收集 Salesforce 記錄

支援的國家/地區:

本文說明如何使用第三方 API 設定 Google Security Operations 資訊提供,以收集 Salesforce 記錄。

Salesforce 是雲端式客戶關係管理 (CRM) 平台,提供銷售、服務、行銷和數據分析工具。Salesforce 記錄檔會擷取平台上的使用者活動、安全性事件、系統變更和 API 使用情形。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Salesforce Enterprise Edition 以上版本 (已啟用 API 存取權)
  • Salesforce 系統管理員權限
  • 已安裝 OpenSSL (用於產生憑證)

產生 RSA 金鑰組和憑證

產生 RSA 私密金鑰和自行簽署的 X.509 憑證,用於簽署 JWT。

產生私密金鑰

```bash
openssl genrsa -out salesforce_private.key 2048
```

產生自行簽署的憑證

```bash
openssl req -new -x509 -key salesforce_private.key -out salesforce_certificate.crt -days 365
```

系統提示時,請輸入憑證詳細資料:

  • 國家/地區名稱:輸入 2 個字母的國家/地區代碼 (例如 US)。
  • 州或省名稱:輸入您的州/省 (例如 California)。
  • 縣市名稱:輸入您的城市 (例如 San Francisco)。
  • 機構名稱:輸入機構名稱 (例如 Acme Corp)。
  • 機構單位名稱:輸入部門 (例如 IT Security)。
  • 一般名稱:輸入描述性名稱 (例如 Chronicle Integration)。
  • 電子郵件地址:輸入聯絡電子郵件地址。

建立 Salesforce 外部用戶端應用程式

在 Salesforce (2026 年春季版和後續版本) 中,建議使用外部用戶端應用程式進行 OAuth 驗證。

  1. 登入 Salesforce
  2. 前往「設定」 (右上角的齒輪圖示)。
  3. 在「快速尋找」方塊中輸入 External Client Apps
  4. 按一下「External Client App Manager」(外部用戶端應用程式管理工具)
  5. 按一下「New External Client App」

設定基本資訊

  1. 請提供下列設定詳細資料:
    • 外部用戶端應用程式名稱:輸入描述性名稱,例如 Google SecOps Integration
    • API 名稱:系統會根據應用程式名稱自動填入。保留預設值或自訂。
    • 聯絡電子郵件地址:輸入電子郵件地址。
    • 發布狀態:選取「Local」(本機)
  2. 按一下「繼續」

啟用 OAuth 設定

  1. 勾選「Enable OAuth」核取方塊
  2. 請提供下列設定詳細資料:
    • 回呼網址:輸入 https://login.salesforce.com/services/oauth2/callback
  1. 在「OAuth 範圍」部分,將下列範圍從「可用的 OAuth 範圍」移至「選取的 OAuth 範圍」
    • 透過 API 管理使用者資料 (api)
    • 隨時代表您執行要求 (refresh_token、offline_access)

啟用 JWT 不記名權杖流程並上傳憑證

  1. 在「Flow Enablement」部分,勾選「Enable JWT Bearer Flow」核取方塊。
  2. 系統會顯示「Certificate Upload」(上傳憑證) 部分。
  3. 按一下「上傳檔案」,或拖曳憑證檔案。
  4. 選取先前產生的 salesforce_certificate.crt 檔案。
  5. 等待上傳完成。上傳按鈕下方應會顯示憑證檔案名稱。

設定 OAuth 政策

  1. 在「OAuth 政策」部分:
    • 允許的使用者:選取「管理員核准的使用者已預先授權」
  2. 按一下 [儲存]

取得用戶端金鑰

建立外部用戶端應用程式後,請擷取取用者金鑰,以進行 Chronicle 設定。

  1. 在「External Client App Manager」(外部用戶端應用程式管理工具) 中,按一下您的應用程式名稱 (例如 Google SecOps Integration)。
  2. 前往「設定」分頁。
  3. 在「OAuth Settings」部分,點選「Consumer Key and Secret」
  4. 複製並儲存「Consumer Key」值。

消費者金鑰格式範例:

```
3MVG9IKcPoNiNVBIPjdw4z.pcfRjTFBp7xC8x9k4U8jZ0HlLQdPqX5bKjR8yNzQ9_YvY.8xD3F2W6nXb5YgNx
```

預先授權外部用戶端應用程式

Salesforce 需要預先授權才能使用 JWT 持有人流程。透過權限集將外部用戶端應用程式指派給使用者,即可預先授權。

建立權限集

  1. 依序前往「設定」>「使用者」>「權限集」
  2. 點選「New」(新增)
  3. 請提供下列設定詳細資料:
    • 標籤:輸入 Chronicle Integration Users (例如)。
    • API 名稱:系統會根據標籤自動填入。
  4. 按一下 [儲存]

將權限集指派給外部用戶端應用程式

  1. 依序前往「設定」>「外部用戶端應用程式管理工具」
  2. 按一下外部用戶端應用程式 (例如 Google SecOps Integration)。
  3. 按一下「政策」分頁標籤。
  4. 在「應用程式政策」部分,選取「選取權限集」下方的選項:
    1. 將權限集 (例如 Chronicle Integration Users) 從「Available Permission Sets」移至「Selected Permission Sets」
  5. 按一下 [儲存]

將權限集指派給使用者

  1. 在權限集詳細資料頁面中,按一下「管理指派作業」
  2. 按一下「Add Assignments」
  3. 勾選要用於 Chronicle 整合的使用者帳戶 (例如 integration@acme.com) 旁的核取方塊。
  4. 按一下「指派」
  5. 按一下 [完成]

在 Google SecOps 中設定動態饋給,擷取 Salesforce 記錄

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Salesforce EventLogFile)。
  5. 選取「第三方 API」做為「來源類型」
  6. 選取「SALESFORCE」做為「記錄類型」
  7. 點選「下一步」
  8. 指定下列輸入參數的值:
    • 「API Hostname」(API 主機名稱):輸入 Salesforce 執行個體主機名稱 (例如 acme.my.salesforce.com)。
* **OAuth JWT Endpoint**: Enter the OAuth token endpoint URL:
    - Production orgs: `https://login.salesforce.com/services/oauth2/token`
    - Sandbox orgs: `https://test.salesforce.com/services/oauth2/token`
    - My Domain: `https://acme.my.salesforce.com/services/oauth2/token`
* **JWT Claims Issuer**: Enter the Consumer Key from the External Client App.
* **JWT Claims Subject**: Enter the Salesforce username of the pre-authorized user (for example, `integration@acme.com`).
* **JWT Claims Audience**: Enter the authorization server URL:
    - Production orgs: `https://login.salesforce.com`
    - Sandbox orgs: `https://test.salesforce.com`
    - My Domain: `https://acme.my.salesforce.com`
* **RSA Private Key**: Paste the complete private key contents including `-----BEGIN PRIVATE KEY-----` and `-----END PRIVATE KEY-----` markers.

如要取得私密金鑰內容,請按照下列步驟操作:

```bash
cat salesforce_private.key
```

複製整個輸出內容,包括標頭和頁尾行。

* **Asset namespace**: The [asset namespace](/chronicle/docs/investigation/asset-namespaces).
* **Ingestion labels**: The label to be applied to the events from this feed.
  1. 點選「下一步」
  2. 在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)

Salesforce 執行個體類型參考資料

OAuth JWT 端點和目標對象值取決於 Salesforce 執行個體類型:

| Instance Type       | OAuth JWT Endpoint                                      | JWT Claims Audience              | API Hostname Format                    |
| ------------------- | ------------------------------------------------------- | -------------------------------- | -------------------------------------- |
| **Production**      | `https://login.salesforce.com/services/oauth2/token`    | `https://login.salesforce.com`   | `company.my.salesforce.com`            |
| **Sandbox**         | `https://test.salesforce.com/services/oauth2/token`     | `https://test.salesforce.com`    | `company--sandbox.sandbox.my.salesforce.com` |
| **My Domain**       | `https://domain.my.salesforce.com/services/oauth2/token`| `https://domain.my.salesforce.com` | `domain.my.salesforce.com`           |

Note: "My Domain" is recommended for production deployments. "My Domain" provides a custom, branded login URL and is required for certain Salesforce features.

UDM 對應表

記錄欄位 UDM 對應 邏輯
Account.Name target.resource.name 原始記錄中的 Account.Name 值。
AccountId target.resource.id 原始記錄中的 AccountId 值。
Action security_result.description 原始記錄中的 Action 值。
AdditionalInfo - 未對應至 IDM 物件。
ApiType target.application 原始記錄中的 ApiType 值。
ApiVersion - 未對應至 IDM 物件。
Application principal.application 原始記錄中的 Application 值;如果是 LoginAsEvent,則為「Browser」;如果是 LoginEvent,則為「Integration JWT Token」;如果是 LoginHistory (objecttype 為 LoginHistory),則為「SfdcSiqActivityPlatform」;如果是 ApiEvent,則為「N/A」;如果是 LoginAsEventStream,則為「Browser」。
attributes.url target.url 原始記錄中的 attributes.url 值,或是原始記錄中各種事件類型的特定網址。
attributes.type metadata.product_event_type 原始記錄中的 attributes.type 值。
AuthSessionId network.session_id 原始記錄中的 AuthSessionId 值。
Browser principal.resource.name 原始記錄中的 Browser 值;如果原始記錄中沒有 Browser,且 Application 為「Insights」,則為「Unknown」;如果 LoginHistory 的 ApiType 為「SOAP Partner」,則為「Java (Salesforce.com)」;如果 LoginHistory 的 Application 為「SfdcSiqActivityPlatform」,則為「Unknown」;如果為 LoginAsEventStream,則為 data.properties.Browser.str。
Case.Subject target.resource.name 原始記錄中的 Case.Subject 值。
CaseId target.resource.id 原始記錄中的 CaseId 值。
cat metadata.product_event_type 原始記錄中的 cat 值。
City principal.location.city 原始記錄中的 City 值,或是 LoginHistory 的 LoginGeo.City 值。
Client principal.labels 原始記錄中的 Client 值,格式為標籤。
CLIENT_IP principal.ipprincipal.asset.ip 原始記錄中的 CLIENT_IP 值。
ClientVersion - 未對應至 IDM 物件。
CipherSuite network.tls.cipher 原始記錄中的 CipherSuite 值。
ColumnHeaders principal.labels 原始記錄中的 ColumnHeaders 值,格式為標籤。
ConnectedAppId principal.labels 原始記錄中的 ConnectedAppId 值,格式為標籤。
Contact.Name target.resource.name 原始記錄中的 Contact.Name 值。
ContactId target.resource.id 原始記錄中的 ContactId 值。
Country principal.location.country_or_region 原始記錄中的 Country 值,或 LoginHistory 的 LoginGeo.Country 值。
CreatedByContext principal.user.userid 原始記錄中的 CreatedByContext 值。
CreatedById principal.resource.attribute.labels 原始記錄中的 CreatedById 值,格式為標籤。
CreatedDate metadata.collected_timestamp 原始記錄中的 CreatedDate 值,如果沒有,則為目前的時間戳記。
CPU_TIME target.resource.attribute.labels 原始記錄中的 CPU_TIME 值,格式為標籤。
data - 內含各種欄位,可個別擷取及對應。
DATASET_IDS target.resource.name 原始記錄中的 DATASET_IDS 值。
DelegatedOrganizationId target.administrative_domain 原始記錄中的 DelegatedOrganizationId 值。
DelegatedUsername observer.user.userid 原始記錄中的 DelegatedUsername 值。
Description metadata.description 原始記錄中的 Description 值。
DevicePlatform principal.resource.type 原始記錄中的 DevicePlatform 值,經過剖析後可擷取資源類型。
Display metadata.description 原始記錄中的 Display 值。
DOWNLOAD_FORMAT target.resource.attribute.labels 原始記錄中的 DOWNLOAD_FORMAT 值,格式為標籤。
Duration target.resource.attribute.labels 原始記錄中的 Duration 值,格式為標籤。
ENTITY_NAME target.resource.attribute.labels 原始記錄中的 ENTITY_NAME 值,格式為標籤。
ErrorCode security_result.action 原始記錄中的 ErrorCode 值,轉換為 ALLOW 或 BLOCK。
EventDate timestamp 原始記錄中的 EventDate 值,或 data.properties.TIMESTAMP_DERIVED.str (如有),或 data.properties.TIMESTAMP_DERIVED_FIRST.str (如有),或 @timestamp (如有),或 created_date (如有),或 timestamp (如有),或 LoginHistory 的 LoginTime
EventIdentifier metadata.product_log_id 原始記錄中的 EventIdentifier 值。
EventType metadata.product_event_type 原始記錄中的 EventType 值。
Id principal.user.userid 原始記錄中的 Id 值,或 SetupAuditTrail 和其他事件的 metadata.product_log_id 值。
IdentityUsed principal.user.email_addresses 原始記錄中的 IdentityUsed 值。
Lead.Name target.resource.name 原始記錄中的 Lead.Name 值。
LeadId target.resource.id 原始記錄中的 LeadId 值。
LoginAsCategory - 未對應至 IDM 物件。
LoginGeo.Country principal.location.country_or_region 原始記錄中的 LoginGeo.Country 值。
LoginHistoryId - 未對應至 IDM 物件。
LoginKey principal.user.useridnetwork.session_id 原始記錄中的 LoginKey 值,或 SetupAuditTrail 的 CreatedByContext 值。
LoginTime timestamp 原始記錄中的 LoginTime 值。
LoginType security_result.description 原始記錄中的 LoginType 值;如果 LoginHistory 的 ApiType 為「SOAP Partner」,則為「Other Apex API」;如果 LoginHistory 的 Application 為「SfdcSiqActivityPlatform」,則為「Remote Access 2.0」。
LoginUrl target.urlprincipal.url 原始記錄中的 LoginUrl 值。
LogFile principal.resource.attribute.labels 原始記錄中的 LogFile 值,格式為標籤。
LogFileContentType principal.resource.attribute.labels 原始記錄中的 LogFileContentType 值,格式為標籤。
LogFileLength principal.resource.attribute.labels 原始記錄中的 LogFileLength 值,格式為標籤。
Message - 未對應至 IDM 物件。
METHOD network.http.method 原始記錄中的 METHOD 值。
Name target.application 原始記錄中的 Name 值。
NewValue - 須搭配 OldValue 使用,才能產生 security_result.summary
NUMBER_FIELDS target.resource.attribute.labels 原始記錄中的 NUMBER_FIELDS 值,格式為標籤。
OldValue - 須搭配 NewValue 使用,才能產生 security_result.summary
Operation security_result.descriptiontarget.resource.attribute.labels 原始記錄中的 Operation 值,或 SetupAuditTrail 的 Display 值。
OperationStatus security_result.action 原始記錄中的 OperationStatus 值,轉換為 ALLOW 或 BLOCK。
ORGANIZATION_ID target.administrative_domain 原始記錄中的 ORGANIZATION_ID 值。
OsName principal.platform 原始記錄中的 OsName 值。
OsVersion principal.platform_version 原始記錄中的 OsVersion 值。
Platform principal.platform 原始記錄中的 Platform 值,或是 LightningUriEventStream 中的 data.properties.OsName.str 值,或是 LoginEventStream 中的 data.properties.OsName.str 值。
QueriedEntities target.resource.nameprincipal.labels 原始記錄中的 QueriedEntities 值,或 UriEvent 和 ApiEvent 的 component_name
Query target.process.command_lineprincipal.labels 原始記錄中的 Query 值。
RecordId target.resource.id 原始記錄中的 RecordId 值。
Records principal.labels 原始記錄中的 Records 值,格式為標籤。
REQUEST_ID metadata.product_log_idtarget.resource.product_object_id 原始記錄中的 REQUEST_ID 值。
REQUEST_SIZE network.sent_bytes 原始記錄中的 REQUEST_SIZE 值。
REQUEST_STATUS security_result.summary 原始記錄中的 REQUEST_STATUS 值。
RESPONSE_SIZE network.received_bytes 原始記錄中的 RESPONSE_SIZE 值。
RowsProcessed target.resource.attribute.labels 原始記錄中的 RowsProcessed 值,格式為標籤。
RUN_TIME target.resource.attribute.labels 原始記錄中的 RUN_TIME 值,格式為標籤。
SamlEntityUrl - 未對應至 IDM 物件。
SdkAppType - 未對應至 IDM 物件。
SdkAppVersion - 未對應至 IDM 物件。
SdkVersion - 未對應至 IDM 物件。
Section security_result.summary 原始記錄中的 Section 值。
SessionKey network.session_id 原始記錄中的 SessionKey 值。
SessionLevel target.resource.attribute.labels 原始記錄中的 SessionLevel 值,格式為標籤。
SourceIp principal.ipprincipal.asset.ip 原始記錄中的 SourceIp 值。
src principal.ipprincipal.asset.ip 原始記錄中的 src 值。
SsoType target.resource.attribute.labels 原始記錄中的 SsoType 值,格式為標籤。
STATUS_CODE network.http.response_code 原始記錄中的 STATUS_CODE 值。
Status security_result.actionsecurity_result.action_details 原始記錄中的 Status 值,轉換為 ALLOW 或 BLOCK,或做為 LoginEventStream 的動作詳細資料。
Subject target.resource.name 原始記錄中的 Subject 值。
TargetUrl - 未對應至 IDM 物件。
TIMESTAMP metadata.collected_timestamp 原始記錄中的 TIMESTAMP 值。
TIMESTAMP_DERIVED timestamp 原始記錄中的 TIMESTAMP_DERIVED 值。
TlsProtocol network.tls.version_protocol 原始記錄中的 TlsProtocol 值。
URI target.url 原始記錄中的 URI 值。
USER_AGENT network.http.user_agent 原始記錄中的 USER_AGENT 值。
USER_ID principal.user.userid 原始記錄中的 USER_ID 值。
USER_ID_DERIVED principal.user.product_object_idtarget.resource.attribute.labels 原始記錄中的 USER_ID_DERIVED 值。
UserId principal.user.userid 原始記錄中的 UserId 值。
USER_TYPE target.resource.attribute.labels 原始記錄中的 USER_TYPE 值,格式為標籤。
Username principal.user.useridprincipal.user.email_addressestarget.user.email_addresses 原始記錄中的 Username 值,或是各種事件的 src_email 值,或是 IdentityProviderEventStore 的 IdentityUsed 值,或是 Search 和 SearchAlert 的 data.properties.Email.str 值,或是 LoginAsEventStream 和 LoginEventStream 的 data.properties.Username.str 值。
UserType target.resource.attribute.labels 原始記錄中的 UserType 值,格式為標籤。
usrName principal.user.useridprincipal.user.email_addressestarget.user.email_addresses 原始記錄中的 usrName 值。
VerificationMethod target.resource.attribute.labels 原始記錄中的 VerificationMethod 值,格式為標籤。
剖析器邏輯 metadata.event_type 根據 event_idoperation 欄位衍生,或針對 LoginEventStream 設為「USER_LOGIN」,針對 Logout 和 LogoutEvent 設為「USER_LOGOUT」,針對各種事件設為「USER_RESOURCE_UPDATE_CONTENT」,針對 PlatformEncryption 設為「USER_RESOURCE_UPDATE_PERMISSIONS」,針對 QueuedExecution、ApexExecution、LightningInteraction、LightningPerformance、LightningPageView、URI、RestApi、API、AuraRequest、ApexCallout、OneCommerceUsage、Sites、MetadataApiOperation、OneCommerceUsage、VisualforceRequest、Dashboard、Search、ListViewEvent 設為「RESOURCE_READ」,針對 UriEvent 和 TimeBasedWorkflow (Operation 為「Create」或「INSERT」) 設為「RESOURCE_CREATION」,針對 UriEvent 和 LightningUriEvent (Operation 為「Update」) 設為「RESOURCE_WRITTEN」,針對 UriEvent (Operation 為「Delete」或「ROLLBACK」) 設為「RESOURCE_DELETION」,針對 SetupAuditTrail 和 AuditTrail 設為「USER_UNCATEGORIZED」,針對 SetupAuditTrail (operation 為「namedCredentialEncryptedFieldChange」) 設為「USER_CHANGE_PASSWORD」,針對 ApiEventStream 和 LightningUriEventStream 設為「GENERIC_EVENT」,或根據網路和主體存在狀態設定。
剖析器邏輯 metadata.ingestion_labels 標籤,指出事件來源為「事件記錄檔」、「即時事件監控」或「SetupAuditTrail」。
剖析器邏輯 metadata.log_type 一律設為「SALESFORCE」。
剖析器邏輯 metadata.product_name 一律設為「SALESFORCE」。
剖析器邏輯 metadata.vendor_name 一律設為「SALESFORCE」。
剖析器邏輯 metadata.url_back_to_product LoginUrlattributes.urldata.properties.PageUrl.strdata.properties.LoginUrl.str 等各種欄位建構而成。
剖析器邏輯 network.application_protocol 如果 uri 欄位開頭為「http」,請設為「HTTPS」。
剖析器邏輯 network.http.referral_url 如果 user_agent 欄位包含「Referer=」,系統會從該欄位擷取。
剖析器邏輯 network.http.response_code 衍生自 request_status,適用於各種活動。
剖析器邏輯 network.http.user_agent 原始記錄中的 user_agent 值,或是 ApiEventStream 和 LoginEventStream 中的 data.properties.UserAgent.str 值,或是 Sites 事件中的值,或是 Sites 事件中的「User-Agent」。
剖析器邏輯 network.session_id 原始記錄中的 session_keySESSION_KEY 值,或從其他欄位 (例如 LoginKeyAuthSessionId) 建構的值。
剖析器邏輯 network.tls.version 原始記錄中的 tls_protocol 值,或 LoginEventStream 中的 data.properties.TlsProtocol.str 值。
剖析器邏輯 principal.application 原始記錄中的 application 值;如果是「登入:成功」事件,則為「Salesforce for Outlook」;如果是沒有應用程式的「登入:成功」事件,則為「Insights」;如果是 Lightning 事件,則從 device_platform 中擷取。
剖析器邏輯 principal.asset.hostname 如果是主機名稱,則為 client_ip 的值。
剖析器邏輯 principal.asset.ip 如果是 IP 位址,值為 client_ipsrc_ipSourceIpCLIENT_IP
剖析器邏輯 principal.hostname 如果是主機名稱,則為 client_ip 的值。
剖析器邏輯 principal.ip 如果是 IP 位址,值為 client_ipsrc_ipSourceIpCLIENT_IP
剖析器邏輯 principal.labels 標籤由 FederationIdentifierApiTypeOrgIdchannel 等各種欄位建構而成。
剖析器邏輯 principal.location.city 原始記錄中的 geoip_src.city_nameCityLoginGeo.City 值。
剖析器邏輯 principal.location.country_or_region 原始記錄中的 geoip_src.country_nameCountryLoginGeo.Countryclient_geo 值。
剖析器邏輯 principal.location.region_latitude 原始記錄中的 data.properties.LoginLatitude.number 值。
剖析器邏輯 principal.location.region_longitude 原始記錄中的 data.properties.LoginLongitude.number 值。
剖析器邏輯 principal.location.state 原始記錄中的 geoip_src.region_name 值。
剖析器邏輯 principal.platform 原始記錄中的 PlatformOsNameos_name 值,或是 LoginEventStream 的「WINDOWS」,其中 Platform 包含「Windows」。
剖析器邏輯 principal.platform_version 原始記錄中的 OsVersionos_version 值,或從 LoginEventStream 的 Platform 中擷取,其中 Platform 包含「Windows」。
剖析器邏輯 principal.resource.attribute.labels 標籤是由 CreatedByIdApiVersionLogFileLogFileContentTypeLogFileLength 等各種欄位建構而成。
剖析器邏輯 principal.resource.name 原始記錄中的 Browserbrowser_name 值,或是「Java (Salesforce.com)」,適用於 ApiType 為「SOAP Partner」的 LoginHistory。
剖析器邏輯 principal.resource.type 從 Lightning 事件中擷取,或是 LoginAsEvent 和 LoginAsEventStream 的「瀏覽器」。device_platform
剖析器邏輯 principal.url 原始記錄中的 LoginUrl 值。
剖析器邏輯 principal.user.email_addresses 原始記錄中的 usrNameUsernamesrc_emailIdentityUseddata.properties.Username.strdata.properties.Email.str 值。
剖析器邏輯 principal.user.product_object_id 原始記錄中的 attrs.USER_ID_DERIVEDdata.properties.USER_ID_DERIVED.str 值。
剖析器邏輯 principal.user.userid 原始記錄中的 usrNameUsernameuser_idUserIdUSER_IDIdLoginKeyCreatedByContextdata.properties.Username.strdata.properties.USER_ID.strdata.properties.LoginKey.str 值。
剖析器邏輯 security_result.action 衍生自原始記錄中的 StatusOperationStatusErrorCodeactionoperation_status,並轉換為 ALLOW 或 BLOCK。
剖析器邏輯 security_result.action_details LoginEventStream 原始記錄中的 Status 值。
剖析器邏輯 security_result.description 原始記錄中的 LoginTypelogintypeOperationActionDisplay 值。
剖析器邏輯 security_result.rule_name 原始記錄中的 Policyrule_name 值。
剖析器邏輯 security_result.summary 由原始記錄中的 NewValueOldValueREQUEST_STATUSSectionforecastcategory 建構而成。
剖析器邏輯 target.administrative_domain 原始記錄中的 ORGANIZATION_IDDelegatedOrganizationIdorganization_iddata.properties.OrgName.str 值。
剖析器邏輯 target.application 原始記錄中的 Applicationapp_nameApiTypeNamedata.properties.Application.str 值。
剖析器邏輯 target.asset.hostname uri 欄位擷取的 target_hostname 值。
剖析器邏輯 target.asset.ip 原始記錄中的 data.properties.CLIENT_IP.str 值。
剖析器邏輯 target.asset_id device_idREQUEST_ID 建構。
剖析器邏輯 target.file.mime_type 原始記錄中的 file_type 值。
剖析器邏輯 target.file.size 原始記錄中的 size_bytes 值。
剖析器邏輯 target.hostname uri 欄位擷取的 target_hostname 值。
剖析器邏輯 target.process.command_line 原始記錄中的 query_execQuerydata.properties.Query.str 值。
剖析器邏輯 target.process.pid 原始記錄中的 job_id 值。
剖析器邏輯 target.resource.attribute.labels 標籤是由各種欄位建構而成,例如 CPU_TIMERUN_TIMEUSER_TYPEDB_TOTAL_TIMEMEDIA_TYPEROWS_PROCESSEDNUMBER_FIELDSDB_BLOCKSDB_CPU_TIMEENTITY_NAMEEXCEPTION_MESSAGEUSER_ID_DERIVEDDOWNLOAD_FORMATUSER_TYPECPU_TIMERUN_TIMEWAVE_SESSION_IDSessionLevelverification_methodcpu_timerun_timedb_total_timedb_cpu_timeexec_timecallout_timenumber_soql_queriesdurationuser_typeentry_pointoperationsession_levelrows_processedsso_typedashboard_typeOperationSessionLevel
剖析器邏輯 target.resource.id 原始記錄中的 REQUEST_IDRecordIdcaseidleadidcontactidopportunityidaccountid 值。
剖析器邏輯 target.resource.name 原始記錄中的 QueriedEntitiesresource_namecomponent_nameDATASET_IDSfieldStageNameSubject 值。
剖析器邏輯 target.resource.product_object_id 原始記錄中的 REQUEST_ID 值。
剖析器邏輯 target.resource.resource_type 如果是 ApexCallout 和 PlatformEncryption,請設為「ACCESS_POLICY」;如果是 ApexTrigger,請設為「DATABASE」;如果是 ContentTransfer,請設為「FILE」;如果是 ApiEvent,請設為「TABLE」。
剖析器邏輯 target.resource.type 針對 QueuedExecution 和 ApexExecution 設為「BATCH」,針對 ContentTransfer 設為「FILE」,針對 ApexTrigger 設為「DATABASE_TRIGGER」,或根據相應 ID 欄位的存在與否設為「Case」、「Lead」、「Contact」、「Opportunity」、「Account」。
剖析器邏輯 target.url 原始記錄中的 LoginUrlURIattributes.urllogin_urluri 值。
剖析器邏輯 target.user.email_addresses 原始記錄中的 Usernameattrs.usrNameemail_address 值。
剖析器邏輯 target.user.user_display_name 原始記錄中的 target_user_display_nameuser_nameusername 值。
剖析器邏輯 target.user.userid 原始記錄中的 target_user_namedata.properties.UserId.strdata.properties.CreatedById.str 值。
剖析器邏輯 extensions.auth.auth_details 如果 Status 不是「Success」,請設為「ACTIVE」,否則請設為「UNKNOWN_AUTHENTICATION_STATUS」。
剖析器邏輯 extensions.auth.mechanism 如果登入事件含有「Remote」或 LoginEventStream 的「USERNAME_PASSWORD」,請將登入:成功和登入事件設為「REMOTE」;如果事件含有 login_url,請設為「MECHANISM_OTHER」;如果登入:成功和登出事件設為「AUTHTYPE_UNSPECIFIED」。logintype
剖析器邏輯 extensions.auth.type 如果 LoginType 為「SAML Sfdc Initiated SSO」,請將 Login、Logout、LogoutEvent、LoginAs、IdentityProviderEventStore、LoginHistory、LoginAsEvent 設為「SSO」;如果 LoginType 為「Application」,請將 Login: Success、Logout、LoginAsEvent 設為「AUTHTYPE_UNSPECIFIED」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。