衍生自 instant.epochSecond 或建立的欄位。 |
| 不適用 | metadata.event_type | 由剖析器邏輯根據各種欄位 (包括 has_principal_user、has_target_application、technicalName 和動作) 判斷。預設值為「GENERIC_EVENT」。 |
| 不適用 | metadata.log_type | 設為「SAILPOINT_IAM」。 |
| 不適用 | metadata.product_name | 設為「IAM」。 |
| 不適用 | metadata.vendor_name | 設為「SAILPOINT」。 |
| 不適用 | extensions.auth.type | 在特定情況下設為「AUTHTYPE_UNSPECIFIED」。 |
| 不適用 | target.resource.attribute.labels[0].key | 設為「operation」。 |
需要其他協助嗎?向社群成員和 Google SecOps 專業人員尋求答案。