Collecter les journaux Salesforce
Compatible avec :
Google SecOps
SIEM
Ce document explique comment collecter des journaux Salesforce en configurant un flux Google Security Operations à l'aide de l'API tierce.
Salesforce est une plate-forme cloud de gestion de la relation client (CRM) qui fournit des outils pour les ventes, les services, le marketing et l'analyse. Les journaux Salesforce enregistrent l'activité des utilisateurs, les événements de sécurité, les modifications du système et l'utilisation de l'API sur la plate-forme.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
- Une instance Google SecOps
- Édition Enterprise de Salesforce ou version ultérieure (accès à l'API activé)
- Licence Salesforce Shield Event Monitoring activée (obligatoire pour accéder à
EventLogFile) - Autorisations d'administrateur système Salesforce
- OpenSSL installé (pour la génération de certificats)
Générer une paire de clés RSA et un certificat
Générez une clé privée RSA et un certificat X.509 autosigné pour la signature JWT.
Générer une clé privée
Générez la clé au format PKCS#8. Le flux Google SecOps n'accepte que les clés PKCS#8 (en-tête
-----BEGIN PRIVATE KEY-----). Les anciennes clés PKCS#1 (-----BEGIN RSA PRIVATE KEY-----) entraînent des erreurs d'analyse lors de la création du flux.openssl genpkey -algorithm RSA -out salesforce_private.key -pkeyopt rsa_keygen_bits:2048
Générer un certificat autosigné
Utilisez votre clé privée pour générer un certificat X.509 autosigné valide pendant 365 jours.
openssl req -new -x509 -key salesforce_private.key -out salesforce_certificate.crt -days 365
Lorsque vous y êtes invité, saisissez les informations du certificat :
- Nom du pays : saisissez le code pays à deux lettres (par exemple,
US). - Nom de l'État ou de la province : saisissez votre État (par exemple,
California). - Nom de la localité : saisissez votre ville (par exemple,
San Francisco). - Nom de l'organisation : saisissez le nom de votre organisation (par exemple,
Acme Corp). - Nom de l'unité organisationnelle : saisissez le nom du service (par exemple,
IT Security). - Nom commun : saisissez un nom descriptif (par exemple,
SecOps Integration). - Adresse e-mail : saisissez l'adresse e-mail de contact.
Créer une application cliente externe Salesforce
Les applications clientes externes sont la méthode recommandée pour l 'authentification OAuth dans Salesforce (Spring 26 et versions ultérieures).
- Connectez-vous à Salesforce.
- Accédez à Configuration (icône en forme de roue dentée en haut à droite).
- Dans la zone Quick Find (Recherche rapide), saisissez
External Client Apps. - Cliquez sur External Client App Manager (Gestionnaire d'applications clientes externes).
- Cliquez sur New External Client App (Nouvelle application cliente externe).
Configurer les informations de base
- Fournissez les informations de configuration suivantes :
- Nom de l'application cliente externe : saisissez un nom descriptif (par exemple,
Google SecOps Integration). - Nom de l'API : renseigné automatiquement en fonction du nom de l'application. Conservez les valeurs par défaut ou personnalisez-les.
- Adresse e-mail de contact : saisissez votre adresse e-mail.
- État de la distribution : sélectionnez Local.
- Nom de l'application cliente externe : saisissez un nom descriptif (par exemple,
- Cliquez sur Continuer.
Activer les paramètres OAuth
- Cochez la case Enable OAuth (Activer OAuth).
- Fournissez les informations de configuration suivantes :
- URL de rappel : saisissez
https://login.salesforce.com/services/oauth2/callback.
- URL de rappel : saisissez
- Dans la section OAuth Scopes (Champs d'application OAuth), déplacez les champs d'application suivants de Available OAuth Scopes (Champs d'application OAuth disponibles) vers Selected OAuth Scopes (Champs d'application OAuth sélectionnés) :
- Gérer les données utilisateur via des API
- Effectuer des requêtes en votre nom à tout moment (refresh_token, offline_access)
Activer le flux du jeton de support JWT et importer le certificat
- Dans la section Flow Enablement (Activation du flux), cochez la case Enable JWT Bearer Flow (Activer le flux du jeton de support JWT).
- La section Importer un certificat s'affiche.
- Cliquez sur Importer des fichiers ou glissez-déposez votre fichier de certificat.
- Sélectionnez le fichier
salesforce_certificate.crt. - Attendez que l'importation soit terminée. Le nom du fichier du certificat doit s'afficher sous le bouton d'importation.
Configurer les règles OAuth
- Dans la section Règles OAuth :
- Utilisateurs autorisés : sélectionnez Les utilisateurs validés par l'administrateur sont pré-autorisés.
- Cliquez sur Enregistrer.
Obtenir la clé client
Après avoir créé l'application cliente externe, récupérez la clé du consommateur pour la configuration du flux Google SecOps.
- Dans le Gestionnaire d'applications clientes externes, cliquez sur le nom de votre application (par exemple,
Google SecOps Integration). - Accédez à l'onglet Paramètres.
- Dans la section OAuth Settings (Paramètres OAuth), cliquez sur Consumer Key and Secret (Clé et code secret du client).
- Copiez et enregistrez la valeur de la clé client.
Exemple de format de clé client :
3MVG9IKcPoNiNVBIPjdw4z.pcfRjTFBp7xC8x9k4U8jZ0HlLQdPqX5bKjR8yNzQ9_YvY.8xD3F2W6nXb5YgNx
Pré-autoriser l'application cliente externe
Salesforce exige une pré-autorisation pour le flux de support JWT. Pré-autorisez l'accès en attribuant l'application cliente externe à un utilisateur via un ensemble d'autorisations.
Créer un ensemble d'autorisations
- Accédez à Configuration> Utilisateurs> Ensembles d'autorisations.
- Cliquez sur New (Nouveau).
- Fournissez les informations de configuration suivantes :
- Libellé : saisissez
SecOps Integration Users(par exemple). - Nom de l'API : renseigné automatiquement en fonction du libellé.
- Libellé : saisissez
- Cliquez sur Enregistrer.
Attribuer un ensemble d'autorisations à l'application cliente externe
- Accédez à Configuration > Gestionnaire d'applications clientes externes.
- Cliquez sur votre application cliente externe (par exemple,
Google SecOps Integration). - Cliquez sur l'onglet Règles.
- Dans la section Règles relatives aux applications, sous Sélectionner des ensembles d'autorisations :
- Déplacez votre ensemble d'autorisations (par exemple,
SecOps Integration Users) de Ensembles d'autorisations disponibles vers Ensembles d'autorisations sélectionnés.
- Déplacez votre ensemble d'autorisations (par exemple,
- Cliquez sur Enregistrer.
Attribuer un ensemble d'autorisations à un utilisateur
- Sur la page d'informations sur l'ensemble d'autorisations, cliquez sur Gérer les attributions.
- Cliquez sur Add Assignments (Ajouter des attributions).
- Cochez la case à côté du compte utilisateur qui sera utilisé pour l'intégration Google SecOps (par exemple,
integration@acme.com). - Cliquez sur Attribuer.
- Cliquez sur OK.
Configurer un flux dans Google SecOps pour ingérer les journaux Salesforce
- Accédez à Paramètres SIEM> Flux.
- Cliquez sur Add New Feed (Ajouter un flux).
- Sur la page suivante, cliquez sur Configurer un seul flux.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple,
Salesforce EventLogFile). - Sélectionnez API tierce comme Type de source.
- Sélectionnez SALESFORCE comme type de journal.
- Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Nom d'hôte de l'API : saisissez le nom d'hôte de votre instance Salesforce (par exemple,
acme.my.salesforce.com).
- Point de terminaison OAuth JWT : saisissez l'URL du point de terminaison du jeton OAuth. Le paramètre de requête
grant_typeest obligatoire pour le récupérateur de flux Google SecOps. Il doit être ajouté à l'URL exactement comme indiqué :- Organisations de production :
https://login.salesforce.com/services/oauth2/token?grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer - Organisations sandbox :
https://test.salesforce.com/services/oauth2/token?grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer - Mon domaine :
https://acme.my.salesforce.com/services/oauth2/token?grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer
- Organisations de production :
- Émetteur des revendications JWT : saisissez la clé consommateur de l'application cliente externe.
- Sujet des revendications JWT : saisissez le nom d'utilisateur Salesforce de l'utilisateur préautorisé (par exemple,
integration@acme.com). - Audience des revendications JWT : saisissez l'URL du serveur d'autorisation. N'utilisez qu'une seule des deux valeurs ci-dessous. Ne remplacez pas l'URL de Mon domaine, car Salesforce la rejettera lors de la validation de la signature JWT :
- Organisations de production et organisations Mon domaine :
https://login.salesforce.com - Organisations sandbox :
https://test.salesforce.com
- Organisations de production et organisations Mon domaine :
Clé privée RSA : collez l'intégralité du contenu de la clé privée PKCS#8, y compris les marqueurs
-----BEGIN PRIVATE KEY-----et-----END PRIVATE KEY-----. L'en-tête et le pied de page ne doivent pas contenir le motRSA. Une clé avec-----BEGIN RSA PRIVATE KEY-----(PKCS#1) est rejetée par l'analyseur de flux.Pour obtenir le contenu de la clé privée :
cat salesforce_private.key
Copiez l'intégralité du résultat, y compris les lignes d'en-tête et de pied de page.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
- Nom d'hôte de l'API : saisissez le nom d'hôte de votre instance Salesforce (par exemple,
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.
Référence des types d'instances Salesforce
Les valeurs du point de terminaison et de l'audience du jeton JWT OAuth dépendent du type de votre instance Salesforce :
| Type d'instance | Point de terminaison JWT OAuth | Audience des revendications JWT | Format du nom d'hôte de l'API |
|---|---|---|---|
| Production | https://login.salesforce.com/services/oauth2/token?grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer |
https://login.salesforce.com |
company.my.salesforce.com |
| Bac à sable | https://test.salesforce.com/services/oauth2/token?grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer |
https://test.salesforce.com |
company--sandbox.sandbox.my.salesforce.com |
| Mon domaine | https://domain.my.salesforce.com/services/oauth2/token?grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer |
https://login.salesforce.com |
domain.my.salesforce.com |
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
ApiType_label |
additional.fields |
Fusionné |
ApiVersion_label |
additional.fields |
Fusionné |
Application_label |
additional.fields |
Fusionné |
AuthMethodReference_label |
additional.fields |
Fusionné |
Browser_label |
additional.fields |
Fusionné |
ConnectedAppId_label |
additional.fields |
Fusionné |
CountryIso_label |
additional.fields |
Fusionné |
CreatedByContext_label |
additional.fields |
Fusionné |
CreatedById_label |
additional.fields |
Fusionné |
CreatedByIssuer_label |
additional.fields |
Fusionné |
CreatedBy_FederationIdentifier_label |
additional.fields |
Fusionné |
CreatedDate_label |
additional.fields |
Fusionné |
DeviceSessionId_label |
additional.fields |
Fusionné |
EffectivePageTimeDeviationReason_label |
additional.fields |
Fusionné |
EffectivePageTime_label |
additional.fields |
Fusionné |
Entityid_label |
additional.fields |
Fusionné |
EventIdentifier_label |
additional.fields |
Fusionné |
EventUuid_label |
additional.fields |
Fusionné |
FederationIdentifier_label |
additional.fields |
Fusionné |
HasEffectivePageTimeDeviation_label |
additional.fields |
Fusionné |
Id_label |
additional.fields |
Fusionné |
LoginGeoId_label |
additional.fields |
Fusionné |
LoginHistoryId_label |
additional.fields |
Fusionné |
LoginKey_label |
additional.fields |
Fusionné |
LoginSubType_label |
additional.fields |
Fusionné |
LoginType_label |
additional.fields |
Fusionné |
NetId_label |
additional.fields |
Fusionné |
NetworkId_label |
additional.fields |
Fusionné |
Operation_label |
additional.fields |
Fusionné |
OptionsIsGet_label |
additional.fields |
Fusionné |
OptionsIsPost_label |
additional.fields |
Fusionné |
Platform_label |
additional.fields |
Fusionné |
PolicyId_label |
additional.fields |
Fusionné |
PreviousPageAppName_label |
additional.fields |
Fusionné |
PreviousPageEntityType_label |
additional.fields |
Fusionné |
QueriedEntities_label |
additional.fields |
Fusionné |
RelatedEventIdentifier_label |
additional.fields |
Fusionné |
RequestIdentifier_label |
additional.fields |
Fusionné |
RowsProcessed_label |
additional.fields |
Fusionné |
RowsReturned_label |
additional.fields |
Fusionné |
SdkVersion_label |
additional.fields |
Fusionné |
SessionKey_label |
additional.fields |
Fusionné |
SessionLevel_label |
additional.fields |
Fusionné |
Subdivision_label |
additional.fields |
Fusionné |
api_token_label |
additional.fields |
Fusionné |
api_type_label |
additional.fields |
Fusionné |
auth_service_id_label |
additional.fields |
Fusionné |
auth_token |
additional.fields |
Fusionné |
browser_version_label |
additional.fields |
Fusionné |
channel_label |
additional.fields |
Fusionné |
connection_type_label |
additional.fields |
Fusionné |
customerName_label |
additional.fields |
Fusionné |
datacell_label |
additional.fields |
Fusionné |
decoded_body_size_label |
additional.fields |
Fusionné |
delegate_user_label |
additional.fields |
Fusionné |
device_label |
additional.fields |
Fusionné |
device_platform |
additional.fields |
Mappé : : → device_label |
done_label |
additional.fields |
Fusionné |
encoded_body_size_label |
additional.fields |
Fusionné |
evaluation_time_label |
additional.fields |
Fusionné |
event_id |
additional.fields |
Mappé : "LightningInteraction", "LightningPerformance", "LightningPageView", "LightningUriE... |
initiator_type_label |
additional.fields |
Fusionné |
login_key_label |
additional.fields |
Fusionné |
loginkey_label |
additional.fields |
Fusionné |
map_field |
additional.fields |
Fusionné |
next_hop_protocol_label |
additional.fields |
Fusionné |
page_app_name_label |
additional.fields |
Fusionné |
page_context_label |
additional.fields |
Fusionné |
page_entity_id_label |
additional.fields |
Fusionné |
page_entity_type_label |
additional.fields |
Fusionné |
page_url_label |
additional.fields |
Fusionné |
parent_ui_element_label |
additional.fields |
Fusionné |
platform_label |
additional.fields |
Fusionné |
postal_code_label |
additional.fields |
Fusionné |
redirect_start_label |
additional.fields |
Fusionné |
render_blocking_status_label |
additional.fields |
Fusionné |
replayId_label |
additional.fields |
Fusionné |
request_start_label |
additional.fields |
Fusionné |
response_end_label |
additional.fields |
Fusionné |
response_start_label |
additional.fields |
Fusionné |
responsible_namespace_prefix_label |
additional.fields |
Fusionné |
schemaId_label |
additional.fields |
Fusionné |
schema_label |
additional.fields |
Fusionné |
section_label |
additional.fields |
Fusionné |
server_request_id_label |
additional.fields |
Fusionné |
target_ui_element_label |
additional.fields |
Fusionné |
totalSize_label |
additional.fields |
Fusionné |
transfer_size_label |
additional.fields |
Fusionné |
ts_label |
additional.fields |
Fusionné |
ui_event_id_label |
additional.fields |
Fusionné |
ui_event_sequence_num_label |
additional.fields |
Fusionné |
ui_event_source_label |
additional.fields |
Fusionné |
ui_event_timestamp_label |
additional.fields |
Fusionné |
ui_event_type_label |
additional.fields |
Fusionné |
ui_root_activity_id_label |
additional.fields |
Fusionné |
ui_thread_response_delay_label |
additional.fields |
Fusionné |
worker_start_label |
additional.fields |
Fusionné |
Login_type |
extensions.auth.auth_details |
Mappé directement |
auth.mechanism |
extensions.auth.mechanism |
Fusionné |
csv_format |
extensions.auth.mechanism |
Mappé : false → auth.mechanism |
event_id |
extensions.auth.mechanism |
Mappé : Login: Success → auth.mechanism |
mechanism |
extensions.auth.mechanism |
Fusionné |
LoginType |
extensions.auth.type |
Mappé : Application → AUTHTYPE_UNSPECIFIED |
csv_format |
extensions.auth.type |
Mappé : false → AUTHTYPE_UNSPECIFIED |
event_id |
extensions.auth.type |
Valeurs mappées (8 au total, par exemple"IdentityProviderEventStore", "LoginEventStream", "WaveDownloa... |
logintype |
extensions.auth.type |
Mappé : SAML Sfdc Initiated SSO → SSO |
intermediary_ip |
intermediary.ip |
Fusionné |
user_name |
intermediary.user.user_display_name |
Mappé directement |
userid |
intermediary.user.userid |
Mappé directement |
Report_description |
metadata.description |
Mappé directement |
data.properties.Description.str |
metadata.description |
Mappé directement |
metadata_description |
metadata.description |
Mappé directement |
properties.Description |
metadata.description |
Mappé directement |
@timestamp |
metadata.event_timestamp |
Analysé comme ISO8601 |
LoginTime |
metadata.event_timestamp |
Analysé comme yyyy-MM-ddTHH:mm:ss.SSS+0000 |
TIMESTAMP |
metadata.event_timestamp |
Analysé comme UNIX |
TIMESTAMP_DERIVED |
metadata.event_timestamp |
Analysé comme ISO8601 |
User.LastLoginDate |
metadata.event_timestamp |
Analysé comme yyyy-MM-ddTHH:mm:ss.SSS+0000 |
collected_timestamp |
metadata.event_timestamp |
Analysé comme yyyyMMddHHmmss |
column6 |
metadata.event_timestamp |
Analysé comme yyyyMMddHHmmss |
createdAt |
metadata.event_timestamp |
Analysé comme UNIX |
detail.payload.EventDate |
metadata.event_timestamp |
Analysé comme ISO8601 |
payload.EventDate |
metadata.event_timestamp |
Analysé comme ISO8601 |
properties.EventDate |
metadata.event_timestamp |
Analysé comme ISO8601 |
recordDate |
metadata.event_timestamp |
Analysé comme UNIX_MS |
startTime |
metadata.event_timestamp |
Analysé comme MMM d yyyy, HH:mm:ss:SSS |
time_stamp |
metadata.event_timestamp |
Analysé comme YYYY-MM-ddTHH:mm:ss |
timestamp |
metadata.event_timestamp |
Analysé comme yyyyMMddHHmmss |
ts_date |
metadata.event_timestamp |
Analysé comme yyyy-MM-dd HH:mm:ss.SSSZ |
event_type |
metadata.event_type |
Mappé : "", "GENERIC_EVENT" → USER_UNCATEGORIZED, "", "GENERIC_EVENT" → `NETWORK_CONNE... |
principal_machine_id_present |
metadata.event_type |
Mappé : true → NETWORK_CONNECTION, true → STATUS_UPDATE |
principal_user_present |
metadata.event_type |
Mappé : true → USER_UNCATEGORIZED |
label |
metadata.ingestion_labels |
Fusionné |
resource_name |
metadata.ingestion_labels |
Mappé : `"ReportEvent","SessionHijackingEventStore","BulkApiResultEventStore","CredentialStu... |
action |
metadata.product_event_type |
Mappé directement |
attrs.cat |
metadata.product_event_type |
Mappé directement |
event_id |
metadata.product_event_type |
Mappé directement |
name |
metadata.product_event_type |
Mappé directement |
REQUEST_ID |
metadata.product_log_id |
Mappé directement |
column9 |
metadata.product_log_id |
Mappé directement |
data.properties.EventIdentifier.str |
metadata.product_log_id |
Mappé directement |
event_identifier |
metadata.product_log_id |
Mappé directement |
id |
metadata.product_log_id |
Mappé directement |
payload.EventIdentifier |
metadata.product_log_id |
Mappé directement |
product_log_id |
metadata.product_log_id |
Mappé directement |
properties.EventIdentifier |
metadata.product_log_id |
Mappé directement |
ClientVersion |
metadata.product_version |
Mappé directement |
payload.ClientVersion |
metadata.product_version |
Mappé directement |
data.properties.LoginUrl.str |
metadata.url_back_to_product |
Mappé directement |
data.properties.PageUrl.str |
metadata.url_back_to_product |
Mappé directement |
payload.PreviousPageUrl |
metadata.url_back_to_product |
Mappé directement |
protocol |
network.application_protocol |
Mappé directement |
METHOD |
network.http.method |
Mappé directement |
data.properties.HttpMethod.str |
network.http.method |
Mappé directement |
method |
network.http.method |
Mappé directement |
payload.HttpMethod |
network.http.method |
Mappé directement |
properties.HttpMethod |
network.http.method |
Mappé directement |
properties.UserAgent |
network.http.parsed_user_agent |
Mappé directement |
user_agent |
network.http.parsed_user_agent |
Mappé directement |
referral_url |
network.http.referral_url |
Mappé directement |
STATUS_CODE |
network.http.response_code |
Mappé directement |
request_status |
network.http.response_code |
Mappé directement |
Browser_type |
network.http.user_agent |
Mappé directement |
Client_info |
network.http.user_agent |
Mappé directement |
data.properties.UserAgent.str |
network.http.user_agent |
Mappé directement |
detail.payload.UserAgent |
network.http.user_agent |
Mappé directement |
payload.UserAgent |
network.http.user_agent |
Mappé directement |
properties.UserAgent |
network.http.user_agent |
Mappé directement |
user_agent |
network.http.user_agent |
Mappé directement |
RESPONSE_SIZE |
network.received_bytes |
Renommé/Mappé |
REQUEST_SIZE |
network.sent_bytes |
Renommé/Mappé |
column17 |
network.sent_bytes |
Mappé directement |
event_id |
network.sent_bytes |
Mappé : AuraRequest → uinteger |
LOGIN_KEY |
network.session_id |
Mappé directement |
SESSION_KEY |
network.session_id |
Mappé directement |
data.properties.SESSION_KEY.str |
network.session_id |
Mappé directement |
data.properties.SessionKey.str |
network.session_id |
Mappé directement |
payload.SessionKey |
network.session_id |
Mappé directement |
properties.SessionKey |
network.session_id |
Mappé directement |
session_id |
network.session_id |
Mappé directement |
session_key |
network.session_id |
Mappé directement |
cipher_suite |
network.tls.cipher |
Mappé directement |
data.properties.CipherSuite.str |
network.tls.cipher |
Mappé directement |
payload.CipherSuite |
network.tls.cipher |
Mappé directement |
properties.CipherSuite |
network.tls.cipher |
Mappé directement |
data.properties.TlsProtocol.str |
network.tls.version |
Mappé directement |
payload.TlsProtocol |
network.tls.version |
Mappé directement |
properties.TlsProtocol |
network.tls.version |
Mappé directement |
tls_protocol |
network.tls.version_protocol |
Mappé directement |
data.properties.DelegatedUsername.str |
observer.user.userid |
Mappé directement |
application |
principal.application |
Mappé directement |
attrs.Application |
principal.application |
Renommé/Mappé |
data.properties.Application.str |
principal.application |
Mappé directement |
payload.Application |
principal.application |
Mappé directement |
properties.Application |
principal.application |
Mappé directement |
src_app_name |
principal.application |
Mappé directement |
SourceIp |
principal.asset.hostname |
Mappé directement |
client_host |
principal.asset.hostname |
Mappé directement |
client_ip_1 |
principal.asset.hostname |
Mappé directement |
detail.payload.Client |
principal.asset.hostname |
Mappé directement |
CLIENT_IP |
principal.asset.ip |
Fusionné |
Client_ip |
principal.asset.ip |
Fusionné |
SourceIp |
principal.asset.ip |
Fusionné |
attrs.src |
principal.asset.ip |
Fusionné |
client_ip |
principal.asset.ip |
Fusionné |
client_ip_1 |
principal.asset.ip |
Fusionné |
column28 |
principal.asset.ip |
Fusionné |
csv_format |
principal.asset.ip |
Mappé : false → attrs.src |
event_id |
principal.asset.ip |
Mappé : API → prin_ip, Sites → column28, Login: Success → attrs.src |
ip |
principal.asset.ip |
Fusionné |
prin_ip |
principal.asset.ip |
Fusionné |
principal_ip_address |
principal.asset.ip |
Fusionné |
src_ip1 |
principal.asset.ip |
Fusionné |
value |
principal.asset.ip |
Fusionné |
data.properties.ASSET_ID.str |
principal.asset_id |
Mappé directement |
SourceIp |
principal.hostname |
Mappé directement |
client_host |
principal.hostname |
Mappé directement |
client_ip_1 |
principal.hostname |
Mappé directement |
detail.payload.Client |
principal.hostname |
Mappé directement |
CLIENT_IP |
principal.ip |
Fusionné |
Client_ip |
principal.ip |
Fusionné |
SourceIp |
principal.ip |
Fusionné |
attrs.src |
principal.ip |
Fusionné |
client_ip |
principal.ip |
Fusionné |
client_ip_1 |
principal.ip |
Fusionné |
column28 |
principal.ip |
Fusionné |
csv_format |
principal.ip |
Mappé : false → attrs.src |
event_id |
principal.ip |
Mappé : API → prin_ip, Sites → column28, Login: Success → attrs.src |
ip |
principal.ip |
Fusionné |
prin_ip |
principal.ip |
Fusionné |
principal_ip |
principal.ip |
Fusionné |
principal_ip_address |
principal.ip |
Fusionné |
src_ip1 |
principal.ip |
Fusionné |
value |
principal.ip |
Fusionné |
ApiType_label |
principal.labels |
Fusionné |
Client_label |
principal.labels |
Fusionné |
ConApp_label |
principal.labels |
Fusionné |
OrderBy_label |
principal.labels |
Fusionné |
Org_id |
principal.labels |
Fusionné |
Qentry_label |
principal.labels |
Fusionné |
Query_label |
principal.labels |
Fusionné |
Records_label |
principal.labels |
Fusionné |
channel |
principal.labels |
Fusionné |
colhdr_label |
principal.labels |
Fusionné |
disp_field_hdr_label |
principal.labels |
Fusionné |
evt_src_label |
principal.labels |
Fusionné |
federation_identifier |
principal.labels |
Fusionné |
grouped_colhdr_label |
principal.labels |
Fusionné |
city |
principal.location.city |
Mappé directement |
data.properties.City.str |
principal.location.city |
Mappé directement |
geoip_src.city_name |
principal.location.city |
Mappé directement |
payload.City |
principal.location.city |
Mappé directement |
properties.City |
principal.location.city |
Mappé directement |
client_geo |
principal.location.country_or_region |
Mappé directement |
data.properties.Country.str |
principal.location.country_or_region |
Mappé directement |
geoip_src.country_name |
principal.location.country_or_region |
Mappé directement |
payload.CountryIso |
principal.location.country_or_region |
Mappé directement |
properties.Country |
principal.location.country_or_region |
Mappé directement |
region |
principal.location.country_or_region |
Mappé directement |
data.properties.LoginLatitude.number |
principal.location.region_latitude |
Renommé/Mappé |
payload.LoginLatitude |
principal.location.region_latitude |
Renommé/Mappé |
properties.LoginLatitude |
principal.location.region_latitude |
Renommé/Mappé |
data.properties.LoginLongitude.number |
principal.location.region_longitude |
Renommé/Mappé |
payload.LoginLongitude |
principal.location.region_longitude |
Renommé/Mappé |
properties.LoginLongitude |
principal.location.region_longitude |
Renommé/Mappé |
geoip_src.region_name |
principal.location.state |
Mappé directement |
namespace |
principal.namespace |
Mappé directement |
source_ip |
principal.nat_ip |
Fusionné |
Platform |
principal.platform |
Mappé : Windows → WINDOWS, Linux → LINUX, Mac → MAC |
data.properties.OsName.str |
principal.platform |
Mappé directement |
os_name |
principal.platform |
Mappé directement |
payload.OsName |
principal.platform |
Mappé directement |
platform |
principal.platform |
Mappé directement |
data.properties.Platform.str |
principal.platform_version |
Mappé directement |
os_version |
principal.platform_version |
Mappé directement |
payload.OsVersion |
principal.platform_version |
Mappé directement |
properties.OsVersion |
principal.platform_version |
Mappé directement |
ApiVersion_label |
principal.resource.attribute.labels |
Fusionné |
IsDeleted_label |
principal.resource.attribute.labels |
Fusionné |
LogFileContentType_label |
principal.resource.attribute.labels |
Fusionné |
LogFileLength_label |
principal.resource.attribute.labels |
Fusionné |
LogFile_label |
principal.resource.attribute.labels |
Fusionné |
created_by_id_label |
principal.resource.attribute.labels |
Fusionné |
key |
principal.resource.attribute.labels |
Mappé : DisplayedFieldEntities → map_field |
map_field |
principal.resource.attribute.labels |
Fusionné |
os_name_label |
principal.resource.attribute.labels |
Fusionné |
principal_ip_address |
principal.resource.attribute.labels |
Fusionné |
browser_name |
principal.resource.name |
Mappé directement |
data.properties.Browser.str |
principal.resource.name |
Mappé directement |
product_object_id |
principal.resource.product_object_id |
Mappé directement |
principal_resource_type |
principal.resource.type |
Mappé directement |
LoginUrl |
principal.url |
Mappé directement |
user_labels |
principal.user.attribute.labels |
Fusionné |
user_permission_label |
principal.user.attribute.labels |
Fusionné |
roles |
principal.user.attribute.roles |
Fusionné |
CreatedBy.Email |
principal.user.email_addresses |
Fusionné |
Email |
principal.user.email_addresses |
Fusionné |
User.Email |
principal.user.email_addresses |
Fusionné |
User.Username |
principal.user.email_addresses |
Mappé directement |
attrs.usrName |
principal.user.email_addresses |
Fusionné |
csv_format |
principal.user.email_addresses |
Mappé : false → attrs.usrName |
email |
principal.user.email_addresses |
Fusionné |
properties.Username |
principal.user.email_addresses |
Fusionné |
src_email |
principal.user.email_addresses |
Mappé : ^.+@.+$ → src_email |
User.Id |
principal.user.product_object_id |
Mappé directement |
attrs.USER_ID_DERIVED |
principal.user.product_object_id |
Renommé/Mappé |
data.properties.USER_ID_DERIVED.str |
principal.user.product_object_id |
Mappé directement |
principal_product_object_id |
principal.user.product_object_id |
Mappé directement |
payload.UserType |
principal.user.role_name |
Mappé directement |
properties.UserType |
principal.user.role_name |
Mappé directement |
CreatedBy.Name |
principal.user.user_display_name |
Mappé directement |
Name |
principal.user.user_display_name |
Mappé directement |
User.Name |
principal.user.user_display_name |
Mappé directement |
email |
principal.user.user_display_name |
Mappé directement |
profile_name |
principal.user.user_display_name |
Mappé directement |
user_display_name |
principal.user.user_display_name |
Mappé directement |
username |
principal.user.user_display_name |
Mappé directement |
Id |
principal.user.userid |
Mappé directement |
USER_ID |
principal.user.userid |
Mappé directement |
account |
principal.user.userid |
Mappé directement |
attrs.usrName |
principal.user.userid |
Mappé directement |
data.properties.LoginKey.str |
principal.user.userid |
Mappé directement |
data.properties.USER_ID.str |
principal.user.userid |
Mappé directement |
login_key |
principal.user.userid |
Mappé directement |
payload.UserId |
principal.user.userid |
Mappé directement |
principal_user |
principal.user.userid |
Mappé directement |
properties.UserId |
principal.user.userid |
Mappé directement |
user_id |
principal.user.userid |
Mappé directement |
username |
principal.user.userid |
Mappé directement |
action |
security_result.action |
Mappé : "ALLOW", "BLOCK" → action |
csv_format |
security_result.action |
Mappé : false → sec_action |
event_id |
security_result.action |
Mappé : ` "Login", "LoginAsEvent", "IdentityVerificationEvent"... |
sec_action |
security_result.action |
Fusionné |
status |
security_result.action |
Mappé : Success → sec_action |
Status |
security_result.action_details |
Mappé directement |
action |
security_result.action_details |
Mappé directement |
data.properties.Status.str |
security_result.action_details |
Mappé directement |
properties.Status |
security_result.action_details |
Mappé directement |
detail.payload.Query |
security_result.category_details |
Fusionné |
LoginType |
security_result.description |
Mappé directement |
description |
security_result.description |
Mappé directement |
logintype |
security_result.description |
Mappé directement |
ActionMessage_label |
security_result.detection_fields |
Fusionné |
ElapsedTime_label |
security_result.detection_fields |
Fusionné |
EvaluationTime_label |
security_result.detection_fields |
Fusionné |
Id_label |
security_result.detection_fields |
Fusionné |
NumberOfFailedLogins_label |
security_result.detection_fields |
Fusionné |
PolicyOutcome_label |
security_result.detection_fields |
Fusionné |
User_url_label |
security_result.detection_fields |
Fusionné |
event_id |
security_result.detection_fields |
Mappé : AuraRequest → ActionMessage_label |
type_label |
security_result.detection_fields |
Fusionné |
column5 |
security_result.rule_author |
Mappé directement |
column1 |
security_result.rule_id |
Mappé directement |
payload.PolicyId |
security_result.rule_id |
Mappé directement |
properties.PolicyId |
security_result.rule_id |
Mappé directement |
column4 |
security_result.rule_name |
Mappé directement |
rule_name |
security_result.rule_name |
Mappé directement |
REQUEST_STATUS |
security_result.summary |
Mappé directement |
column10 |
security_result.summary |
Mappé directement |
data.properties.LoginType.str |
security_result.summary |
Mappé directement |
forecastcategory |
security_result.summary |
Mappé directement |
newvalue |
security_result.summary |
Mappé directement |
oldvalue |
security_result.summary |
Mappé directement |
summary |
security_result.summary |
Mappé directement |
ORGANIZATION_ID |
target.administrative_domain |
Mappé directement |
domain |
target.administrative_domain |
Mappé directement |
organization_id |
target.administrative_domain |
Mappé directement |
properties.OrgName |
target.administrative_domain |
Mappé directement |
app_name |
target.application |
Mappé directement |
data.properties.Application.str |
target.application |
Mappé directement |
payload.AppName |
target.application |
Mappé directement |
properties.AppName |
target.application |
Mappé directement |
target_host |
target.asset.hostname |
Mappé directement |
target_hostname |
target.asset.hostname |
Mappé directement |
data.properties.CLIENT_IP.str |
target.asset.ip |
Fusionné |
device_id |
target.asset_id |
Mappé directement |
file_type |
target.file.mime_type |
Mappé directement |
size_bytes |
target.file.size |
Mappé directement |
target_host |
target.hostname |
Mappé directement |
target_hostname |
target.hostname |
Mappé directement |
data.properties.CLIENT_IP.str |
target.ip |
Fusionné |
QUERY_IDENTIFIER |
target.process.command_line |
Mappé directement |
cmd_line |
target.process.command_line |
Mappé directement |
data.properties.Query.str |
target.process.command_line |
Mappé directement |
query_exec |
target.process.command_line |
Mappé directement |
job_id |
target.process.pid |
Mappé directement |
PageStartTime_label |
target.resource.attribute.labels |
Fusionné |
call_time |
target.resource.attribute.labels |
Fusionné |
counts_against_api_limit_label |
target.resource.attribute.labels |
Fusionné |
cpu |
target.resource.attribute.labels |
Fusionné |
cpu_time_label |
target.resource.attribute.labels |
Fusionné |
db_blocks_label |
target.resource.attribute.labels |
Fusionné |
db_cpu |
target.resource.attribute.labels |
Fusionné |
db_cpu_time_label |
target.resource.attribute.labels |
Fusionné |
db_total_time_label |
target.resource.attribute.labels |
Fusionné |
db_type |
target.resource.attribute.labels |
Fusionné |
duration_time |
target.resource.attribute.labels |
Fusionné |
entity_name |
target.resource.attribute.labels |
Fusionné |
entity_name_label |
target.resource.attribute.labels |
Fusionné |
entry_p |
target.resource.attribute.labels |
Fusionné |
event_id |
target.resource.attribute.labels |
Valeurs mappées (5 au total, par exemple ApiEventStream → ope, ApiEventStream → ses_level, `ApiT... |
exception_label |
target.resource.attribute.labels |
Fusionné |
exe_time |
target.resource.attribute.labels |
Fusionné |
key |
target.resource.attribute.labels |
Mappé : "PageStartTime", "PreviousPageUrl", "Description", "ReportId" → map_field |
label |
target.resource.attribute.labels |
Fusionné |
map_field |
target.resource.attribute.labels |
Fusionné |
media_type_label |
target.resource.attribute.labels |
Fusionné |
no_sql_que |
target.resource.attribute.labels |
Fusionné |
number_fields_label |
target.resource.attribute.labels |
Fusionné |
ope |
target.resource.attribute.labels |
Fusionné |
query_type_label |
target.resource.attribute.labels |
Fusionné |
rows_proc |
target.resource.attribute.labels |
Fusionné |
rows_proc_label |
target.resource.attribute.labels |
Fusionné |
run |
target.resource.attribute.labels |
Fusionné |
run_time_label |
target.resource.attribute.labels |
Fusionné |
ses_level |
target.resource.attribute.labels |
Fusionné |
sql_id_label |
target.resource.attribute.labels |
Fusionné |
ss_type |
target.resource.attribute.labels |
Fusionné |
total_time |
target.resource.attribute.labels |
Fusionné |
uripath_label |
target.resource.attribute.labels |
Fusionné |
user_derieved_label |
target.resource.attribute.labels |
Fusionné |
user_ty |
target.resource.attribute.labels |
Fusionné |
user_type_label |
target.resource.attribute.labels |
Fusionné |
verify_method |
target.resource.attribute.labels |
Fusionné |
wave |
target.resource.attribute.labels |
Fusionné |
URI |
target.resource.id |
Mappé directement |
accountid |
target.resource.id |
Mappé directement |
attrs.AccountId |
target.resource.id |
Renommé/Mappé |
attrs.CaseId |
target.resource.id |
Renommé/Mappé |
attrs.ContactId |
target.resource.id |
Renommé/Mappé |
caseid |
target.resource.id |
Mappé directement |
contactid |
target.resource.id |
Mappé directement |
detail.id |
target.resource.id |
Mappé directement |
leadid |
target.resource.id |
Mappé directement |
opportunityid |
target.resource.id |
Mappé directement |
payload.RecordId |
target.resource.id |
Mappé directement |
properties.RecordId |
target.resource.id |
Mappé directement |
request_id |
target.resource.id |
Mappé directement |
StageName |
target.resource.name |
Mappé directement |
data.properties.DATASET_IDS.str |
target.resource.name |
Mappé directement |
field |
target.resource.name |
Mappé directement |
properties.Name |
target.resource.name |
Mappé directement |
resource_name |
target.resource.name |
Mappé directement |
column13 |
target.resource.product_object_id |
Mappé directement |
data.properties.REQUEST_ID.str |
target.resource.product_object_id |
Mappé directement |
properties.OrgId |
target.resource.product_object_id |
Mappé directement |
target_product_object_id |
target.resource.product_object_id |
Mappé directement |
event_id |
target.resource.resource_type |
Mappé : PlatformEncryption → ACCESS_POLICY, ApexCallout → ACCESS_POLICY, `ApexTrigge... |
target_resource_type |
target.resource.resource_type |
Mappé directement |
event_id |
target.resource.type |
Mappé : (QueuedExecution/ApexExecution) → BATCH, ApexTrigger → DATABASE_TRIGGER, `Co... |
URI |
target.url |
Mappé directement |
attrs.LoginUrl |
target.url |
Renommé/Mappé |
attrs.attributes.url |
target.url |
Renommé/Mappé |
login_url |
target.url |
Mappé directement |
payload.LoginUrl |
target.url |
Mappé directement |
properties.LoginUrl |
target.url |
Mappé directement |
properties.PageUrl |
target.url |
Mappé directement |
uri |
target.url |
Mappé directement |
uripath |
target.url |
Mappé directement |
attrs.usrName |
target.user.email_addresses |
Fusionné |
csv_format |
target.user.email_addresses |
Mappé : false → attrs.usrName |
email_address |
target.user.email_addresses |
Fusionné |
event_id |
target.user.email_addresses |
Mappé : Logout → attrs.usrName |
target_user_display_name |
target.user.user_display_name |
Mappé directement |
column5 |
target.user.userid |
Mappé directement |
data.properties.CreatedById.str |
target.user.userid |
Mappé directement |
data.properties.UserId.str |
target.user.userid |
Mappé directement |
detail.payload.UserId |
target.user.userid |
Mappé directement |
target_login_key |
target.user.userid |
Mappé directement |
target_user_id |
target.user.userid |
Mappé directement |
target_user_name |
target.user.userid |
Mappé directement |
| N/A | extensions.auth.auth_details |
Constante : ACTIVE |
| N/A | extensions.auth.type |
Constante : AUTHTYPE_UNSPECIFIED |
| N/A | metadata.event_type |
Constante : USER_UNCATEGORIZED |
| N/A | metadata.product_name |
Constante : SALESFORCE |
| N/A | metadata.vendor_name |
Constante : SALESFORCE |
| N/A | network.application_protocol |
Constante : HTTP |
| N/A | network.http.parsed_user_agent |
Constante : parseduseragent |
| N/A | principal.platform |
Constante : WINDOWS |
| N/A | principal.resource.type |
Constante : USER |
| N/A | target.resource.resource_type |
Constante : ACCESS_POLICY |
| N/A | target.resource.type |
Constante : BATCH |
Journal des modifications
Afficher le journal des modifications pour ce parseur
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.